Users re-use passwords for multiple services. |
Пользователи повторно используют пароли для различных служб. |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Если злоумышленник получает доступ к одной службе и может получить список паролей, он может использовать полученные пароли для нанесения вреда другим службам. |
Therefore, only password hashes may be stored. |
Поэтому сохраняться могут только хэши паролей. |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Алгоритмы безопасного хэширования просты для использования в большинстве языков, они гарантируют то, что исходный пароль не может быть легко восстановлен, и что неверные пароли не могут быть приняты службой по ошибке. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Добавление соли (случайной строки) в хэш пароля предотвращает использование радужных таблиц и значительно снижает возможность подбора пароля. |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Усиление хэша снижает возможность как атак методом подбора по отношению к похищенным хэшам вне сети, так и атак методом подбора в сети в случае превышения ограничения скорости. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Однако оно повышает нагрузку на процессор сервера и может повысить риск атак DDoS, в случае, когда нет ограничения на количество попыток входа. |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Качественное усиление может снизить вероятность срабатывания атак методом подбора в 10000 или более раз. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Ограничение количества попыток входа необходимо для предотвращения атак методом подбора и DoS-атак через использование процессора во время процедуры усиления пароля. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
Без этого ограничения злоумышленник может перебрать очень большое количество паролей непосредственно через сервер. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Ситуация, когда совершается 100 попыток подбора в секунду (что приемлемо для обычного веб-сервера), нет достаточного усиления, и злоумышленник использует несколько потоков, может привести к перебору 259200000 паролей за один месяц! |
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Отсутствие усиления политики паролей приведет к тому, что слишком многие пользователи будут выбирать такие пароли как “123456”, “qwerty” или “password”, что делает систему доступной для атак. |
Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Слишком сильное усиление политики паролей вынуждает пользователей сохранять или записывать пароли, что, как правило, доставляет им неудобства и подталкивает к тому, чтобы использовать один и тот же пароль для всех служб. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Более того, пользователи, использующие безопасные, но не удовлетворяющие политике, пароли, могут быть вынуждены использовать пароли, которые сложнее запомнить, но которые при этом необязательно безопасны. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Пароль, состоящий из 5 соединенных между собой случайно (!) выбранных словарных слов в нижнем регистре, значительно более безопасен, чем пароль из восьми символов, включающих буквы в разном регистре, цифры и знаки пунктуации. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Имейте это в виду, если вы не можете использовать готовую политику паролей, но вынуждены разрабатывать свою собственную. |