Securitatea parolei și hashingul WordPress

Publicat: 2017-11-10

Parolele sunt o formă de autentificare care este legată de utilizatori sau procese. Ele sunt utilizate pentru a valida identitatea unui utilizator sau a unui proces în raport cu un sistem sau resurse informatice. În rețeaua modernă de ultra-conectivitate de astăzi, a dispozitivelor IoT și a dispozitivelor mobile, securitatea parolelor este un subiect mai serios ca niciodată. Scurgerile bazei de date cu parole au loc tot timpul, fiind afectate companii importante precum LinkedIn, Tumblr și Yahoo. Bob Diachenko de la MacKeeper Security, a scris la începutul acestui an despre o listă gigantică de 560 de milioane de e-mail/parole care a fost găsită plutind liber pe Internet!

Deci, în acest articol, vom vorbi despre trei lucruri legate de parole și WordPress:

  1. Generarea și gestionarea parolelor puternice.
  2. Cum face WordPress hashingul parolei.
  3. Implementarea propriului hashing al parolei.

Parole slabe și puternice

Puterea parolei, în ceea ce privește complexitatea forței brute, este un subiect de multe dezbateri, iar noțiunea de cât de puternică este o parolă a fost în mare măsură redefinită de-a lungul deceniilor, pe măsură ce resursele de calcul mai puternice devin ușor disponibile pentru individ. Expertul în securitate de renume mondial Bruce Schneier a scris o postare excelentă în care discută despre securitatea parolelor și despre cum să alegeți parolele sigure.

Când vorbim despre puterea parolei, trebuie să includeți contextul și nivelul de amenințare:

Este diferit și mult mai dificil atunci când atacatorul încearcă să ghicească parola dvs. WordPress decât dacă el sau ea v-a compromis securitatea și are acces la întreaga listă de parole hashing.

În prima situație, atacatorul va fi blocat rapid de serviciul de autentificare din cauza prea multor încercări de autentificare într-o perioadă scurtă de timp. De obicei, atacatorii descoperă parole prin alte mijloace, diferite de forțarea brută, cum ar fi phishing, malware și altele. Cu toate acestea, dacă ținta a ales o parolă folosind informații relativ publice, cum ar fi data, nume/prenume etc., atunci atacatorul o poate ghici mai ușor.

În a doua situație, dacă atacatorul are acces la fișierul cu parole, ar putea fi doar o chestiune de timp, mai ales dacă funcția hash utilizată este MD5. A fost spart și s-a dovedit nesigur cu mult timp în urmă. Atacatorul poate folosi hardware modern (cum ar fi plăcile GPU) combinat cu tabele „curcubeu” precalculate pentru a decripta întregul fișier de parole în foarte puțin timp. În plus, în unele cazuri extreme, parolele pentru toți utilizatorii sunt stocate în „text simplu” în baza de date. În ambele cazuri, „puterea” parolei dvs. este anulată.

Cum să generați și să stocați parole puternice

Cel mai bine este să lăsați generarea și gestionarea parolei pe seama unui computer în care aveți încredere, în loc să încercați să gândiți în mod regulat parole puternice. Ești om și, inevitabil, vei greși și vei alege ceva pe care un computer îl consideră o alegere slabă.

Utilizarea unui manager de parole pentru a genera și stoca parole pentru fiecare serviciu este eficientă și cu cea mai mică amenințare. Deși gândul de a vă păstra toate parolele într-un singur loc poate fi tulburător, este de fapt un plus: știind că toate parolele dvs. sunt într-un singur loc, le puteți securiza mai ușor. Nu mai folosiți bucăți de hârtie aleatorii sau permutări ale parolelor slabe pe care le puteți aminti cu ușurință, dar care pot fi ghicite cu ușurință. De asemenea, un manager de parole vă poate ajuta să generați parole puternice fără niciun fel de agitație.

Cea mai populară (și costisitoare) alegere este 1Password, dar puteți încerca să o utilizați pe cea furnizată în sistemul dvs. de operare (cum ar fi iCloud KeyChain de la Apple) sau să utilizați o soluție multiplatformă open-source, cum ar fi KeePass.

Găzduiește-ți site-ul web cu Pressidium

GARANTIE 60 DE ZILE BANI RAPIS

VEZI PLANUL NOSTRU

Hashing parole WordPress

Hashingul parolei este o tehnică prin care parola text simplu este transmisă unei funcții hash și convertită într-o valoare alfanumerică lungă. WordPress folosește acest lucru pentru a le stoca în baza de date, împiedicând privirile indiscrete să citească direct parolele WordPress. Când vă conectați la WordPress și trimiteți parola, acesta calculează hash-ul și îl compară cu cel din baza de date. Dacă este același, vi se acordă acces, dacă nu, vi se refuză. Această metodă funcționează deoarece un anumit șir de text (o parolă WordPress în acest caz) va genera întotdeauna aceeași valoare hash. Deoarece o valoare hash nu poate fi convertită înapoi în textul original, WordPress poate ști doar că ați introdus-o pe cea corectă, dacă valoarea hash a parolei pe care ați furnizat-o și cea care este stocată în baza de date sunt identice.

În mod implicit, funcția WordPress wp_hash_password() folosește un algoritm MD5 cu 8 treceri pentru a genera hashe-uri. Cu toate acestea , MD5 a fost spart cu succes folosind o combinație de hardware modern și o tehnică numită tabele curcubeu care deține o cantitate masivă de valori precalculate. Acestea ajută un atacator să încerce miliarde de combinații pe secundă, pe un singur GPU modern.

Implementați propriul hashing al parolei WordPress

Puteți (și ar trebui) să selectați o implementare diferită, cum ar fi Bcrypt, pasând tuplu (16, FALSE) obiectului PasswordHash în instanțiere. Ambele funcții wp_hash_password() și wp_set_password() sunt conectabile, astfel încât să vă puteți oferi propria implementare. Acestea pot fi găsite sub wp-includes/pluggable.php.

Roots.io (oamenii din spatele sistemului WordPress Trellis, Bedrock și Sage) au lansat și un plugin WordPress care implementează funcționalitatea bcrypt pentru funcțiile hash implicite WordPress.

Concluzie

Pentru a vă asigura că utilizați parole puternice și că le schimbați frecvent, cel mai bine este să utilizați un manager de parole. Acest lucru vă poate ajuta să vă păstrați toate parolele organizate într-un singur loc și să vă reamintească când este timpul să le schimbați. Când vine vorba de hashing parole, cel mai bine este să utilizați un algoritm criptografic sigur, cum ar fi SHA-2 sau Bcrypt, în loc să reveniți la valoarea implicită a WordPress. Cel mai bine este evitată rularea propriei funcții hash, deoarece o greșeală poate introduce probleme de securitate.