Wordfence 7.1.0 protege contra passwords filtrados usando datos de HaveIBeenPwned

Por en

La última versión de Wordfence (7.1.0 para ser exactos), el popular plugin de WordPress que ofrece un firewall y otras características de seguridad, viene con unas cuantas mejoras que si bien son pocas, son muy, pero muy significativas. La joya de esta versión es la integración con la API de Have I been pwned; si no lo conoces, te comento que es un proyecto que inició un tal Troy Hunt, y que se dedica a recopilar los passwords que salen de todas las filtraciones que lees en la red. Al día de hoy, la base de datos de “Have I been pwned” contiene poco más 500 millones de passwords filtrados, lo que la hace un recurso invaluable de seguridad, eso es, si se usa correctamente.

WordFence tuvo una idea para darle un buen uso; ahora cuando intentes entrar con tu cuenta de administrador en tu sitio con WordPress, hará un chequeo de tu password contra la base de datos de “Have I been pwned”, y de aparecer en esta base de datos no te permitirá entrar, sino que te pedirá que resetees tu contraseña. Es una medida extremadamente simple y a la vez me parece muy efectiva, pues de aparecerte la indicación del reseteo y llevarlo a cabo estarás contribuyendo a exterminar un password de la lista en cuestión:

Ventana que muestra WordFence para proteger contraseñas filtradas

Obvio está, el password antiguo no debes de seguirlo usando por nada del mundo.

Seguramente algunos de mente aguda se habrán hecho la pregunta, “¿y cómo le hace WordFence para verificar la contraseña en el API?“, pensando que esta se envía a través de Internet; pues no, WordFence implementó un mecanismo en el cual sólo envía sólo unos cuantos caracteres del hash criptográfico del password y con los valores de respuesta de la API de WordFence determina si el password existe en la lista; si está, es cuando procede el bloqueo y tienes que hacer un reseteo. Esta nueva característica de WordFence hará que desaparezca la característica Auditoría de Password, pues la nueva protección es más activa evitando que se usen passwords filtrados.

Como dije antes, es simple y efectivo, y está incluido (y habilitado por default) en la versión gratuita de WordFence.

Fuente: Wordfence blog

Deja un comentario

A %d blogueros les gusta esto: