今天�,WordPress大約有四分之一的網(wǎng)絡(luò)。它是一個(gè)很容易影響未來互聯(lián)網(wǎng)發(fā)展的發(fā)電站���。這就是為什么我很興奮地聽到一個(gè)從WordPress 4.3開始的計(jì)劃來改進(jìn)密碼��。
如果你還沒有聽說過���,最新版本的WordPress現(xiàn)在包括了一個(gè)改進(jìn)的用戶體驗(yàn)設(shè)置和重置密碼。雖然這看起來像是一個(gè)更大的更新的一個(gè)小功能�,但它是一個(gè)小而重要的一步,以消除WordPress的最常見的安全問題:人們?cè)趧?chuàng)建和記住密碼方面很糟糕�。例如,閱讀WPEngine對(duì)1000萬(wàn)個(gè)密碼的分析�。
自動(dòng)生成的密碼
為了解決這個(gè)問題,WordPress現(xiàn)在為管理員創(chuàng)建的用戶或自注冊(cè)的用戶設(shè)置了強(qiáng)大的密碼��。這反映了開發(fā)人員和站點(diǎn)管理員在創(chuàng)建新帳戶時(shí)的最佳實(shí)踐�,并在管理員創(chuàng)建新帳戶時(shí)采取了步驟��。
注冊(cè)使用WordPress和新生成的密碼
密碼分析和反饋
此外�����,在WordPress 3.6中發(fā)布的密碼分析器將通知用戶他們所選擇的密碼的強(qiáng)度�,給他們提示�,讓他們的密碼更強(qiáng)。在創(chuàng)建密碼時(shí)�����,這并不是一個(gè)嚴(yán)格的規(guī)則(正如一些人建議的那樣)���,但它的效果與我們的人性一樣。用戶現(xiàn)在必須跳過更多的障礙來創(chuàng)建一個(gè)弱密碼����。讓公眾了解密碼的強(qiáng)大之處在于,提供直接的反饋�����,可以比強(qiáng)制嚴(yán)格的密碼規(guī)則走得更遠(yuǎn)�。
越來越強(qiáng)的密碼創(chuàng)建的WordPress
沒有更多的密碼通過電子郵件發(fā)送
最后���,WordPress刪除了可以通過電子郵件發(fā)送密碼的功能,而是通過電子郵件在24小時(shí)內(nèi)將密碼與臨時(shí)密鑰連接起來����。這就消除了未經(jīng)授權(quán)的用戶可以訪問你的WordPress站點(diǎn)的另一個(gè)來源,特別是由于許多通過電子郵件發(fā)送的密碼從未改變��。要求用戶通過密碼重置過程將迫使用戶設(shè)置自己的密碼����,而不是使用自動(dòng)生成的密碼。這鼓勵(lì)用戶創(chuàng)建他們自己的密碼����,并減少需要以不安全的方式保存密碼,例如文本文檔或便利貼���。此外���,當(dāng)你的密碼被更改時(shí),WordPress會(huì)發(fā)送一封電子郵件����,以告知你的賬戶有欺詐性的變化��。
結(jié)束
新的密碼功能主要集中在實(shí)施最佳實(shí)踐和教育公眾����。這只是在WordPress中改進(jìn)密碼安全性和用戶體驗(yàn)的第一步��。當(dāng)然�����,也有很多唱反調(diào)的人;我最喜歡的一件事是����,“在紙墻上加上一扇鋼門。”不要說“安全”���,我會(huì)打噴嚏。“我承認(rèn)�,像這樣的陳述是有道理的。從安全的角度來看�,WordPress仍然有很多改進(jìn)的機(jī)會(huì),當(dāng)一個(gè)項(xiàng)目對(duì)外界的貢獻(xiàn)開放時(shí)�,特別是當(dāng)使用各種各樣的插件時(shí),就會(huì)有漏洞���。盡管有這些事實(shí)�����,為提高WordPress的安全性和在WordPress中創(chuàng)建和管理密碼的過程所做的努力使互聯(lián)網(wǎng)成為一個(gè)更加安全的地方��。
繼續(xù)閱讀在WordPress核心博客上的強(qiáng)密碼特性����。
密碼改進(jìn)的下一步WordPress致力于提高密碼創(chuàng)建和存儲(chǔ)的密碼體驗(yàn)和安全性。許多投稿者提出了更多的意見����,其中許多都有可取之處。
下一個(gè)主要功能是添加2因素身份驗(yàn)證�,它提供了兩種不同的數(shù)據(jù)源來識(shí)別身份驗(yàn)證用戶。許多主要站點(diǎn)和服務(wù)已經(jīng)使用了這種方法����,通常通過使用文本消息發(fā)送生成的密鑰。與Twitter或Github等服務(wù)不同�����,WordPress在世界各地都被廣泛使用���,因此依賴單一服務(wù)進(jìn)行2因素身份驗(yàn)證是一個(gè)問題����。我們能做的最好的事情是依靠電子郵件提供第二個(gè)來源來驗(yàn)證用戶。
雖然有各種各樣的插件提供2因素身份驗(yàn)證���,但它們都以不同的方式實(shí)現(xiàn)了目標(biāo)�����。WordPress核心功能將嘗試標(biāo)準(zhǔn)化用戶體驗(yàn)�,為開發(fā)人員提供用于創(chuàng)建新服務(wù)的方法��。這正是George Stephanis和Derek Herman試圖通過Github上的雙因素功能來完成的�����。我鼓勵(lì)你們閱讀并做出貢獻(xiàn)����,因?yàn)檫@將是WordPress安全的未來��。
本文由重慶網(wǎng)站建設(shè)公司派臣科技收集于網(wǎng)絡(luò)并整理發(fā)布����。
