Users re-use passwords for multiple services. |
Пользователи используют одинаковые пароли для множества различных сервисов. |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Если хакер получает доступ к одному из серверов и имеет возможность заполучить список паролей, он может использовать их для взлома других сервисов. |
Therefore, only password hashes may be stored. |
Таким образом, храниться должны только хеш-суммы паролей. |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Безопасные алгоритмы хеширования легки в реализации практически на любом языке программирования и позволяют обеспечить сложности при расшифровке пароля и не допустить приема ложных паролей. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Применение соли и радужных таблиц позволяет усложнить процесс грубого взлома паролей. |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Такой метод замедляет как атаки в оффлайне с использованием украденного списка хешей, так и при взломе в режиме онлайн. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Тем не менее, такие методы увеличивают нагрузку на ЦП и позволяют реализовать атаку DDoS, если на сервере отсутствует ограничение попыток входа. |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Качественная реализация позволяет замедлить оффлайн взлом методом подбора в 10000 раз и более. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Ограничение попыток входа необходимо для предотвращения онлайн взлома методом подбора паролей и атак DoS, снижая нагрузку на ЦП и усиливая надежность пароля. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
Без подобного ограничения, хакера может использовать огромное количество паролей с непосредственным доступом к серверу. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
При совершении в 100 атак за секунду, что является нормальным для стандартного веб-сервера, без использования методов защиты и работе хакера на нескольких потоках, результатом атаки станет 259,200,000 паролей, перебранных в течении одного месяца. |
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Отсутствие критериев безопасности для пароля приводит к тому, что множество пользователей будут использовать в качестве пароля “123456”, “qwerty” or “password”, тем самым деля систему уязвимой. |
Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Наличие критериев безопасности обяжет пользователей запоминать или записывать свои пароли, станет раздражающим фактором и привьет им культуру использования одинаковых паролей на всех сервисах. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Стоит также заметить, что пользователь использующий надежный пароль не соответствующий критериям безопасности может быть принужден к использованию более сложного пароля, сложного для запоминания, но не являющегося более надежным. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Пароль состоящий из 5 связанных, случайно выбранных и написанных в нижнем регистре словарных слов значительно безопаснее чем восьмизначный пароль, состоящий из различных символов и регистров. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Стоит учитывать, что если у вас нет критериев безопасности паролей, то необходимо разработать свои собственные. |