Desde hace dos semanas aproximadamente, cambió la forma como se almacenan las contraseñas en la versión en desarrollo de WordPress, ahora ya no se almacena el hash md5 de la contraseña en la base de datos -- como se hace en muchos otros CMS, sino se usa phpass (Portable PHP password hashing framework) para esta tarea.
Por otro lado, también hubo un cambio en generación de cookies de autenticación, que en la actualidad son fácilmente generados a partir del hash de la contraseña almacenada en la base de datos. Esta nueva implementación está basado en el paper "A Secure Cookie Protocol" (pdf).
Sin duda estos cambios son importantes y de seguro reducirán la acción de ciertos problemas de seguridad que se basaban sólo en obtener el hash almacenado.
4 replies on “Cookies de autenticación y contraseñas más seguras en WordPress”
Hola Álex,
Estoy trabajando en cierto gestor de bitácoras, y, estoy guardando de las contraseñas su hash MD5 en la base de datos. Voy a echar un vistazo al software que mencionas, porque probablemente merezca la pena, pero, me pregunto una cosa.
Si bien puede ser que el MD5 de una cadena pueda "averiguarse", ¿no es también cierto que dependerá de la debilidad de la contraseña, en este caso? Quiero decir, haciendo uso de contraseñas "fuertes", con la debida longitud, con caracteres especiales, mezclando mayúsculas, minúsculas y números, ¿no es complicado averiguar el MD5 de una cadena así?
Supongo que hago una pregunta de perogrullo, o que está demás aquí en tu weblog, o que me estoy perdiendo varias cosas. Por otro lado, no he podido resistirme a hacerla. Y en todo caso no sé si me he explicado convenientemente. Me disculpo si no ha sido así.
Se te saluda Álex,
David
Álex, al final he pensado que no sería mala cosa emplear "phpass" en mi proyecto. Muchas gracias por la información acerca del mismo. Ya te debo dos, por lo menos. Muchas gracias. 😉
Naturalmente que si. Lo que yo hice en estos casos es almacenar el hash de la combinación de la contraseña y un salt.
Muchas gracias Álex. En mi caso almacenaba únicamente el "MD5", pero, procurando emplear contraseñas "fuertes", por decirlo así. Ahora bien, un programa como el que estoy llevando a cabo, se supone que puede ser usado por alguien que puede llegar a usar contraseñas "débiles", y, siendo esto así, el uso de PHPASS intuyo que no estará demás.
¡Gracias otra vez Álex!