| Users re-use passwords for multiple services. |
Användare återanvänder lösenord mellan många tjänster. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Om en angripare får åtkomst till en server och får tag på en lista av lösenord kan hen använda detta lösenord för att angripa andra tjänster. |
| Therefore, only password hashes may be stored. |
Därför får endast krypterade lösenord lagras. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Säkra krypteringsalgoritmer är lätta att använda i de flesta språk och säkerställer att det ursprungliga lösenordet inte kan återställas samt att felaktiga lösenord inte accepteras av misstag. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Lägger man till ett salt till lösenordets kryptering förhindras användandet av regnbågstabeller och det saktar ner ordlisteangrepp märkbart. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Förstärkning saktar ner både ordlisteangrepp offline mot stulna lösenord och ordlisteangrepp online om åtkomstbegränsningen felar. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Däremot ökar det belastningen på serverns processor och öppnar upp en risk för DDoS-angrepp om inte antalet inloggningsförsök begränsas. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
En bra förstärkning kan sakta ner ordlisteangrepp offline med en faktor på 10 000 eller mer. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Att begränsa antalet inloggningsförsök är nödvändigt för att förhindra ordlisteangrepp online och DoS genom processorns procedur för lösenordsförstärkning. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Utan en begränsning kan en angripare försöka med en väldigt stor mängd lösenord direkt mot servern. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Om vi antar 100 försök per sekund, vilket är rimligt för en normal webbserver, ingen påtaglig förstärkning och en angripare som arbetar med flera trådar, då skulle detta resultera i 259 200 000 lösenordsförsök på en enda månad! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Att inte kräva några lösenordsregler skulle leda till alldeles för många användare som väljer "123456", "qwerty" eller "password" som sina lösenord, vilket gör systemet sårbart mot angrepp. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Att kräva alldeles för strikta lösenordsregler skulle tvinga användarna att spara sina lösenord eller skriva ner dem, generellt sett irritera dem och uppmuntra en återanvändning av samma lösenord mellan alla tjänster. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Dessutom skulle användare som redan använder säkra lösenord som inte matchar lösenordsreglerna tvingas använda lösenord som är svårare att komma ihåg utan att nödvändigtvis vara säkra. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Ett lösenord som består av fem ihopsatta, slumpmässigt (!) utvalda ordboksord i bara gemener är märkbart säkrare än ett 8 tecken långt lösenord med blandade gemener, versaler, siffror och specialtecken. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Tänk på detta om du inte får färdiga lösenordsregler att implementera utan måste skapa dina egna. |
