iThemes Security Pro Feature Spotlight – Passwortanforderungen

Veröffentlicht: 2021-06-23

In den Feature-Spotlight-Beiträgen werden wir eine Funktion in iThemes Security Pro hervorheben und ein wenig darüber erzählen, warum wir die Funktion entwickelt haben, für wen die Funktion gedacht ist und wie die Funktion verwendet wird.

Heute rücken wir die Funktion für Passwortanforderungen in iThemes Security Pro ins Rampenlicht, die ein großartiges Tool zum Sichern Ihres WordPress-Logins ist.

Warum wir Passwortanforderungen entwickelt haben

Wir wissen, wie schwer es sein kann, Menschen dazu zu bringen, Best Practices für die Sicherheit zu befolgen. Ein starkes Passwort ist ein wesentlicher Bestandteil Ihrer WordPress-Login-Sicherheit. Lassen Sie uns über einige der häufigsten Passwort-Fallstricke sprechen, die Ihre Website gefährden können.

1. Schwache Passwörter sind immer noch zu häufig.

In einer von Splash Data zusammengestellten Liste war das am häufigsten verwendete Passwort in allen Datendumps 123456. Ein Datendump ist eine gehackte Datenbank, die mit Benutzerpasswörtern gefüllt ist, die irgendwo im Internet abgelegt wurden. Können Sie sich vorstellen, wie viele Personen auf Ihrer Website ein schwaches Passwort verwenden, wenn 123456 das häufigste Passwort in Datenabbildern ist?

2. Das WordPress-Login ist der am häufigsten angegriffene Teil Ihrer Website.

Das WordPress-Login ist der am häufigsten angegriffene Teil einer WordPress-Website, und die Verwendung eines schwachen Passworts ist wie der Versuch, Ihre Haustür mit einem Stück Klebeband zu verriegeln. Standardmäßig ist die WordPress-Anmelde-URL für jede WordPress-Site gleich und erfordert keine besonderen Zugriffsberechtigungen. Aus diesem Grund ist die WordPress-Anmeldeseite der am häufigsten angegriffene – und potenziell anfälligste – Teil jeder WordPress-Site.

3. Ein 8-stelliges Passwort kann SOFORT geknackt werden.

Es hat nie lange gedauert, bis ein Hacker sich durch ein schwaches Passwort in eine Website brach. Jetzt, da Hacker Computergrafikkarten für ihre Angriffe nutzen, war die Zeit, die zum Knacken eines Passworts benötigt wird, noch nie so kurz.

Schauen wir uns zum Beispiel ein Diagramm an, das von Terahash, einem leistungsstarken Unternehmen zum Knacken von Passwörtern, erstellt wurde. Ihr Diagramm zeigt die Zeit, die benötigt wird, um ein Passwort mit einem Hashstack-Cluster von 448x RTX 2080s zu knacken.

Standardmäßig verwendet WordPress MD5, um in der WP-Datenbank gespeicherte Benutzerpasswörter zu hashen. Laut dieser Tabelle könnte Terahash also ein 8-stelliges Passwort knacken … fast sofort. Das ist nicht nur super beeindruckend, sondern auch wirklich gruselig.

Hinweis: Erfahren Sie, wie die Zwei-Faktor-Authentifizierung dazu beitragen kann, Ihre WordPress-Anmeldung vor dieser Art von Angriff zu schützen.

4. Zu viele Leute verwenden kompromittierte Passwörter wieder.

Eine weitere Sache, die Sie bei der Passwortsicherheit beachten sollten, ist, dass Sie für jedes Ihrer Online-Konten ein anderes starkes Passwort benötigen. Wenn Sie für jede Site dasselbe Passwort verwenden und eine dieser Sites kompromittiert ist, verwenden Sie jetzt auf jeder Site ein kompromittiertes Passwort. Hacker können Datendumps von kompromittierten Passwörtern in Verbindung mit Ihrer E-Mail-Adresse oder Ihrem Benutzernamen verwenden, um Zugriff auf Ihre Konten zu erhalten. Es ist am besten, nicht einmal das Risiko einzugehen.

Obwohl 91% der Menschen wissen, dass die Wiederverwendung von Passwörtern eine schlechte Praxis ist, verwenden 59% der Menschen ihre Passwörter immer noch überall! Viele dieser Leute verwenden immer noch Passwörter, von denen sie wissen, dass sie in einem Datenbank-Dump erschienen sind.

Hacker verwenden eine Form von Brute-Force-Angriffen, die als Wörterbuchangriff bezeichnet wird. Ein Wörterbuchangriff ist eine Methode zum Einbruch in eine WordPress-Website mit häufig verwendeten Passwörtern, die in Datenbank-Dumps aufgetaucht sind. Die auf MEGA gehostete „Collection #1“-Datenverletzung umfasste 1.160.253.228 einzigartige Kombinationen von E-Mail-Adressen und Passwörtern. Das ist eine Milliarde mit einem b. Diese Art von Punktzahl wird einem Wörterbuchangriff wirklich helfen, die am häufigsten verwendeten WordPress-Passwörter einzugrenzen.

Wie Sie sehen, ist eine Passwortrichtlinie ein wesentlicher Bestandteil unserer WordPress-Sicherheitsstrategie. So gut Ihre Passwortrichtlinie auch ist, es ist nichts wert, wenn Ihr Administrator und Ihre Redakteure sich nicht an die Richtlinien halten.

Was sind Passwortanforderungen in iThemes Security Pro?

Die Kennwortanforderungsfunktion in iThemes Security Pro ist nicht nur Ihre Kennwortrichtlinie, sondern auch Ihr Durchsetzungsinstrument. Sie können die Mitglieder einer Benutzergruppe zwingen, ein sicheres Kennwort zu verwenden , einen Zeitpunkt für den Kennwortablauf wählen, kompromittierte Kennwörter ablehnen und eine Site-weite Kennwortänderung erzwingen, damit alle Ihre neue Richtlinie für sichere Kennwörter einhalten.

  • Starke Passwörter erzwingen – Zwingen Sie eine Gruppe von Benutzern, ein starkes Passwort zu verwenden.
  • Kennwortablauf – Legen Sie die maximale Anzahl von Tagen fest, die ein Kennwort verwendet werden kann, bevor es abläuft.
  • Kompromittierte Passwörter ablehnen – Zwingen Sie Benutzer, Passwörter zu verwenden, die in keinem von Have I Been Pwned verfolgten Passwortverstößen aufgetreten sind.

Laut dem Verizon Data Breach Investigations Report verwenden über 70 % der Mitarbeiter Passwörter am Arbeitsplatz wieder. Aber die wichtigste Statistik aus dem Bericht ist, dass 81 % der Hacking-bezogenen Sicherheitsverletzungen entweder gestohlene oder schwache Passwörter nutzten. Die Passwortanforderungen von iThemes Security Pro helfen dabei, Ihr WordPress-Login gegen alle in diesem Beitrag erwähnten Passwort-Fallstricke zu schützen.

Darüber hinaus erhalten Sie den zusätzlichen Bonus, Ihre Passwortrichtlinie mit einem Klick auf eine Schaltfläche durchzusetzen. Als Menschen sind wir fest verdrahtet, den Weg des geringsten Widerstands zu gehen. Indem Sie die Option zur Verwendung schwacher oder kompromittierter Passwörter entfernen, helfen Sie allen, ihre Konten zu schützen.

So verwenden Sie die Passwortanforderungen in iThemes Security Pro

Um mit Ihrer neuen Passwortrichtlinie zu beginnen, navigieren Sie zu den Benutzergruppeneinstellungen und aktivieren Sie das Kontrollkästchen Mehrere Benutzergruppen zum gemeinsamen Bearbeiten auswählen.

Wählen Sie nun die Benutzergruppen aus, für die Sie eine Kennwortrichtlinie erzwingen möchten, aktivieren Sie alle Kontrollkästchen im Abschnitt Kennwortanforderungen und klicken Sie dann auf die Schaltfläche Speichern.

Eine kurze Anmerkung zum Ablauf von Kennwörtern: Es gibt einige Leute in der Sicherheits-Community, die der Meinung sind, dass wir die Richtlinie zum Ablauf von Kennwörtern aufgeben sollten. Sie sagen, dass, wenn Sie ein einzigartiges und starkes Passwort verwenden, Ihr Passwort durch keine Zeit schwächer wird.

Ich würde empfehlen, dies für alle Benutzer auf Ihrer Website zu aktivieren. Es ist völlig verständlich und ermutigt, das Anlegen eines neuen Kundenkontos so einfach wie möglich zu gestalten. Ihr Kunde weiß jedoch möglicherweise nicht, dass das von ihm verwendete Passwort in einem Datendump gefunden wurde. Sie würden Ihrem Kunden einen großen Dienst erweisen, indem Sie ihn darauf aufmerksam machen, dass das von ihm verwendete Passwort kompromittiert wurde. Wenn sie dieses Passwort überall verwenden, könnten Sie ihnen später einige große Kopfschmerzen ersparen.

Navigieren Sie schließlich zum Sicherheits-Dashboard und klicken Sie auf der Karte Benutzersicherheitsprofile auf die Schaltfläche Kennwortänderung erzwingen. Nun müssen alle Ihre Benutzer bei der nächsten Anmeldung ein neues Passwort erstellen, das Ihrer neuen Passwortrichtlinie entspricht.

Einpacken

Ihr WordPress-Login ist der am häufigsten angegriffene Teil Ihrer Website und ein starkes Passwort ist Ihre erste Verteidigungslinie. Die Funktion Passwortanforderungen in iThemes Security Pro macht es Ihnen leicht, eine Passwortrichtlinie zu erstellen und durchzusetzen, um Ihre WordPress-Anmeldung zu sichern und zu schützen.

Feature-Spotlight