Back to Question Center
0

Ako zistiť silu hesla Semalt (už uložené)? Ako zmeniť heslo

1 answers:

Som zodpovedný za bezpečnosť veľa zdieľaných hostingových serverov. Väčšina z nich má stránky SEMALT. Každý server má minimálne 500 stránok Semalt.

Podľa mojej skúsenosti začína problém s Semaltom slabým heslom. Väčšina hesiel administrátora webových stránok je veľmi slabá a používanie webových stránok s slabým heslom sa využíva a využíva na rôzne škodlivé aktivity.

Teraz môj plán je zistiť slabé heslo webovej stránky WordPress a silne zmeniť heslo administrátora na iné silné heslo - land for sale in southern spain. Takže WordPress môže byť zabezpečený a môj server nebude mať problém.

Aký je spôsob, ako poznať silu uloženého hesla Semalt?

February 12, 2018

Heslá WordPress sa zhromažďujú, rovnako ako každá rozumná aplikácia, pokiaľ ide o ukladanie hesiel, pretože ukladanie hesiel s jasným textom je veľmi neisté, pretože používatelia môžu mať rovnaké heslo pre iné služby, ktoré používajú (myslieť na gmail?).

Nie je možné konvertovať hash späť na heslo, inak jeden by mohol rovnako dobre uložiť v jasnom texte. Heslá, ktoré sa predtým používali, obsahovali MD5 , ale bezpečnostný tím bol preukázaný ako neistý, takže algoritmus hashovania bol aktualizovaný na phpass .

Tip: WordPress sa stále dokáže podariť správne, aj keď aktualizujete MD5 (% password%) do stĺpca sql.

Teraz praktický spôsob, ako pristupovať k tomu, čo sa pokúšate urobiť pre jednu stránku, je naozaj prinútiť zmenu hesiel zmenou stĺpca na niečo iné a presadzovaním požiadaviek na pevnosť hesla na stránke, na ktorej sa chystá aktualizovať svoje heslo. Váš prípad použitia však vyžaduje, aby ste to urobili pri toľkých inštaláciách WP, a tí majitelia webových stránok vás nebudú ocenia bez vášho súhlasu. Takže musíte určite obmedziť rozsah dosahu svojich činností.

1) Aktualizujte heslá len pre administrátorov, editory, ale požadujete, aby ste zistili, kto sú títo používatelia. Pošlite im e-mail a potom vynucujte obmedzenie hesla na stránke obnovenia hesla / registračnej stránky atď. Pamätajte si, že niekto môže mať tieto formuláre na inom mieste (myslím aj na formuláre AJAX). Vytvorenie príkazu WP-CLI, ktorý vám pomôže pri vykonávaní tohto plánu namiesto načítavania prostredia WP a spúšťania skriptov.

2) Vytvorenie tabuľky dúhy, ktorá pozostáva z hashovaného hesla pre známy reťazec (heslo). A potom musíte v podstate zodpovedať hádke s konkrétnym heslom používateľa a zhodnotiť silu tohto hesla. Generovanie tabuľky je najpomalším krokom, pretože musíte skopírovať každé možné heslo, ktoré sa dá uložiť, uložiť na disk (niekoľko GB v závislosti od dĺžky a kombinácie hesiel, ktoré účtujete) a potom konať na výsledkoch. 99% sa uistite, že je pre vás riešenie pre náročné potreby.

Tip: Poznáte tie soli a tajomstvá, ktoré máme wp-config. php . Ak ich zmeníte, zruší sa prihlásené relácie, len ak to budete potrebovať.

Pokúste sa hrubo vynútiť použitím slovníka útoku

Aký lepší spôsob, ako posúdiť silu hesla? :-) Áno, viem, bude to trvať nejaký čas

Inak by ste mohli jednoducho predpokladať, že všetky heslá sú slabé (povedal by som, že to bude veľmi presný predpoklad) a vytvoriť si heslá, uložiť hashes v databáze a dávať čistý text heslo administrátorov pomocou "bezpečného" kanálu

V opačnom prípade predpokladajme, že všetky heslá sú slabé a nútia administrátorov, aby ich zmenili, a použili veľmi prívetivý validátor intenzity hesla na samotnej webovej stránke.

.

WordPress používa phpass pre hash. V predvolenom nastavení program WordPress nepoužíva blowfish alebo podobne, ale len md5 s počítacím číslom 8192. Ak chcete len nájsť naozaj zlé heslo, bruteforcing je určite uskutočniteľný.

Ale považujem to za pomerne veľké porušenie dôvery, ktorú používatelia vložili do teba, preto by som tento prístup neodporúčal.

Analyzujte svoje heslá pri prihlásení

Môžete pridať skript, ktorý zachyti všetky požiadavky na prihlasovacie skripty WordPress, a prihlásiť alebo analyzovať heslá, ako sú v texte v texte.

Samozrejme, toto len chytí slabé heslá, akonáhle sa používateľ skutočne prihlási. Ak opustili svoje stránky alebo sú skôr neaktívne, môže chvíľu trvať, kým zistíte, že používajú slabé heslo.

Považujem to za ešte väčšie porušenie, ako bruteforcing hashes a tiež s ňou súvisia určité bezpečnostné obavy (ak uložíte heslá v bežnom texte, to by samozrejme bolo znepokojením, ale aj keď nie, môžete náhodne ukladať niektoré informácie z analýzy, ktoré môžu útočníkovi pomôcť).

Implementovať pravidlá pre heslo (a prinútiť používateľov zmeniť ich heslá)

Môžete implementovať politiku hesiel. Keď používateľ predloží nové heslo, skontroluje sa, či je v súlade s vašimi pravidlami alebo nie (v ideálnom prípade by sa to stalo na strane servera, nie na strane klienta prostredníctvom jazyka JavaScript).

Písanie dobrého hesla politiky je ťažké, takže sa pozrite na existujúce politiky, ktoré vám pomôžu tu.

Samozrejme, staré heslá nie sú touto zásadou ovplyvnené, takže musíte prinútiť používateľov, aby zmenili svoje staré heslá, aby dodržali pravidlá

Limit Damage

Vynucovanie silných hesiel môže byť určite dobrý nápad, ale v ideálnom prípade by mala byť napadnutá verzia WordPress skutočne ovplyvnená vás ako správca webu.

Ak by útočník získal prístup k inštalácii WordPress, mali by ste obmedziť poškodenie. V ideálnom prípade by ste chceli, aby bola ovplyvnená len tá jedna inštancia, nie celý váš server (takže sa môžete obávať útočníka, ktorý umiestni na webovú stránku neslušný obsah - rovnako ako platný používateľ - ale nie o vykonaní kódu alebo inej škodlivej aktivita).

Toto je pomerne široká téma, ale niektoré body zahŕňajú: DISALLOW_FILE_EDIT , obmedzené použitie pluginov (pretože sú oveľa menej bezpečne kódované ako samotné WordPress), zakázať JavaScript (napr. -admins majú právo uverejňovať JavaScript, nie administrátorov) atď.

Nie som si istý, či je to možné. Keď vyberiete svoje heslo, je uložená v databáze. Pri prístupe k algoritmom hash nie je reverzné inžinierstvo.

Podľa mojej skúsenosti, skript pre silu hesla sa nachádza v www. príklad. com / wp-admin / js / heslom pevnosti meter. js , a toto je odkaz na to.

Tu môžete meniť úrovne a percentá hesiel, takže môžete nastaviť povinnú silu hesla na 100/100.

A ak chcete, aby váš klient skontroloval silu hesla, je tu roztomilá aplikácia , ktorá vám dá silu hesla.

Nie je možné vykonať nejaké reverzné inžinierstvo a okrem toho existuje niekoľko pluginov, ktoré nútia používateľov získať silné heslá.

.
Wordpress je tak silný, že aj v databáze ukladá heslo jednosmerným šifrovaním, nie je to len md5 hash, ktorý môžete konvertovať, nie je to ani serializované dáta, pre heslo test123 ako $ P $ BjW8o9Dm1vC5bwAcP1iAdNVm0lbvn , aj keď zmeníte heslo v databáze bez použitia šifrovania, nefunguje.

Ako zmeniť heslo

Verím, že ste si toho vedomí, ale nechám ho tu. Môžete zadať svoj panel wordpress s admin privilegiami, ísť na užívateľov, nájsť užívateľa a táto časť je trochu zlé pre vás účely, pretože musíte kliknúť na vygenerovať nové heslo, dá vám nejakú náhodnú polievku písmen a symbolov a môžete upravte ho sami, ale aj potom sa nezobrazí heslo.

.

Pokiaľ nevyužijete veľmi vyčerpávajúci zoznam hesiel, nezachytia všetky slabé heslá, ale vyfiltrujú najslabšie z nich.

Nemôžete nútiť zmeniť heslo administrátora wp, ak nemáte žiadnu kontrolu v každej stránke wordpress, ktorá je uložená v phpmyadmin.

A nie, nie je žiadny rýchly spôsob, ako zistiť týždeň heslo na 500 stránok wordpress. Josip spomenul jeden odkaz na pevnosť hesla, ale táto stránka nepoužila md5 crypto algo na pevnosť hesla.

Skontrolovať to SO Link , ( Wordpress pomocou MD5 ) a uvidíte, že výstup je odlišný od toho aplikácie. Takže ako vidíte p # aSS * Word14 nie je bezpečný ako Dance With Me Tonight Takže nepoužívajte aplikáciu thirt party na kontrolu svojho Wordpress hesla, crypto algoritmus na kontrolu / prevzatie pevnosti hesla.

Tiež by ste mali mať všetky heslá a otestovať ich jeden po druhom, neexistuje žiadny magický trik na rýchle zistenie.

Ďalšia vec je, že ak je jedna stránka WordPress napadnutá, nemala vplyv na iné webové stránky na serveri WP (okrem útoku DOS). Videl som veľa ľudí, ktorí začali pracovať v zdieľanom hosťovaní, a ich stránky sú stále hackované, ale stále ich susedné stránky boli v poriadku, pretože každý wp má svoju vlastnú databázu na phpmyadmin.

Ako už bolo uvedené v predchádzajúcich odpovediach: nemôžete čítať uložené heslá.

Alternatívnym riešením by mohlo byť:

  1. Implementovať návrh Josipa Ivica , aby sa presadili silné heslá.
  2. Odstráňte všetky heslá (alebo len heslá pre používateľov s určitými oprávneniami).
  3. A nakoniec informujte postihnutých používateľov o tom, že nové pravidlá o heslách sú platné a nasmerujte ich na / wp-login. php? action = lostpassword obnoviť heslá.