Users re-use passwords for multiple services. |
Người dùng tái sử dụng mật khẩu cho nhiều dịch vụ. |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Nếu một kẻ tấn công chiếm được quyền truy cập vào một máy chủ và có thể lấy được một danh sách các mật khẩu, anh ta có thể sử dụng mật khẩu này để tấn công các dịch vụ khác. |
Therefore, only password hashes may be stored. |
Do đó, chỉ có bảng mã Hash (bảng mã băm) mật khẩu có thể được lưu trữ. |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Các thuật toán băm an toàn dễ dàng sử dụng trong hầu hết các ngôn ngữ và đảm bảo mật khẩu ban đầu không thể dễ dàng được phục hồi và mật khẩu sai không được giả chấp nhận. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Thêm các chuỗi Salt vào bảng mã băm mật khẩu ngăn chặn việc sử dụng Rainbow Table và làm chậm lại đáng kể nỗ lực Brute-force. |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Tăng cường năng lực làm chậm cả các cuộc tấn công brute-force off-line chống lại băm bị đánh cắp và brute-force on-line trong trường hợp tỷ lệ hạn chế thất bại. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Tuy nhiên, nó làm tăng tải CPU trên máy chủ và sẽ mở ra một vector cho các cuộc tấn công DDoS nếu không ngăn ngừa được bằng nỗ lực đăng nhập hạn chế. |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Tăng cường năng lực tốt có thể làm chậm lại các cuộc tấn công brute-force off-line xuống gấp 10.000 lần hoặc nhiều hơn. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Hạn chế những nỗ lực đăng nhập là cần thiết để ngăn chặn các cuộc tấn công brute-force on-line và DoS thông qua sử dụng CPU của các thủ thuật tăng cường sức mạnh mật khẩu. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
Nếu không có một giới hạn, một kẻ tấn công có thể thử một số lượng rất lớn các mật khẩu trực tiếp chống lại các máy chủ. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Giả sử 100 lần mỗi giây, đó là hợp lý cho một máy chủ web bình thường, không có tăng cường năng lực đáng kể và một kẻ tấn công làm việc với nhiều chủ đề, điều này sẽ dẫn đến 259.200.000 mật khẩu được thử trong duy nhất một tháng! |
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Không thực thi các chính sách mật khẩu sẽ dẫn đến quá nhiều người sử dụng lựa chọn "123456", "qwerty" hay "password" là mật khẩu của mình, mở hệ thống cho tấn công. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Hơn nữa, người dùng sử dụng mật khẩu an toàn không phù hợp với các chính sách có thể bị buộc phải sử dụng mật khẩu mà người ta khó nhớ, nhưng không hẳn an toàn. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Một mật khẩu gồm 5 từ nối, ngẫu nhiên (!) được lựa chọn từ điển chữ thường an toàn hơn nhiều so với một mật khẩu tám ký tự bao gồm chữ cái thường, số và dấu lẫn lộn. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Tính đến điều này nếu bạn không có được một chính sách mật khẩu để áp dụng, nhưng phải thiết kế của riêng bạn. |