iThemes Security Pro Feature Spotlight – Zwei-Faktor-Authentifizierung

Veröffentlicht: 2021-07-14

In den Feature-Spotlight-Beiträgen werden wir eine Funktion in iThemes Security Pro hervorheben und ein wenig darüber erzählen, warum wir die Funktion entwickelt haben, für wen die Funktion gedacht ist und wie die Funktion verwendet wird.

Heute werden wir die Zwei-Faktor-Authentifizierung behandeln, eine bewährte Methode zum Sichern und Schützen Ihrer WordPress-Site.

Warum wir die Zwei-Faktor-Authentifizierung entwickelt haben

Laut dem Verizon Data Breach Investigations Report verwenden über 70 % der Mitarbeiter Passwörter am Arbeitsplatz wieder. Aber die wichtigste Statistik aus dem Bericht ist, dass „81 % der Hacking-bezogenen Verstöße entweder gestohlene oder schwache Passwörter nutzten“.

In einer von Splash Data zusammengestellten Liste war das am häufigsten verwendete Passwort in allen Datendumps 123456. Obwohl 91 % der Menschen wissen, dass die Wiederverwendung von Passwörtern eine schlechte Praxis ist, verwenden erstaunliche 59 % der Menschen ihre Passwörter immer noch überall! Viele dieser Leute verwenden immer noch Passwörter, die in einer Datenbank dumm erschienen sind.

Ein Datenbank-Dump tritt auf, wenn ein Hacker erfolgreich Zugriff auf eine Benutzerdatenbank erhält und den Inhalt dann irgendwo online ablegt. Leider enthalten diese Dumps eine Menge sensibler Anmelde- und Kontoinformationen.

Die auf MEGA gehostete „Collection #1“-Datenverletzung umfasste 1.160.253.228 einzigartige Kombinationen von E-Mail-Adressen und Passwörtern. Diese Art von Bewertung liefert einem bösartigen Bot über eine Milliarde Sätze von Anmeldeinformationen, die er bei Brute-Force-Angriffen verwenden kann. Brute-Force-Angriffe beziehen sich auf eine Trial-and-Error-Methode, mit der Benutzername- und Passwortkombinationen entdeckt werden, um sich in eine Website zu hacken.

All diese und weitere Gründe sollten Sie dazu bringen, Ihrem WordPress-Login eine weitere Schutzebene hinzuzufügen.

Okay, Sie sind also die Art von Person, die einen Passwort-Manager wie LastPass verwendet, um starke und einzigartige Passwörter für jedes Ihrer Konten zu erstellen. Aber. Was ist mit den anderen Administrator- und Editor-Benutzern auf Ihrer Site? Wenn ein Angreifer eines seiner Konten kompromittieren kann, kann er Ihrer Website immer noch viel Schaden zufügen.

Wenn es nur eine Methode zur Sicherung Ihrer WordPress-Benutzerkonten gäbe, von der Google sagte, dass sie gegen 100% der automatisierten Bot-Angriffe wirksam ist.

Was ist Zwei-Faktor-Authentifizierung?

Die Zwei-Faktor-Authentifizierung ist ein Prozess zur Überprüfung der Identität einer Person, indem zwei separate Überprüfungsmethoden erforderlich sind. Google teilte in seinem Blog mit, dass die Verwendung der Zwei-Faktor-Authentifizierung 100% der automatisierten Bot-Angriffe stoppen kann. Ich mag diese Chancen sehr.

Es gibt 3 Kategorien der Identitätsprüfung

1. Etwas, das Sie wissen. Erinnern Sie sich daran, bei der Einrichtung Ihres Online-Hypothekenkontos Sicherheitsfragen auszufüllen? So etwas wie Wer ist dein Lieblingslehrer? oder Wie ist der Mädchenname deiner Mutter? Diese Sicherheitsfragen sind eine Form der Zwei-Faktor-Authentifizierung, indem Antworten verlangt werden, die Sie nur kennen würden.

2. Etwas, das Sie haben. Diese Kategorie erfordert, dass Sie etwas physisch in Ihrem Besitz haben – wie Ihr Telefon oder ein Yubikey –, um Ihre Identität zu beweisen. Einige Zwei-Faktor-Authentifizierungsmethoden erfordern beispielsweise einen zeitbasierten Code, der über eine 2FA-App an ein bestimmtes Gerät gesendet wird.

3. Etwas, das Sie sind. Möglicherweise kennen Sie den Namen nicht, aber wenn Sie ein Smartphone besitzen, haben Sie sich wahrscheinlich bei Ihrem Telefon mit biometrischer Authentifizierung angemeldet. Die biometrische Authentifizierung erfordert ein einzigartiges biologisches Merkmal, um Ihr Login zu authentifizieren. Wenn Ihr Telefon über einen Fingerabdruckscanner oder eine Face ID verfügt, verwenden Sie jedes Mal, wenn Sie Ihr Telefon entsperren, die biometrische Authentifizierung.

Wenn Sie eine zusätzliche Methode zur Identitätsüberprüfung benötigen, um sich bei Ihrer Website anzumelden, würden alle automatisierten Brute-Force-Angriffe blockiert und Sie sogar geschützt, wenn auf Ihrer Website eine Sicherheitslücke durch defekte Authentifizierung vorliegt. Eine Sicherheitsanfälligkeit durch defekte Authentifizierung kann es einem Angreifer ermöglichen, die Kennwörter, Schlüssel oder Sitzungstoken eines Benutzers oder Benutzers zu kompromittieren, um die Konten des Benutzers zu übernehmen.

So verwenden Sie die Zwei-Faktor-Authentifizierung in iThemes Security Pro

Um mit der Zwei-Faktor-Authentifizierung zu beginnen, navigieren Sie zum Menü Funktionen der Sicherheitseinstellungen und aktivieren Sie die Zwei-Faktor -Authentifizierung. Nachdem Sie Two-Factor aktiviert haben, klicken Sie auf das Einstellungszahnrad.

Schauen wir uns nun die Zwei-Faktor-Einstellungen genauer an.

Für Benutzer verfügbare Authentifizierungsmethoden – In den Einstellungen können Sie auswählen, welche der drei Authentifizierungsmethoden Sie verwenden dürfen.

Die drei von iThemes Security Pro bereitgestellten Authentifizierungsmethoden :

  1. Mobile App – Die mobile App-Methode ist die sicherste Methode der Zwei-Faktor-Authentifizierung von iThemes Security Pro. Diese Methode erfordert, dass Sie eine kostenlose mobile Zwei-Faktor-App wie Authy verwenden.
  2. E-Mail – Die Zwei-Faktor- E- Mail-Methode sendet zeitkritische Codes an die E-Mail-Adresse Ihres Benutzers.
  3. Backup-Codes – Eine Reihe von Einmalcodes, die für die Anmeldung verwendet werden können, falls die primäre Zwei-Faktor-Methode verloren geht.

Okay, kommen wir zu den restlichen Zwei-Faktor-Einstellungen.

  • Zwei-Faktor-Authentifizierung erzwingen – Mit dieser Option können Sie verlangen, dass Benutzer in einer bestimmten Benutzergruppe die Zwei-Faktor-Authentifizierung verwenden.
  • Zwei-Faktor-Onboarding deaktivieren – Mit dieser Einstellung können Sie das Onboarding der Zwei-Faktor-Authentifizierung für bestimmte Benutzer deaktivieren. Wir werden das 2fa-Onboarding später in diesem Beitrag ausführlicher behandeln.
  • Schutz vor gefährdeten Benutzern – Wenn diese Einstellung aktiviert ist, müssen sich alle Benutzer bei der Anmeldung mit zwei Faktoren anmelden, wenn die Site anfällig ist, z. B. wenn veraltete oder bekanntermaßen anfällige Software ausgeführt wird.
  • Bei der ersten Anmeldung deaktivieren – Wenn Sie die Funktion Zwei-Faktor-Authentifizierung erzwingen für bestimmte Benutzergruppen aktivieren, müssen diese bei der nächsten Anmeldung das an ihre E-Mail-Adresse gesendete Zwei-Faktor-Token eingeben Fluss, wenn sich Benutzer zum ersten Mal anmelden.
  • Integrierter Begrüßungstext – Damit können Sie den Text anpassen, den die Benutzer sehen, wenn sie den Zwei-Faktor-Onboarding-Flow starten.

Zwei-Faktor-Onboarding

Wir haben das Zwei-Faktor-Onboarding entwickelt, um Benutzern eine benutzerfreundliche Möglichkeit zu bieten, bei der Anmeldung eine Zwei-Faktor-Authentifizierung für ihre Konten einzurichten. Nachdem Sie die Zwei-Faktor-Authentifizierung aktiviert haben, wird jeder Benutzer durch den Onboarding-Prozess geführt. Sie können das Zwei-Faktor-Onboarding für bestimmte Benutzergruppen in den Zwei-Faktor-Einstellungen deaktivieren.

In Ordnung, lassen Sie uns Schritt für Schritt durch die Anmeldung und den Zwei-Faktor-Onboarding-Prozess gehen.

Als erstes sehen Sie wie gewohnt das Anmeldeformular. Geben Sie Ihre Zugangsdaten ein und klicken Sie auf die Schaltfläche Anmelden .

Wenn Sie unsere Empfehlungen befolgt und die Force 2fa-Anforderungen für privilegierte Benutzer aktiviert haben, sehen Sie als Nächstes einen Ort, an dem Sie das an Ihre E-Mail-Adresse gesendete Zwei-Faktor-Token eingeben können. Öffnen Sie die E-Mail, kopieren Sie das Token, fügen Sie es ein und klicken Sie dann auf die Schaltfläche Anmelden .

Auf dem nächsten Bildschirm wird Ihnen der Begrüßungstext für das Onboarding angezeigt. Denken Sie daran, dass Sie dies in Ihren Zwei-Faktor-Einstellungen anpassen können. Klicken Sie auf die Schaltfläche Weiter , um zum nächsten Schritt zu gelangen.

Der nächste Schritt besteht darin, auszuwählen, welche Zwei-Faktor-Methoden Sie für Ihr Konto aktivieren möchten. Klicken Sie auf den Pfeil für Backup-Codes, um eine Liste mit Backup-Codes zu erstellen, die verwendet werden sollen, wenn Ihre primäre Authentifizierungsmethode fehlschlägt.

Klicken Sie nun auf die Schaltfläche Download eine Textdatei Ihres Backup - Codes zum Download bereit . Bewahren Sie diese Codes unbedingt an einem sicheren Ort auf.

Klicken Sie nun auf den Link Zurück , um zum vorherigen Bildschirm zurückzukehren. Klicken wir nun auf den Pfeil für die mobile App , um diese Authentifizierungsmethode für unseren Benutzer zu aktivieren und zu konfigurieren.

Wählen Sie nun Ihr mobiles Betriebssystem aus und öffnen Sie dann Ihre mobile Zwei-Faktor-App auf Ihrem Telefon.

Scannen Sie den QR-Code von Ihrem Telefon aus, um das Geheimnis weiterhin mit Ihrer mobilen App zu verknüpfen.

Geben Sie nun den 6-stelligen Code von Ihrem Telefon in Ihren Webbrowser ein und klicken Sie auf Verify , um die Einrichtung der mobilen App abzuschließen.

Steigen Sie aus, nachdem Sie nun die Zwei-Faktor-Konfiguration eingerichtet haben, klicken Sie auf die Schaltfläche Weiter , um die Anmeldung bei Ihrem WordPress-Dashboard abzuschließen.

Zwei-Faktor-Einstellungen des Benutzerprofils

Sie können Ihre Zwei-Faktor-Einstellungen jederzeit ändern, indem Sie Ihre Benutzerprofilseite besuchen.

Von hier aus können Sie einen neuen geheimen Schlüssel erstellen, 2fa-Methoden aktivieren/deaktivieren und Ihre primäre Authentifizierungsmethode aktualisieren.

Einpacken

Zusammenfassend lässt sich sagen, dass Sie nichts anderes tun können, als 2fa zu Ihrem WordPress-Login hinzuzufügen, das mehr zur Sicherheit Ihrer Website beiträgt. Wenn Sie den Zwei-Faktor-Modus derzeit nicht verwenden, fügen Sie ihn jetzt zu Ihrer Website hinzu.

Feature-Spotlight