Смехотворно умный счетчик паролей появится в WordPress 3.7

WordPress 3.7 не за горами: бета-версия выйдет в эти выходные, а официальный релиз состоится в середине октября. Этот выпуск уделяет большое внимание повышению безопасности WordPress и включает в себя автоматические обновления, которые помогают установкам оставаться в курсе обновлений обслуживания и безопасности. Если вы установите бета-версию и поиграете, вы обнаружите некоторые причудливые, но тонкие изменения под капотом.

WordPress 3.7 помогает новым пользователям принимать более правильные решения в отношении паролей

Задумывались ли вы когда-нибудь, помогают ли измерители надежности паролей кому-либо? Они используются почти на каждом веб-сайте с пользовательскими возможностями, включая сайты WordPress, на долю которых приходится большая часть Интернета.

Измерители надежности паролей могут помочь пользователям выбирать более надежные пароли, но только в том случае, если полезен сценарий, используемый измерителем для оценки надежности пароля. Вот почему WordPress 3.7 будет использовать библиотеку zxcvbn Dropbox.

Беглый тест нового счетчика паролей в WordPress показывает, что он более строг в том, что он считает надежным паролем.

Но новый измеритель надежности пароля выходит далеко за рамки просто «более строгого» и на самом деле намного умнее в том, как он выполняет свои оценки.

Умные оценки надежности паролей

Задача создания паролей, которые вам легко запомнить, но которые трудно взломать хакерам, привела к распространению практики подстановки слов l33t, т.е. использование 3 вместо e, 0 вместо o и т. д. Однако эта практика сейчас настолько распространена, что взломать такие пароли довольно легко. Тем не менее счетчики паролей по-прежнему оценивают эти пароли как надежные, поскольку они содержат комбинацию букв, цифр и символов.

Библиотека zxcvbn на самом деле учитывает это, и поэтому ее оценка не только более строгая, но и более разумная оценка надежности пароля. В то время как «G00dm0rn1ng!» возможно, ранее считался надежным паролем в WordPress 3.6, новый счетчик паролей оценивает его как очень слабый.

Интересно отметить, что «G00dm0rn1ng!» очень хорошо зарекомендовал себя в контрольном списке оценки паролей , но из-за его частой замены цифр и букв новый счетчик паролей WordPress 3.7 не будет считать его надежным паролем.

Как он выполняет лучшие вычисления? Ну, это вопрос какого-то крупного выродка. zxcvbn сначала выполняет сопоставление, чтобы увидеть, совпадает ли введенный пароль с обычными паролями и шаблонами, которые легко взломать. В настоящее время он соответствует:

• Несколько словарей (английские слова, имена и фамилии, 10 000 общих паролей Бернетта)
• Пространственные шаблоны клавиатуры (QWERTY, Дворак и шаблоны клавиатуры), повторы (aaa), последовательности (123, gfedcba), годы с 1900 по 2019 и даты (3-13-1997, 13.3.1997, 1331997).
• Распознает заглавные буквы и общие замены l33t для всех словарей

Во-вторых, он присваивает паролю оценку на основе энтропии в битах. Энтропия пароля рассчитывается по количеству раз, когда пространство возможных паролей может быть сокращено вдвое, как указано Дэном Уилером в его статье , объясняющей модель zxcvbn для оценки реалистичной надежности пароля.

zxcvbn вычисляет энтропию пароля как сумму составляющих его шаблонов. Любые промежутки между совпадающими шаблонами рассматриваются как «шаблоны» грубой силы, которые также вносят вклад в общую энтропию.

Это простой расчет, но без проверки часто используемых шаблонов старые методы определения энтропии паролей слишком упрощены, чтобы быть полезными.

Наконец, поисковый аспект модели находит простейшую (с наименьшей энтропией) непересекающуюся последовательность после анализа возможностей перекрывающихся совпадений. Затем он может дать более точную оценку сложности структуры пароля.

Все это говорит о том, что с помощью zxcvbn WordPress дает гораздо более разумные советы своим пользователям в отношении паролей в версии 3.7. Важно отметить, что WordPress на самом деле не заставляет вас использовать более надежный пароль. Вы все еще можете продолжать использовать «admin123», если хотите оставить все свои двери незапертыми для хакеров. Но новый измеритель надежности пароля в WordPress 3.7 должен помочь пользователям принимать более взвешенные решения.