Users re-use passwords for multiple services. |
Gli utenti riutilizzano le password per diversi servizi |
If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Se un hacker ottiene accesso a un server e la lista delle password lì contenuta, potrebbe usare quest'ultima per attaccare altri servizi. |
Therefore, only password hashes may be stored. |
Per questo motivo, si dovrebbero salvare solo gli hash della password. |
Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Gli algoritmi di hashing sicuri sono semplici da usare in molte lingue e garantiscono che la password originale non venga recuperata facilmente e quelle sbagliate non vengano accettate erroneamente. |
Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Aggiungere sale agli hash previene l'impiego di tabelle arcobaleno e riduce sensibilmente i tentativi di brute-force. |
Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
Questo rafforzamento rallenta sia gli attacchi offline di brute-force sugli hash rubati ché quelli online di brute-force nel caso in cui la limitazione dei tentativi di login fallisca. |
However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Ciò, però, aumenta il tempo di caricamento della CPU sul server e apre un vettore per gli attacchi DDoS se non si previene il tutto mediante un numero di tentativi di login limitato. |
A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Un buon rafforzamento può diminuire anche di 10.000 volte o più gli attacchi offline di brute-force. |
Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Limitare il numero di tentativi di login è necessario per evitare attacchi online di brute-force e i DoS dovuti all'utilizzo della CPU dei procedimenti di rafforzo delle password. |
Without a limit, an attacker can try a very large number of passwords directly against the server. |
Senza questo limite, un hacker potrebbe provare un numero enorme di password direttamene sul server. |
Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Presupponendo 100 tentativi al secondo, numero ragionevole per un normale web server, nessun rafforzamento significativo e un hacker che lavora con processi multipli, il risultato sarebbe di 259.200.000 password provate in un singolo mese. |
Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Senza procedure di rafforzo della password, si avrebbero troppi utenti che utilizzano password come "123456", "querty" o "password", esponendo così il sistema agli attacchi. |
Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Dall'altro lato, politiche di scelta della password troppo complicate, porterebbe gli utenti a salvare le password in chiaro o scriverle, causando loro fastidio e il riutilizzo della stessa password per tutti i servizi. |
Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Inoltre, utenti che utilizzano password sicure, ma che non rispettano le politiche di sicurezza, potrebbe indurre gli utenti a usare password difficili da ricordare, ma non necessariamente sicure. |
A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Una password che consiste di 5 parole scelte a caso dal dizionario e scritte in minuscolo è decisamente più sicura di una password che consiste di maiuscole, minuscole, numeri e puntuazione. |
Take this into account if you do not get a password policy to implement, but have to design your own. |
Tienilo bene a mente se devi implementare delle politiche di sicurezza. |