Users re-use passwords for multiple services. |
Por lo general, los usuarios reutilizan sus contraseñas en múltiples plataformas. |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Si un atacante logra acceder un servidor y obtiene una lista de contraseñas, este puede utilizarlas para acceder ilegalmente otros servicios. |
Therefore, only password hashes may be stored. |
Por lo tanto, sólo se pueden almacenar los hashes de contraseñas. |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Los algoritmos hash seguros son fáciles de utilizar en la mayoría de los idiomas y garantizan que la contraseña original no pueda recuperarse fácilmente y que las contraseñas erróneas no se acepten falsamente. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
La incorporación de sales a los hashes de contraseñas impide el uso de tablas arco iris y frena significativamente los intentos de fuerza bruta. |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
El fortalecimiento ralentiza tanto los ataques de fuerza bruta fuera de línea contra los hashes robados, como los ataques de fuerza bruta en línea en caso de que la limitación de velocidad falle. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Sin embargo, esto aumenta la carga en el CPU del servidor y puede abrir un vector para ataques DDoS si no se previene limitando el intento de inicio de sesión. |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Un buen refuerzo puede ralentizar los ataques de fuerza bruta fuera de línea por un factor de 10 000 o más. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
La limitación de intentos de conexión es necesaria para evitar ataques de fuerza bruta en línea y ataques DoS a través del uso de contraseñas más seguras en el CPU. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
Sin un límite, un atacante puede intentar utilizar un gran número de contraseñas directamente contra el servidor. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Suponiendo que se den 100 intentos por segundo, lo cual es razonable para un servidor web normal, sin un fortalecimiento significativo y un atacante trabajando con múltiples hilos de ejecución, esto puede dar a lugar 259 200 000 intentos de contraseñas en un solo mes. |
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Si no se hacen cumplir las políticas de contraseñas, muchos usuarios elegirían "123456", "qwerty" o "contraseña" como contraseña, y esto dejaría el sistema vulnerable al ataque. |
Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
La aplicación de políticas de contraseñas demasiado estrictas obliga a los usuarios a guardar las contraseñas o anotarlas, los incomoda y fomenta la reutilización de la misma contraseña para todas las plataformas. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Por otra parte, los usuarios que utilizan contraseñas seguras que no coinciden con las políticas pueden verse obligados a utilizar contraseñas más difíciles de recordar, pero no necesariamente seguras. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Una contraseña que conste de 5 palabras del diccionario en minúsculas, que estén concatenadas y elegidas al azar, es aún más segura que una contraseña de ocho caracteres que conste de letras mayúsculas y minúsculas combinadas, números y algún tipo de puntuación. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Considere estos puntos si no se cuenta con una política de contraseñas en práctica y tiene que diseñar la suya. |