| Users re-use passwords for multiple services. |
Usuarios re-usan sus contraseñas para diversos servicios |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Si un atacante consigue acceder a un servidor y consigue una lista de contraseñas, puede usar esta contraseña para atacar otros servicios |
| Therefore, only password hashes may be stored. |
Por esto, solo contraseñas encriptadas pueden ser almacenadas |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Algoritmos seguros de encriptación son fáciles de usar en la mayoría de los lenguajes y asegura que la contraseña original no pueda ser recuperada fácilmente, y que contraseñas erróneas no sean aceptadas fácilmente |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Agregar “sal” (data adiciona) a las encriptaciones de contraseña previene el uso de tablas arcoíris y detiene de manera significativa los intentos de acceso por fuerza bruta |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Reforzamiento previene tanto los ataques de fuerza bruta offline sobre encriptaciones robadas como los ataques de fuera bruta online en caso de que los limitadores fallen |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Sin embargo, incrementa la carga del CPU en el servidor y podría abrir un vector para ataques “DDoS” si no es prevenido con limitaciones de intento de acceso |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Un buen reforzamiento puede frenar ataques de fuerza bruta online en un factor de 10,000 o mas |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Limitar los intentos de registro es necesario para prevenir ataques de fuerza bruta online y DoS por medio del uso de CPU con relación a los procedimientos de reforzamiento de las contraseñas |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Sin un límite, un atacante puede probar un gran número de contraseñas directamente en el servidor. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Asumiendo 100 intentos por segundo, lo cual es razonable para un servidor web normal, sin reforzamiento significativo y un atacante trabajando en múltiples hilos, esto puede resultar en 259,200,000 contraseñas intentadas en un mes! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
No implantar ninguna política de contraseñas llevara a muchos usuarios a elegir “123456”, “qwerty” o “password” como su contraseña, dejando al sistema vulnerable para un ataque |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Implantar políticas de contraseñas muy estrictas obligara a los usuarios a guardar sus contraseñas o escribirlas, incomodarlos y acostumbrarlos a re-usar la misma contraseña para todos los dispositivos |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Además de eso, usuarios usando contraseñas seguras que no cumplen con las políticas los puede obligar a usar contraseñas que son más difíciles de recordar, pero que no son necesariamente seguras |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Una contraseña que consiste en 5 palabras en minúscula, elegidas al azar y concatenadas es mucho más segura que una contraseña de 8 caracteres con una mescla de números, letras y signos de puntuación. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Tenga esto en cuenta si no le dan una política de contraseñas a implementar, pero tiene que crear una. |
