| Users re-use passwords for multiple services. |
Usuários reutilizam suas senhas em vários serviços. |
| If an attacker gains access to one server and can gain a list of passwords, he may be able to use this password to attack other services. |
Se um invasor obtiver acesso a um servidor e conseguir uma lista de senhas, ele poderá usá-las para atacar outros serviços. |
| Therefore, only password hashes may be stored. |
Por isso, só é aceitável armazenar hashes de senhas. |
| Secure hashing algorithms are easy to use in most languages and ensure the original password cannot be easily recovered and that wrong passwords are not falsely accepted. |
Algoritmos seguros de hashing são fáceis de usar na maioria das linguagens de programação e garantem que não seja fácil recuperar a senha original e que senhas incorretas não sejam aceitas erroneamente. |
| Adding salts to the password hashes prevents the use of rainbow tables and significantly slows down brute-force attempts. |
Acrescentar sais aos hashes de senha impede o uso de "rainbow tables" e retarda significativamente tentativas de ataque por força bruta. |
| Strengthening slows both off-line brute-force attacks against stolen hashes and on-line brute-force in case the rate limiting fails. |
O fortalecimento retarda tanto ataques de força bruta offline contra hashes roubados quanto ataques on-line de força bruta no caso da limitação de taxa de transferência falhar. |
| However, it increases CPU load on the server and would open a vector for DDoS attacks if not prevented with login attempt limiting. |
Mas ele aumenta a carga sobre a CPU do servidor e abriria um vetor para ataques DDoS, caso eles não seja evitados com a limitação de tentativas de login. |
| A good strengthening can slow down off-line brute-force attacks down by a factor of 10000 or more. |
Um bom fortalecimento pode retardar ataques offline de força bruta em um fator de 10.000 ou mais. |
| Limiting login attempts is necessary to prevent on-line brute-force attacks and DoS via the CPU usage of the password strengthening procedure. |
Limitar as tentativas de login é necessário para impedir ataques online de força bruta e de DoS por meio do consumo de CPU do procedimento de fortalecimento de senha. |
| Without a limit, an attacker can try a very large number of passwords directly against the server. |
Sem esse limite, um invasor poderia testar um número muito grande de senhas diretamente contra o servidor. |
| Assuming 100 attempts per second, which is reasonable for a normal web server, no significant strengthening and an attacker working with multiple threads, this would result in 259,200,000 passwords tried in a single month! |
Se assumirmos 100 tentativas por segundo, o que é razoável para um servidor Web normal, a ausência de um fortalecimento significativo e um invasor usando threads múltiplos, isso resultaria em 259.200.000 senhas testadas em apenas um mês! |
| Not enforcing any password policies will lead to too many users choosing “123456”, “qwerty” or “password” as their password, opening the system up for attack. |
Não aplicar nenhuma política de senha fará com que muitos usuários escolham como senha "123456", "querty", "password" ou "senha", deixando o sistema vulnerável a ataques. |
| Enforcing too strict password policies will force users to save passwords or write them down, generally annoy them and foster re-using the same password for all services. |
Aplicar políticas de senha rígidas demais forçará os usuários a salvar ou anotar suas senhas, o que geralmente os irrita e promove a reutilização da mesma senha para todos os serviços. |
| Furthermore, users using secure passwords not matching the policies may be forced to use passwords which are harder to remember, but not necessarily secure. |
Além disso, usuários que usem senhas seguras, mas que não cumpram as políticas, podem se ver forçados a usar senhas mais difíceis de lembrar, mas não necessariamente seguras. |
| A password consisting of 5 concatenated, randomly (!) chosen lowercase dictionary words is significantly more secure than an eight-character password consisting of mixed case letters, numbers and punctuation. |
Uma senha formada por cinco palavras de dicionário escolhidas aleatoriamente (!), em letras minúsculas e concatenadas, é significativamente mais segura que uma senha de oito caracteres que inclua uma combinação de minúsculas, maiúsculas, números e pontuação. |
| Take this into account if you do not get a password policy to implement, but have to design your own. |
Leve isso em consideração se você não tiver uma política de senha para implementar, mas tiver que desenvolver a sua própria. |
