WordPress 4.7 разрешит 255-символьные пароли для защищенных сообщений

Пользователи WordPress, которые защищают сообщения паролями, скоро получат возможность сделать свои пароли более безопасными. Предстоящий выпуск 4.7 устраняет 12-летний тикет , требующий увеличения количества символов, разрешенных для паролей на защищенных паролем сообщениях. Теперь пользователи смогут защищать свои посты паролем из 255 символов, что больше, чем в предыдущих 20 символах.

Эксперты по безопасности по-прежнему расходятся во мнениях относительно того, что важнее для надежности пароля: сложность или длина. Большинству из нас говорили, что более сложные пароли всегда труднее взломать. Однако наводящая на размышления статья в блоге Microsoft TechNet предполагает, что требуемая сложность пароля только не позволяет пользователям создавать легко угадываемые пароли, но оказывает негативное влияние, уменьшая общее количество возможных паролей в пространстве ключей.

В статье исследуется формула для вычисления битов энтропии (математическое измерение в битах сложности взлома пароля): log(C) / log(2) * L , где C — размер набора символов, а L — длина пароля. Используя эту формулу, в статье делается два вывода:

• Математически ДЛИНА пароля экспоненциально важнее, чем сложность используемого набора символов.
• ЛЮБОЕ правило сложности, включая определение необходимого количества цифр, букв, специальных знаков и т. д., на самом деле увеличивает вероятность взлома пароля.

Помня об этой формуле, решение участников WordPress увеличить размер wp_posts.post_passwordдо 255 символов дает пользователям возможность создавать более длинные и безопасные пароли.

«Более длинные пароли и парольные фразы встречаются гораздо чаще, чем когда почтовые пароли были введены много тысячелетий назад, поэтому давайте увеличим длину post_passwordполя с 20 до 255 символов», — сказал Гэри Пендергаст в сообщении коммита . Поскольку авторы сообщений ожидают, что смогут просматривать пароли, которые они присваивают сообщениям (и часто не записывают их), они будут по-прежнему храниться в виде открытого текста.

Это обновление затрагивает только сообщения, защищенные паролем. Пароли пользователей WordPress не имеют одинаковых ограничений по длине и при желании могут иметь длину более 1000 символов.