WordPress lưu trữ mật khẩu người dùng như thế nào?

Mật khẩu băm được sử dụng để xác thực LDAP không được Authorizer lưu vào WordPress; . Điều này là do chúng tôi vẫn đang tạo người dùng WordPress (được xác thực qua LDAP), vì vậy chúng tôi phải đặt một số loại mật khẩu để duy trì bảo mật cho tài khoản người dùng đó trên WordPress. Trong trường hợp kết nối LDAP bị xóa, người dùng vẫn có thể đặt lại mật khẩu và đăng nhập thông qua các phương thức xác thực WordPress

Điều này dẫn chúng ta đến điểm tiếp theo; . Chúng tôi lấy tên người dùng và địa chỉ email từ bản ghi LDAP khi tạo người dùng mới;

Bạn có thể xem mã có liên quan để xác thực LDAP tại

Chúng tôi cũng sử dụng địa chỉ email từ LDAP để khớp với tài khoản người dùng WordPress cục bộ để đăng nhập người dùng sau khi họ đã xác thực với LDAP. Mã có liên quan cho việc này là tại

Do đó, Trình ủy quyền hiện yêu cầu sử dụng ít nhất tên người dùng và địa chỉ email từ LDAP để thực hiện đối sánh phù hợp với người dùng WordPress để có quyền và ủy quyền sau khi xác thực LDAP xảy ra

Xin vui lòng cho tôi biết nếu bạn có thêm câu hỏi

Tác giả plugin pkarjala

(@pkarjala)

Không có thêm phản hồi nào cho sự cố này sau một tuần, vì vậy chúng tôi sẽ tiếp tục và đánh dấu sự cố đã được giải quyết. Vui lòng cho chúng tôi biết nếu bạn cần hỗ trợ thêm

Trình bắt đầu chủ đề neenunc

(@neenunc)

The hashed password that is used for the LDAP authentication is not saved to WordPress by Authorizer; instead, a random password is assigned to the user the first time they log in via LDAP and the WordPress user account is created. This is because we are still creating a WordPress user (which is authenticated via LDAP), so we have to set some sort of password in order to maintain security for that user account on WordPress. In case the LDAP connection is removed, the user can still reset their password and log in via WordPress authentication methods.
Giả sử tôi đã đăng nhập qua LDAP vào trang web của mình lần đầu tiên, sau đó nó sẽ băm mật khẩu ldap của tôi vào bảng wp_users, phải không?
Ngay cả khi tài khoản của tôi bị hủy kích hoạt/xóa, tôi có thể đăng nhập bằng thông tin đăng nhập cũ không?

Tác giả plugin pkarjala

(@pkarjala)

Giả sử tôi đã đăng nhập qua LDAP vào trang web của mình lần đầu tiên, sau đó nó sẽ băm mật khẩu ldap của tôi vào bảng wp_users, phải không?

Không đúng; . Sau khi xác thực đó được Người ủy quyền xử lý là hợp lệ, một vài điều khác nhau sẽ xảy ra

1. Nếu người dùng không tồn tại trong WordPress, tài khoản người dùng WordPress mới sẽ được tạo. Email và tên người dùng từ LDAP được sử dụng để tạo người dùng này. Một mật khẩu ngẫu nhiên mới hoàn toàn không liên quan đến mật khẩu LDAP được tạo và lưu trữ trong bảng WP_USERS
1. Nếu người dùng KHÔNG tồn tại trong WordPress, thì người dùng đã đăng nhập. Không có thay đổi nào xảy ra với tài khoản người dùng WordPress

Trong cả hai trường hợp, mật khẩu LDAP chỉ được sử dụng để xác thực với LDAP. Nó không bao giờ được lưu trữ trong WordPress

Nếu tài khoản LDAP của bạn bị xóa, người dùng WordPress sẽ vẫn còn. Tuy nhiên, người dùng sẽ không thể đăng nhập bằng thông tin xác thực LDAP. Thay vào đó, họ sẽ phải đặt lại mật khẩu WordPress và sử dụng xác thực tài khoản cục bộ. Chúng tôi làm điều này vì người dùng WordPress bị ràng buộc với nội dung mà họ tạo và việc xóa tài khoản người dùng WordPress là một quá trình cần tính đến cách bạn chỉ định lại quyền sở hữu nội dung này

Nếu tài khoản WordPress bị xóa, thì tùy thuộc vào cài đặt trong Authorizer, tài khoản người dùng WordPress mới sẽ được tạo nếu người dùng LDAP cố gắng đăng nhập lại. Người ủy quyền có các cài đặt khác nhau về việc chỉ cho phép tất cả các xác thực tài khoản bên ngoài được tạo tài khoản hay đưa chúng vào hàng đợi quản trị viên để người dùng quản trị viên WordPress xác minh trước khi được phép vào WordPress

Khi WordPress được cài đặt, một người dùng quản trị viên hệ thống được tạo, thông tin đăng nhập của họ được lưu trong bảng wp-users của cơ sở dữ liệu WordPress

Nếu bạn kiểm tra bảng wp-users, sử dụng dòng lệnh mysql hoặc phpmyadmin, bạn sẽ thấy rằng mật khẩu văn bản thuần túy được nhập cho người dùng quản trị viên đã được thay thế bằng một chuỗi, bắt đầu bằng mẫu 4 ký tự ($P$B), của

Lưu mật khẩu của người dùng trong cơ sở dữ liệu

Tại thời điểm đăng ký của người dùng, mật khẩu được kết hợp với một chuỗi ngẫu nhiên gồm 64 ký tự được gọi là “salt” để sau đó được xử lý bằng quy trình mã hóa băm và cuối cùng được lưu trong bảng người dùng wp cùng với tên người dùng và dữ liệu bổ sung khác

Xác minh mật khẩu khi đăng nhập

Trong quá trình đăng nhập, mật khẩu do người dùng nhập được kết hợp với muối được lưu trữ trong cơ sở dữ liệu, sau đó được xử lý bằng quy trình băm tiếp theo và kết quả được so sánh với hàm băm được lưu trữ trong cơ sở dữ liệu
Nếu các trình tự khớp hoàn toàn, quyền truy cập vào hệ thống sẽ được cấp, nếu không, nó sẽ bị từ chối

loại băm

Hàm băm là một hàm mật mã có khả năng ánh xạ một chuỗi ngẫu nhiên (dãy ký tự) thành một chuỗi mới có độ dài xác định trước

Một trong những đặc điểm quan trọng nhất của chức năng này, là tính không thể đảo ngược, tôi. e. không có khả năng theo dõi chuỗi ban đầu từ chuỗi cuối cùng, không giống như mã hóa cho phép bạn theo dõi văn bản ban đầu thông qua việc sử dụng các khóa mật mã (công khai và riêng tư)

Để tạo ra các chuỗi băm, cần sử dụng các thuật toán mật mã
Kể từ phiên bản đầu tiên, hệ thống WordPress sử dụng thuật toán MD5 (Message Digest 5) do Giáo sư phát minh. Ronald Rivest của MIT năm 1991

Tuy nhiên, ngày nay thuật toán MD5 không còn được coi là an toàn nữa, vì vào năm 2004, các nhà nghiên cứu Trung Quốc đã thu được một “sự va chạm” (khi các chuỗi khác nhau tạo ra một hàm băm giống hệt nhau) khiến thuật toán không còn an toàn tuyệt đối.

Để củng cố các lỗ hổng của thuật toán MD5, các nhà phát triển WordPress từ phiên bản 2. 5  (tháng 3 năm 2008) trở đi, bao gồm một khung quản lý mật khẩu (Portable PHP Password Hashing Framework, được phát triển bởi Openwall) sử dụng thuật toán MD5, tuy nhiên kết hợp với muối 64 ký tự và số lần lặp hoặc vòng lớn hơn (8) trong quá trình băm

Phân tích cấu trúc băm

Để làm ví dụ, chúng tôi lấy hàm băm sau

$P$BXox1. zpleKOuW4jFS6/Fmg4iaiK. b/

2 ký tự đầu tiên ($P) là loại thuật toán băm được sử dụng (trong trường hợp của WordPress là MD5)

Ký tự thứ 3 và thứ 4 ($B) là số lần lặp được thực hiện (trong trường hợp của WordPress là 8.192)

Sau đó, có một chuỗi gồm 30 ký tự, trong đó 8 ký tự đầu tiên (BXox1. zp) là một muối ngẫu nhiên và cuối cùng 22 ký tự cuối cùng là hàm băm (leKOuW4jFS6/Fmg4iaiK. b/)

Cách cải thiện hơn nữa tính bảo mật của mật khẩu

Ngày nay, trong số các thuật toán bảo mật nhất, có hai thuật toán. bcrypt (có nguồn gốc từ Blowfish, được sử dụng theo mặc định trong các hệ thống BSD giống Unix) và Argon2 được coi là an toàn hơn bcrypt

Trong kho plugin của WordPress có một số plugin cho phép bạn triển khai các thuật toán bảo mật hơn như bcrypt (Thẻ plugin. bcrypt)

Một plugin được đề xuất là Password Evolved (của nhà phát triển Carl Alexander)

Đọc thêm

1) Đọc từ Blog của tôi “Cách tạo mật khẩu chống hack“

2) “Đánh giá sơ đồ băm mật khẩu trong các nền tảng web mã nguồn mở“

Khoa Hệ thống Kỹ thuật số, Đại học Piraeus, Piraeus, Hy Lạp
23 Tháng bảy 2018

 

TrướcTrướcTiêu đề bảo mật HTTP để làm gì?

Tiếp theoMuối, khóa và cookie WordPressTiếp theo

Roberto Jobet

Tôi là kỹ sư hệ thống Linux và là chuyên gia bảo mật thông tin có chuyên môn về bảo mật WordPress. Tôi cung cấp các dịch vụ chuyên nghiệp để đảm bảo tính bảo mật, tính toàn vẹn và tính khả dụng của các trang web WordPress

Mật khẩu người dùng được lưu trữ như thế nào?

Mật khẩu của mỗi người dùng được lưu trữ ở dạng được mã hóa trong tệp /etc/passwd . Các thông tin đăng nhập này được băm bằng hàm băm một chiều để chúng không thể được giải mã.

WordPress sử dụng loại mã hóa nào cho mật khẩu người dùng?

Ngày nay, WordPress sử dụng kết hợp MD5 và PHPass để băm mật khẩu. Mã hóa MD5 là một trong những hàm băm cơ bản nhất.

Dữ liệu người dùng được lưu trữ ở đâu trong WordPress?

WordPress lưu trữ dữ liệu người dùng trong bảng wp_users , được liên kết với các bảng wp_posts và wp_comments. WordPress cũng lưu trữ dữ liệu người dùng trong hai bảng khác. Dữ liệu meta bổ sung về người dùng được lưu trữ trong bảng wp_usermeta.

WordPress có sử dụng MD5 cho mật khẩu không?

WordPress sử dụng khung PHPass, tạo muối cho mật khẩu trước khi thực hiện tám lần băm dựa trên MD5 . Bên cạnh đó, có những kỹ thuật khác giúp bảo vệ dữ liệu hơn nữa.