Passord videreutviklet

Beskrivelse

Målet til denne utvidelsen er å forbedre autentiseringen i WordPress gjennom anbefalinger fra moderne sikkerhetspraksis. På nåværende tidspunkt forbedrer utvidelsen autentisering ved å gjøre følgende:

Håndhever uavslørte passord

Utvidelsen forhindrer enhver fra å bruke passord som har dukket opp etter datainnbrudd. Hver gang noen logger inn på et WordPress-nettsted vil den verifisere passordet ved hjelp av Have I been pwned? API-et. Hvis deres passord har dukket opp etter et datainnbrudd vil utvidelsen forhindre innlogging inntil de har tilbakestilt sitt passord.

Som standard vil dette nivået av håndhevelse skje for en konto med rollen «administrator». Du kan endre hvilke roller som skal få sine passord håndhevet på siden for innstillinger. For brukere som har en rolle uten håndheving av slike passord vil få en advarsel om de logger inn med et kompromittert passord.

Håndhevelsen av ukompromitterte passord skjer også når noen tilbakestiller eller endrer sitt passord. I de situasjonene er bruk av et ukompromittert passord påkrevet. Ingen vil kunne tilbaestille eller endre sitt passord til ett som har dukket opp etter sikkerhetsbrudd. (Så sant utvidelsen er i stand til å kontakte APIet.)

Bruker sterkere passord-avtrykk

Utvidelsen krypterer også passord med enten bcrypt eller Argon2 avtrykksfunksjoner. Dette er de sterkeste avtrykksfunksjonene tilgjengelig i PHP. Argon2 er tilgjengelig opprinnelig fra PHP 7.2, men utvidelsen kan også kryptere passord på eldre PHP-versjoner ved hjelp av kompatibilitetslaget fra libsodium, introdusert i WordPress 5.2.

Du trenger ikke gjøre noe for å konvertere ditt passordavtrykk til sterkere krypteringsstandard. Utvidelsen vil ta seg av å konvertere neste gang du logger inn etter at du har installert utvidelsen. Om du bestemmer deg for å fjerne utvidelsen vil ditt passord fortsette å virke og forbli kryptert inntil du tilbakestiller det.

Det er også verdt å merke seg at å bruke en sterkere avtrykksfunksjon bare er viktig i tilfelle et datainnbrudd. En sterkere passordavtrykksfuksjon gjør det mye vanskeligere å dekryptere et passord etter et innbrudd. Dette kombinert med håndhevelse av ukompromitterte passord vil hjelpe til å sørge for at slike passord aldri blir dekryptert. (Eller i det minste ikke uten betydelig innsats.)

FAQ

Vent, så dere sender mitt passord til en tredjepart?

Nei, utvidelsen sender aldri ditt fulle passord til en tredjepart for verifisering. Utvidelsen sender bare de fem første tegnene i passordavtrykket laget medSHA-1 til en tredjepart. Tredjeparten returnerer så alle passord med et avtrykk som starter med de fem tegnene.

Utvidelsen håndterer resten av passordverifiseringen selv. Den sammenlikner avtrykket av ditt passord basert på SHA-1 med passordene returnert fra tredjeparten. Vi kaller denne prosessen k-anonymitet. (Du kan lese mer om validering av lekkede passord med det her.)

Vurderinger

11. oktober, 2021
This seems to work very well, at least no issues - immediate or long term. A client user was very surprised that "WordPress" could know their password was "pwned", but thankful for the reminder. Beware that if you deactivate this plugin, users have to reset their passwords. So just keep it - for the enhanced security through a modern and relatively simple plugin. Should be added to core, IMO.
Les 1 vurdering

Bidragsytere og utviklere

“Passord videreutviklet” er programvare med åpen kildekode. Følgende personer har bidratt til denne utvidelsen.

Bidragsytere

“Passord videreutviklet” har blitt oversatt til 2 språk. Takk til oversetterne for deres bidrag.

Oversett “Passord videreutviklet” til ditt språk.

Interessert i utvikling?

Bla gjennom koden, sjekk ut SVN-repositoriet, eller abonner på utviklingsloggen med RSS.

Endringslogg

1.3.0

Utgitt: 2021-03-21

  • Remove call to api on every request [carlalexander]
  • Add informal (default) and formal german translations [carstenbach]

1.2.0

Utgitt: 2020-01-03

  • Fixed fatal error when installed as a mu-plugin [carlalexander]
  • Added support for libsodium [carlalexander]

1.1.4

Utgitt: 2019-05-07

  • Bump minimum PHP version to 5.6 [carlalexander]

1.1.3

Utgitt: 2018-04-29

  • Fixed missing settings_saved string in English translation [carlalexander]
  • Added missing echo when translating settings_saved string [carlalexander]

1.1.2

Utgitt: 2018-03-21

  • Added Brazilian Portuguese translation [celsobessa]
  • Reworked how the plugin handles its default translation [carlalexander]

1.1.1

Utgitt: 2018-03-06

Improved how the API client and password generator handled if the API was online or not.

1.1.0

Utgitt: 2018-03-01

Reworked plugin to use the new version of the HIBP API (Have I been pwned? API) which supports k-anonymity. This allows the plugin to be used in production now.

1.0.0

Utgitt: 2017-08-24

Opprinnelig utgivelse