패스워드에 좀 더 주의를 기울여야 한다는 자극을 받아 포스팅한다. 이전 포스트 [워드펜스 “유출된 패스워드” 경고를 실제 체험하다]에 이은 포스트이다. 최근 파이어폭스 웹브라우저를 다시 셋팅하면서 이런 배너를 발견하였다.
(더 보기…)[태그:] 패스워드
-
워드프레스의 패스워드 해싱 방법 노트
해싱 방법
워드프레스는 Portable PHP password hashing framework(phpass)를 사용하여 패스워드를 해싱한다. 이 프레임워크에서는 PHP5.5이후의 내장된 password_hash(), password_verify()를 사용하는 것이 권장하며, 자신들은 그 이전 프로젝트를 위한 호환성을 보장한다고 한다. 워드프레스 최소 환경이 5.2.9인 것을 감안하면 그렇게 해야 할 듯.
예를 들어 설명하는 것이 낫겠다. 워드프레스에서 시험적으로 ‘guest’라는 계정과 ‘guest’라는 매우 취약한 패스워드를 사용하여 계정을 만들었다. 그러면 패스워드 해쉬 값은 ‘$P$ByCNnCoqFGHDSjIkWjlf8heBFfLJLI1’로 나오게 된다.
