來源:派臣科技|時間:2017-10-13|瀏覽:次
今天,WordPress大約有四分之一的網(wǎng)絡(luò)。它是一個很容易影響未來互聯(lián)網(wǎng)發(fā)展的發(fā)電站。這就是為什么我很興奮地聽到一個從WordPress 4.3開始的計劃來改進(jìn)密碼。
如果你還沒有聽說過,最新版本的WordPress現(xiàn)在包括了一個改進(jìn)的用戶體驗設(shè)置和重置密碼。雖然這看起來像是一個更大的更新的一個小功能,但它是一個小而重要的一步,以消除WordPress的最常見的安全問題:人們在創(chuàng)建和記住密碼方面很糟糕。例如,閱讀WPEngine對1000萬個密碼的分析。
自動生成的密碼
為了解決這個問題,WordPress現(xiàn)在為管理員創(chuàng)建的用戶或自注冊的用戶設(shè)置了強(qiáng)大的密碼。這反映了開發(fā)人員和站點管理員在創(chuàng)建新帳戶時的最佳實踐,并在管理員創(chuàng)建新帳戶時采取了步驟。
注冊使用WordPress和新生成的密碼
密碼分析和反饋
此外,在WordPress 3.6中發(fā)布的密碼分析器將通知用戶他們所選擇的密碼的強(qiáng)度,給他們提示,讓他們的密碼更強(qiáng)。在創(chuàng)建密碼時,這并不是一個嚴(yán)格的規(guī)則(正如一些人建議的那樣),但它的效果與我們的人性一樣。用戶現(xiàn)在必須跳過更多的障礙來創(chuàng)建一個弱密碼。讓公眾了解密碼的強(qiáng)大之處在于,提供直接的反饋,可以比強(qiáng)制嚴(yán)格的密碼規(guī)則走得更遠(yuǎn)。
越來越強(qiáng)的密碼創(chuàng)建的WordPress
沒有更多的密碼通過電子郵件發(fā)送
最后,WordPress刪除了可以通過電子郵件發(fā)送密碼的功能,而是通過電子郵件在24小時內(nèi)將密碼與臨時密鑰連接起來。這就消除了未經(jīng)授權(quán)的用戶可以訪問你的WordPress站點的另一個來源,特別是由于許多通過電子郵件發(fā)送的密碼從未改變。要求用戶通過密碼重置過程將迫使用戶設(shè)置自己的密碼,而不是使用自動生成的密碼。這鼓勵用戶創(chuàng)建他們自己的密碼,并減少需要以不安全的方式保存密碼,例如文本文檔或便利貼。此外,當(dāng)你的密碼被更改時,WordPress會發(fā)送一封電子郵件,以告知你的賬戶有欺詐性的變化。
結(jié)束
新的密碼功能主要集中在實施最佳實踐和教育公眾。這只是在WordPress中改進(jìn)密碼安全性和用戶體驗的第一步。當(dāng)然,也有很多唱反調(diào)的人;我最喜歡的一件事是,“在紙墻上加上一扇鋼門。”不要說“安全”,我會打噴嚏。“我承認(rèn),像這樣的陳述是有道理的。從安全的角度來看,WordPress仍然有很多改進(jìn)的機(jī)會,當(dāng)一個項目對外界的貢獻(xiàn)開放時,特別是當(dāng)使用各種各樣的插件時,就會有漏洞。盡管有這些事實,為提高WordPress的安全性和在WordPress中創(chuàng)建和管理密碼的過程所做的努力使互聯(lián)網(wǎng)成為一個更加安全的地方。
繼續(xù)閱讀在WordPress核心博客上的強(qiáng)密碼特性。
密碼改進(jìn)的下一步WordPress致力于提高密碼創(chuàng)建和存儲的密碼體驗和安全性。許多投稿者提出了更多的意見,其中許多都有可取之處。
下一個主要功能是添加2因素身份驗證,它提供了兩種不同的數(shù)據(jù)源來識別身份驗證用戶。許多主要站點和服務(wù)已經(jīng)使用了這種方法,通常通過使用文本消息發(fā)送生成的密鑰。與Twitter或Github等服務(wù)不同,WordPress在世界各地都被廣泛使用,因此依賴單一服務(wù)進(jìn)行2因素身份驗證是一個問題。我們能做的最好的事情是依靠電子郵件提供第二個來源來驗證用戶。
雖然有各種各樣的插件提供2因素身份驗證,但它們都以不同的方式實現(xiàn)了目標(biāo)。WordPress核心功能將嘗試標(biāo)準(zhǔn)化用戶體驗,為開發(fā)人員提供用于創(chuàng)建新服務(wù)的方法。這正是George Stephanis和Derek Herman試圖通過Github上的雙因素功能來完成的。我鼓勵你們閱讀并做出貢獻(xiàn),因為這將是WordPress安全的未來。
本文由重慶網(wǎng)站建設(shè)公司派臣科技收集于網(wǎng)絡(luò)并整理發(fā)布。