Users re-use passwords for multiple services. |
Pengguna menggunakan ulang kata sandi untuk bermacam-macam layanan. |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Jika penyerang memperoleh akses ke sebuah server dan bisa memperoleh sebuah daftar dari kata sandi, penyerang dapat menggunakan daftar kata kunci ini untuk menyerang layanan lain. |
Therefore, only password hashes may be stored. |
Karena itu, hanya kata sandi dalam bentuk hash yang bisa disimpan. |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Algoritma Secure Hashing mudah digunakan dalam banyak bahasa dan dapat memastikan kata sandi asli dan tidak dapat dengan mudah dikembalikan dan kata sandi yang salah tidak diterima. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
penambahan metode salt ke kata sandi dalam bentuk hash mencegah penggunaan tabel rainbow dan secara signifikan memperlambat usaha brute-force. |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Strengthening memperlambat penyerangan brute-force off-line melawan hash yang dicuri dan brute-force on-line dalam situasi di mana rate limiting gagal. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
akan tetapi, strengthening meningkatkan muatan CPU ke server dan dapat membuka sebuah vector untuk serangan DDoS jika tidak dicegah dengan pembatasan usaha masuk. |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Strengthening yang baik dapat memperlambat penyerangan brute-force secara off-line hingga 10000 faktor atau lebih. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Membatasi usaha masuk diperlukan untuk mencegah penyerangan brute-force on-line dan DoS melalui penggunaan CPU dari kata kunci prosedur strengthening. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
tanpa pembatasan, seorang penyerang bisa mencoba kata sandi dalam jumlah yang sangat besar secara langsung terhadap server. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Asumsikan 100 kali usaha percobaan per detik, yang masuk akal untuk server web normal, tidak ada strengthening yang signifikan dan seorang penyerang yang bekerja menggunakan banyak utas, ini dapat menghasilkan 259.200.000 percobaan kata sandi dalam waktu satu bulan! |
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
tidak memaksakan kebijakan kata sandi akan membawa sangat banyak pengguna memilih "123456", "qwerty" atau "password" sebagai kata sandi mereka, membuka sistem untuk diserang. |
Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Memaksakan kata sandi yang terlalu ketat akan memaksa para pengguna untuk menyimpan kata sandi mereka atau menuliskannya, yang pada umumnya akan membuat mereka jengkel dan mendidik penggunaankata sandi yang sama untuk semua layanan. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Lebih jauh, pengguna yang menggunakan kata sandi aman namun tidak cocok dengan kebijakan mungkin terpaksa menggunakan kata sandi yang lebih sulit untuk diingat, tapi belum tentu aman. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Sebuah kata sandi yang berisikan 5 gabungan, huruf kecil kata terpilih dalam kamus secara acak (!) lebih aman secara signifikan daripada sebuah kata sandi delapan karakter yang berisi gabungan huruf besar dan kecil, angka-angka dan tanda baca. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Pertimbangkan hal ini jika Anda tidak mendapat kebijakan kata sandi untuk diterapkan, tapi harus mendesainnya sendiri. |