WordPress Şifre Güvenliği ve Hashing

Yayınlanan: 2017-11-10

Parolalar, kullanıcılara veya işlemlere bağlı bir kimlik doğrulama biçimidir. Bir kullanıcının veya işlemin kimliğini bir bilgisayar sistemine veya kaynaklarına karşı doğrulamak için kullanılırlar. Günümüzün modern ultra bağlantı, IoT cihazları ve mobil ağda, şifre güvenliği her zamankinden daha ciddi bir konudur. LinkedIn, Tumblr ve Yahoo gibi büyük şirketler etkilendiğinden, parola veritabanı sızıntıları her zaman gerçekleşir. MacKeeper Security'den Bob Diachenko, bu yılın başlarında internette serbestçe dolaşan 560 milyonluk dev bir e-posta/şifre listesi hakkında yazmıştı!

Bu yazıda, parolalar ve WordPress ile ilgili üç şeyden bahsedeceğiz:

  1. Güçlü parola oluşturma ve yönetimi.
  2. WordPress şifre karmasını nasıl yapar.
  3. Kendi parola karma işleminizi uygulamak.

Zayıf ve güçlü şifreler

Parola gücü, kaba kuvvet karmaşıklığı açısından çok tartışılan bir konudur ve bir parolanın ne kadar güçlü olduğu kavramı, daha güçlü bilgi işlem kaynakları bireye kolayca erişilebilir hale geldikçe, on yıllar boyunca büyük ölçüde yeniden tanımlanmıştır. Dünyaca ünlü Güvenlik uzmanı Bruce Schneier, parola güvenliğini ve güvenli parolaların nasıl seçileceğini tartışan mükemmel bir yazı yazdı.

Parola gücü hakkında konuşurken, bağlam ve tehdit düzeyi dahil edilmelidir:

Saldırganın WordPress parolanızı tahmin etmeye çalışması, güvenliğinizi tehlikeye atmış ve karma parola listesinin tamamına erişimi olduğundan farklı ve çok daha zordur.

İlk durumda, saldırgan, kısa sürede çok fazla oturum açma girişimi nedeniyle kimlik doğrulama hizmeti tarafından hızla engellenecektir. Saldırganlar genellikle parolaları, kimlik avı, kötü amaçlı yazılım ve benzeri gibi kaba zorlamadan farklı olarak başka yollarla keşfeder. Ancak hedef, tarih, ad/soyad vb. gibi nispeten genel bilgileri kullanarak bir parola seçmişse, saldırganın parolayı tahmin etmesini kolaylaştırır.

İkinci durumda, saldırganın parola dosyasına erişimi varsa, özellikle kullanılan karma işlevi MD5 ise, bu yalnızca an meselesi olabilir. Uzun zaman önce bozuldu ve güvensiz olduğu kanıtlandı. Saldırgan, tüm parola dosyasının şifresini çok kısa sürede çözmek için önceden hesaplanmış "gökkuşağı" tablolarıyla birleştirilmiş modern donanımı (GPU kartları gibi) kullanabilir. Ek olarak, bazı aşırı durumlarda, tüm kullanıcıların şifreleri veritabanında 'düz metin' olarak saklanır. Her iki durumda da şifrenizin "gücü" geçersiz olur.

Güçlü parolalar nasıl oluşturulur ve saklanır

Düzenli olarak güçlü parolalar düşünmeye çalışmak yerine, parola oluşturma ve yönetimini güvendiğiniz bir bilgisayara bırakmak en iyisidir. Siz insansınız ve kaçınılmaz olarak hata yapacak ve bilgisayarın zayıf bir seçim olarak gördüğü bir şeyi seçeceksiniz.

Her hizmet için parola oluşturmak ve depolamak için bir parola yöneticisi kullanmak verimlidir ve en az tehditle sonuçlanır. Tüm şifrelerinizi tek bir yerde tutma düşüncesi sinir bozucu olsa da, aslında bir artıdır: Tüm şifrelerinizin tek bir yerde olduğunu bilerek, onları daha kolay koruyabilirsiniz. Kolayca hatırlayabileceğiniz ancak kolayca tahmin edebileceğiniz zayıf şifrelerin rastgele kağıt parçaları veya permütasyonları artık yok. Ayrıca, bir parola yöneticisi, herhangi bir sorun yaşamadan güçlü parolalar oluşturmanıza yardımcı olabilir.

En popüler (ve pahalı) seçenek 1Password'dür, ancak işletim sisteminizde sağlananı (Apple'ın iCloud KeyChain'i gibi) deneyebilir ve kullanabilir veya KeePass gibi açık kaynaklı çok platformlu bir çözüm kullanabilirsiniz.

Pressidium ile web sitenizi barındırın

60 GÜN PARA GERİ GARANTİSİ

PLANLARIMIZI GÖRÜN

WordPress şifre karma

Parola karması, düz metin parolasının bir karma işlevine geçirildiği ve uzun bir alfasayısal değere dönüştürüldüğü bir tekniktir. WordPress, bunları veritabanında depolamak için kullanır ve meraklı gözlerin WordPress şifrelerini doğrudan okumasını engeller. WordPress'e giriş yaptığınızda ve şifrenizi gönderdiğinizde, hash'i hesaplar ve bunu veritabanındaki ile karşılaştırır. Aynıysa, size erişim verilir, değilse reddedilirsiniz. Bu yöntem, belirli bir metin dizesi (bu durumda bir WordPress parolası) her zaman aynı karma değeri üreteceği için çalışır. Bir hash değeri orijinal metne geri dönüştürülemediğinden, WordPress sadece verdiğiniz şifrenin hash değeri ile veritabanında saklanan şifrenin aynı olması durumunda doğru olanı girdiğinizi anlayabilir.

Varsayılan olarak, WordPress wp_hash_password() işlevi, karma oluşturmak için 8 geçişli bir MD5 algoritması kullanır. Bununla birlikte , MD5, modern donanım ve çok sayıda önceden hesaplanmış değeri tutan gökkuşağı tabloları adı verilen bir tekniğin bir kombinasyonu kullanılarak başarıyla kırıldı. Bunlar, bir saldırganın yalnızca bir modern GPU üzerinde saniyede milyarlarca kombinasyonu denemesine yardımcı olur.

Kendi WordPress şifre karma işleminizi uygulayın

Tanımlama grubunu (16, FALSE) örneklemede PasswordHash nesnesine ileterek Bcrypt gibi farklı bir uygulama seçebilirsiniz (ve seçmelisiniz). wp_hash_password() ve wp_set_password() işlevlerinin ikisi de takılabilir, böylece kendi uygulamanızı sağlayabilirsiniz. wp-includes/pluggable.php altında bulunabilirler.

Roots.io (Trellis, Bedrock ve Sage ortak WordPress sisteminin arkasındaki kişiler) ayrıca varsayılan WordPress karma işlevleri için bcrypt işlevselliği uygulayan bir WordPress eklentisi yayınladı.

Çözüm

Güçlü parolalar kullandığınızdan emin olmak ve bunları sık sık değiştirmek için bir parola yöneticisi kullanmak en iyisidir. Bu, tüm parolalarınızı tek bir yerde organize etmenize yardımcı olabilir ve bunları değiştirme zamanı geldiğinde size hatırlatabilir. Parola karması söz konusu olduğunda, WordPress'in varsayılanına geri dönmek yerine SHA-2 veya Bcrypt gibi kriptografik olarak güvenli bir algoritma kullanmak en iyisidir. Tek bir hata güvenlik sorunlarına yol açabileceğinden, kendi karma işlevinizi döndürmekten en iyi şekilde kaçınılır.