用户可以使用什么技术来在WordPress密码检查器中获得被评为“强”的密码

时间:2015-03-20 作者:byronyasgur

我为我的所有客户都强制使用了强大的密码,但最近我收到了一些投诉,因为一些用户试图更改密码,放弃了获得强大评级的尝试。起初我不屑一顾,直到我尝试了一下。我花了一些时间尝试使用以下资源编写强密码:

http://wpengine.com/support/strong-passwords/https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.htmlhttps://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-strength-estimation/

我现在明白了,该系统允许更容易记住更难猜测的密码,但我花了很长时间才想出一个密码。我可以很快设置一个很长的密码,但为了得到一个容易记住的东西,我尝试了几十次,这对我来说很好,但我的客户不会接受。

我知道WordPress只是对密码的强度提出建议,但在我的情况下,我有通过插件强制执行的强密码,我更愿意保留此设置,当然,这样做的目的是提高安全性,但具有讽刺意味的是,如果我不能找到一个与检查器一起工作的创建密码的系统,我将面临关闭强密码强制设置的前景。

是否有任何准则可以在短时间内设置密码,最好是我可以用来教育我的客户。在传统的密码检查器中,最终用户知道如何通过遵循一组规则(例如>8个字符、一个大写字母、一个数字、一个符号,而不是用户名等)来获得强密码

Edit: 评论中指出,zxcvbn系统是在WordPress之外使用的,例如Drupal;因此,这个问题可以在StackOverflow上提出,但我测试了官方zxcvbn测试仪演示的评分,结果与消息“弱”、“中”、“强”等没有任何关联。https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html

How does WordPress interpret and use the rankings from zxcvbn?

Edit 2: 我发现了zxcvbn软件和WordPress消息之间的关系,这在某种程度上有效地回答了这个问题,所以我添加了这个作为答案。

3 个回复
最合适的回答,由SO网友:byronyasgur 整理而成

zxcvbn软件没有像传统密码检查器那样使用任何标准化规则,但zxcvbn测试仪的评分为0到4与WordPress评分对应,如下所示;因此,应该可以使用官方测试人员来测试和练习创建将获得“强”评级的密码类型,并从中收集信息,教育客户使用这种新的密码创建方法。

0 => very weak
1 => very weak
2 => weak
3 => medium
4 => strong

https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html

上的检查器this page 携带zxcvbn测试仪的数据以及WordPress测试仪的视觉颜色,因此可能对非技术人员有帮助,因为他们需要在该测试仪上获得5分才能在WordPress测试仪中获得“强”的资格。

SO网友:photocurio

一个由空格分隔的单词组成的短语(“苹果海洋野蛮人”)很容易记住和键入,但由于字符数的原因,它很强。这种密码适用于WP,但并非所有web应用都会接受这种方法。

SO网友:Mark Kaplun

这真的与wordpress无关,但既然它已经有了一个经过投票的答案,我不妨添加我的答案。。。。

对于大多数人来说,不需要强密码。我对许多我不太关心的服务使用软密码,到目前为止我的帐户还没有被黑客入侵(当然是AFAIK;)。需要强大的密码来抵御有针对性的攻击,但如果您只有中等强度的密码,则可能不需要它们来抵御随机登录尝试。为了避免随机登录尝试,最好是对登录速度进行限制,可能是每秒一次,时间足够长,可以减慢攻击速度,但时间足够短,让人根本不会注意到。

然后,您需要问问自己,是否唯一的攻击向量是通过随机登录尝试到服务器。如果这是一个非常强的密码,但您没有SSL,那么什么会阻止星巴克(替换为任何其他免费wifi的地方)管理员在流量日志中找到它?

换言之,密码的强度应该反映出对其被攻击的可能性以及如果被发现可能造成的损害的某种风险评估。与其要求用户拥有强大的密码,不如咨询他们感知到的风险,或者让他们自己决定,而不是强迫他们。

wordpress的经验法则应该是,只有一个管理员用户拥有强大的密码,用户永远不应该以管理员身份登录,除非他们必须真正弄乱代码或全局设置,所有其他用户的能力都应该受到限制,因此即使他们被黑客攻击,可能造成的损害也是非常局部的(编辑内容,但没有修改代码的能力),可能是某种审计过程,比如向用户显示他登录的最后一个IP。

结束

相关推荐

如何写入wp-USERS表

我正在尝试修改一个登录插件,让新用户在注册时输入要在网站上显示的显示名称。我知道显示名称位于数据库的wp users表中,但无法对其进行写入。Edit<?php function wps_pro_login_registration_errors( $errors ) { if ( empty( $_POST[\'first_name\'] ) ) $errors->add( \'empty_first_name\', \'<st