WordPress Password Security and Hashing

نشرت: 2017-11-10

كلمات المرور هي شكل من أشكال المصادقة التي ترتبط بالمستخدمين أو العمليات. يتم استخدامها للتحقق من هوية المستخدم أو عملية ضد نظام الكمبيوتر أو الموارد. في شبكة الاتصال الفائقة الحديثة ، لأجهزة إنترنت الأشياء والجوّال ، أصبح أمان كلمة المرور موضوعًا أكثر خطورة من أي وقت مضى. تحدث تسريبات قاعدة بيانات كلمات المرور طوال الوقت ، مع تأثر الشركات الكبرى مثل LinkedIn و Tumblr و Yahoo. كتب Bob Diachenko من MacKeeper Security ، في وقت سابق من هذا العام عن قائمة عملاقة للبريد الإلكتروني / كلمة المرور تبلغ 560 مليونًا تم العثور عليها تطفو بحرية حول الإنترنت!

لذلك في هذه المقالة ، سنتحدث عن ثلاثة أشياء تتعلق بكلمات المرور و WordPress:

  1. إنشاء وإدارة كلمات مرور قوية.
  2. كيف يقوم WordPress بتجزئة كلمة المرور.
  3. تنفيذ تجزئة كلمة المرور الخاصة بك.

كلمات مرور ضعيفة وقوية

تعد قوة كلمة المرور ، من حيث تعقيد القوة الغاشمة ، موضوعًا للكثير من الجدل ، وقد تمت إعادة تعريف فكرة مدى قوة كلمة المرور إلى حد كبير على مر العقود ، حيث أصبحت موارد الحوسبة الأكثر قوة متاحة بسهولة للفرد. كتب خبير الأمن المشهور عالميًا Bruce Schneier منشورًا ممتازًا يناقش أمان كلمة المرور وكيفية اختيار كلمات مرور آمنة.

عند الحديث عن قوة كلمة المرور ، يتعين على المرء تضمين السياق ومستوى التهديد:

يكون الأمر مختلفًا وأكثر صعوبة عندما يحاول المهاجم تخمين كلمة مرور WordPress الخاصة بك عما إذا كان قد تعرض للخطر أمنك ولديه حق الوصول إلى قائمة كلمات المرور المجزأة بالكامل.

في الحالة الأولى ، سيتم حظر المهاجم بسرعة بواسطة خدمة المصادقة بسبب محاولات تسجيل دخول كثيرة جدًا في فترة زمنية قصيرة. عادةً ما يكتشف المهاجمون كلمات المرور من خلال وسائل أخرى ، تختلف عن طرق التأثير الغاشمة ، مثل التصيد الاحتيالي والبرامج الضارة وما إلى ذلك. ومع ذلك ، إذا اختار الهدف كلمة مرور باستخدام معلومات عامة نسبيًا مثل التاريخ والاسم / اللقب وما إلى ذلك ، فإنه يسهل على المهاجم تخمينها.

في الحالة الثانية ، إذا كان المهاجم لديه حق الوصول إلى ملف كلمة المرور ، فقد يكون الأمر مجرد مسألة وقت ، خاصة إذا كانت دالة التجزئة المستخدمة هي MD5. لقد تم كسره وثبت أنه غير آمن منذ وقت طويل. يمكن للمهاجم استخدام أجهزة حديثة (مثل لوحات GPU) جنبًا إلى جنب مع جداول "قوس قزح" المحسوبة مسبقًا لفك تشفير ملف كلمة المرور بالكامل في وقت قصير جدًا. بالإضافة إلى ذلك ، في بعض الحالات القصوى ، يتم تخزين كلمات المرور لجميع المستخدمين في "نص عادي" في قاعدة البيانات. في كلتا الحالتين ، يتم إلغاء "قوة" كلمة المرور الخاصة بك.

كيفية إنشاء وتخزين كلمات مرور قوية

من الأفضل ترك إنشاء كلمات المرور وإدارتها لجهاز كمبيوتر تثق به ، بدلاً من محاولة التفكير في كلمات مرور قوية بانتظام. أنت إنسان وحتمًا ستخطئ وتختار شيئًا يعتبره الكمبيوتر خيارًا ضعيفًا.

يعد استخدام مدير كلمات المرور لإنشاء كلمات مرور وتخزينها لكل خدمة فعالاً وبأقل قدر من التهديد. على الرغم من أن فكرة الاحتفاظ بكل كلمات مرورك في مكان واحد قد تكون مزعجة ، إلا أنها في الواقع ميزة إضافية: من خلال معرفة أن جميع كلمات مرورك موجودة في مكان واحد ، يمكنك تأمينها بسهولة. لا مزيد من استخدام قطع عشوائية من الورق أو تبديل كلمات المرور الضعيفة التي يمكنك تذكرها بسهولة ولكن يمكن تخمينها بسهولة. أيضًا ، يمكن أن يساعدك مدير كلمات المرور في إنشاء كلمات مرور قوية دون أي ضجة.

الخيار الأكثر شيوعًا (والأكثر تكلفة) هو 1Password ، ولكن يمكنك تجربة واستخدام الخيار المزود في نظام التشغيل الخاص بك (مثل iCloud KeyChain من Apple) أو استخدام حل مفتوح المصدر متعدد المنصات مثل KeePass.

استضافة موقع الويب الخاص بك مع Pressidium

ضمان استرداد الأموال لمدة 60 يومًا

اطلع على خططنا

WordPress كلمة مرور التجزئة

تجزئة كلمة المرور هي تقنية يتم من خلالها تمرير كلمة مرور النص العادي إلى دالة تجزئة وتحويلها إلى قيمة أبجدية رقمية طويلة. يستخدم WordPress هذا لتخزينها في قاعدة البيانات ، مما يمنع أعين المتطفلين من قراءة كلمات مرور WordPress مباشرة. عند تسجيل الدخول إلى WordPress وإرسال كلمة المرور الخاصة بك ، فإنه يحسب التجزئة ويقارنها مع تلك الموجودة في قاعدة البيانات. إذا كان الأمر كذلك ، فسيتم منحك حق الوصول ، وإذا لم يكن الأمر كذلك ، فسيتم رفضك. تعمل هذه الطريقة لأن سلسلة نصية معينة (كلمة مرور WordPress في هذه الحالة) ، ستولد دائمًا نفس قيمة التجزئة. نظرًا لأنه لا يمكن تحويل قيمة التجزئة إلى النص الأصلي ، يمكن لـ WordPress فقط معرفة أنك أدخلت القيمة الصحيحة ، إذا كانت قيمة التجزئة لكلمة المرور التي قدمتها والقيمة المخزنة في قاعدة البيانات متطابقة.

بشكل افتراضي ، تستخدم وظيفة WordPress wp_hash_password() خوارزمية MD5 ذات 8 تمريرات لإنشاء تجزئات. ومع ذلك ، تم كسر MD5 بنجاح باستخدام مجموعة من الأجهزة الحديثة وتقنية تسمى جداول قوس قزح التي تحتوي على كمية هائلة من القيم المحسوبة مسبقًا. هذه تساعد المهاجم على تجربة مليارات المجموعات في الثانية ، على وحدة معالجة رسومات واحدة حديثة.

قم بتطبيق تجزئة كلمة مرور WordPress الخاصة بك

يمكنك (ويجب) تحديد تطبيق مختلف ، مثل Bcrypt عن طريق تمرير المجموعة (16 ، FALSE) إلى كائن PasswordHash في إنشاء مثيل. كلتا الوظيفتين wp_hash_password() و wp_set_password() قابلة للتوصيل ، لذا يمكنك توفير التنفيذ الخاص بك. يمكن العثور عليها ضمن wp-include / pluggable.php.

Roots.io (الأشخاص الذين يقفون وراء نظام ووردبريس المتداول Trellis و Bedrock و Sage) قاموا أيضًا بإصدار مكون إضافي لبرنامج WordPress يقوم بتنفيذ وظائف bcrypt لوظائف تجزئة WordPress الافتراضية.

استنتاج

لضمان استخدام كلمات مرور قوية وتغييرها بشكل متكرر ، من الأفضل استخدام مدير كلمات المرور. يمكن أن يساعد ذلك في الحفاظ على جميع كلمات مرورك منظمة في مكان واحد وتذكيرك عندما يحين وقت تغييرها. عندما يتعلق الأمر بتجزئة كلمة المرور ، فمن الأفضل استخدام خوارزمية آمنة مشفرة مثل SHA-2 أو Bcrypt بدلاً من الرجوع إلى الوضع الافتراضي في WordPress. من الأفضل تجنب دحرجة دالة التجزئة الخاصة بك ، حيث يمكن أن يؤدي خطأ واحد إلى حدوث مشكلات أمنية.