iThemes Security Pro機能スポットライト–2要素認証

公開: 2021-07-14

Feature Spotlightの投稿では、iThemes Security Proの機能に焦点を当て、その機能を開発した理由、その機能の対象者、およびその機能の使用方法について少し説明します。

今日は、WordPressサイトを保護および保護するための実証済みの方法である2要素認証について説明します。

二要素認証を開発した理由

Verizonのデータ漏えい調査レポートによると、従業員の70%以上が職場でパスワードを再利用しています。 しかし、レポートの最も重要な統計は、「ハッキング関連の侵害の81%が、盗まれたパスワードまたは弱いパスワードのいずれかを利用した」というものです。

Splash Dataがまとめたリストでは、すべてのデータダンプに含まれる最も一般的なパスワードは123456でした。91%の人がパスワードの再利用は悪い習慣だと知っていますが、驚異的な59%の人は今でもどこでもパスワードを再利用しています。 これらの人々の多くは、データベースダムに表示されているパスワードをまだ使用しています。

データベースダンプは、ハッカーがユーザーデータベースへのアクセスに成功し、そのコンテンツをオンラインのどこかにダンプしたときに発生します。 残念ながら、これらのダンプには大量の機密ログイン情報とアカウント情報が含まれています。

MEGAでホストされた「コレクション#1」のデータ侵害には、電子メールアドレスとパスワードの1,160,253,228の一意の組み合わせが含まれていました。 この種のスコアは、ブルートフォース攻撃で使用する10億セットを超える資格情報を悪意のあるボットに提供します。 ブルートフォース攻撃とは、ユーザー名とパスワードの組み合わせを見つけてWebサイトに侵入するために使用される試行錯誤の方法を指します。

これらすべての理由とそれ以上の理由により、WordPressログインに別の保護レイヤーを追加したくなるはずです。

さて、あなたは、LastPassのようなパスワードマネージャーを使用して、アカウントごとに強力で一意のパスワードを作成するタイプの人です。 しかし。 あなたのサイトの他の管理者と編集者のユーザーはどうですか? 攻撃者が自分のアカウントの1つを侵害できたとしても、Webサイトに多大な損害を与える可能性があります。

Googleが自動ボット攻撃の100%に対して効果的であると言った、WordPressユーザーアカウントを保護する方法しかない場合。

二要素認証とは

二要素認証は、2つの別個の検証方法を要求することにより、個人のIDを検証するプロセスです。 Googleはブログで、2要素認証を使用すると自動ボット攻撃を100%阻止できることを共有しました。 私はそれらのオッズが本当に好きです。

本人確認には3つのカテゴリがあります

1.あなたが知っていること。 オンライン住宅ローン口座を設定するときにセキュリティの質問に記入したことを覚えていますか? あなたの好きな先生は誰ですか? またはあなたのお母さんの旧姓は何ですか? これらのセキュリティの質問は、あなただけが知っている答えを要求することによる二要素認証の一形態です。

2.あなたが持っているもの。 このカテゴリでは、身元を証明するために、携帯電話やYubikeyなどの物理的なものを所有している必要があります。 たとえば、一部の2要素認証方法では、2FAアプリを介して特定のデバイスに送信される時間ベースのコードが必要です。

3.あなたが何か。 名前がわからない場合もありますが、スマートフォンをお持ちの場合は、生体認証を使用して電話にログインした可能性があります。 生体認証では、ログインを認証するために固有の生物学的特性が必要です。 スマートフォンに指紋スキャナーまたはFaceIDが搭載されている場合は、スマートフォンのロックを解除するたびに生体認証を使用しています。

Webサイトにログインするために追加の別のID検証方法を要求すると、自動化されたブルートフォース攻撃がすべてブロックされ、Webサイトに認証違反の脆弱性がある場合でも保護に役立ちます。 壊れた認証の脆弱性により、攻撃者はユーザーまたはユーザーのパスワード、キー、またはセッショントークンを侵害して、ユーザーのアカウントを乗っ取る可能性があります。

iThemes SecurityProで2要素認証を使用する方法

二要素認証を開始するには、セキュリティ設定の[機能]メニューに移動し、[二要素]を有効にします。 Two-Factorを有効にした後、設定歯車をクリックします。

次に、2要素設定を詳しく見てみましょう。

ユーザーが利用できる認証方法–設定では、ユーザーが使用できる3つの認証方法のどれを選択できます。

iThemes Security Proが提供する3つの認証方法

  1. モバイルアプリ–モバイルアプリ方式は、iThemes SecurityProが提供する2要素認証の最も安全な方式です。 この方法では、Authyのような無料の2要素モバイルアプリを使用する必要があります。
  2. 電子メール– 2要素の電子メール方式は、時間に敏感なコードをユーザーの電子メールアドレスに送信します。
  3. バックアップコード–主要な2要素認証方式が失われた場合にログインに使用できる1回限りの使用コードのセット。

では、残りの2要素設定に移りましょう。

  • 2要素認証を強制する–このオプションを使用すると、特定のユーザーグループのユーザーに2要素認証の使用を要求できます。
  • 無効に二要素オンボーディング-この設定は、特定のユーザーのために、搭乗二要素認証を無効にすることができます。 2faのオンボーディングについては、後の投稿で詳しく説明します。
  • 脆弱なユーザー保護–この設定を有効にすると、古いサイトや脆弱であることがわかっているソフトウェアの実行など、サイトが脆弱な場合、ログイン時にすべてのユーザーが2要素を使用する必要があります。
  • 初回ログイン時に無効にする–特定のユーザーグループに対して強制2要素認証機能を有効にすると、次回ログイン時に電子メールアドレスに送信される2要素トークンを入力する必要があります。この設定を有効にすると、オンボードが簡素化されます。ユーザーが最初にログインしたときのフロー。
  • オンボードウェルカムテキスト–これにより、2要素のオンボーディングフローを開始したときに表示されるテキストをカスタマイズできます。

2要素オンボーディング

2要素認証を有効にすると、すべてのユーザーがオンボーディングプロセスをガイドされるため、ユーザーがログイン時にアカウントに2要素を設定するためのユーザーフレンドリーな方法を作成するために2要素オンボーディングを作成しました。 2要素設定で、特定のユーザーグループの2要素オンボーディングを無効にできます。

さて、ログインと2要素のオンボーディングプロセスを段階的に見ていきましょう。

通常と同じように、最初に表示されるのはログインフォームです。 資格情報を入力し、[ログイン]ボタンをクリックします。

推奨事項に従い、特権ユーザーに対して強制2fa要件を有効にした場合、次に表示されるのは、電子メールアドレスに送信された2要素トークンを入力する場所です。 電子メールを開き、トークンをコピーして貼り付けてから、[ログイン]ボタンをクリックします。

次の画面に、オンボーディングのウェルカムテキストが表示されます。 これは、2要素設定でカスタマイズできることに注意してください。 [続行]ボタンをクリックして、次のステップに進みます。

次のステップは、アカウントで有効にする2要素の方法を選択することです。 [バックアップコード]矢印をクリックして、主要な認証方法が失敗した場合に使用するバックアップコードのリストを生成します。

次に、[ダウンロード]ボタンをクリックして、バックアップコードのテキストファイルをダウンロードします。 これらのコードは必ず安全な場所に保管してください。

次に、[戻る]リンクをクリックして、前の画面に戻ります。 次に、モバイルアプリの矢印をクリックして、ユーザーに対してこの認証方法を有効にして構成します。

次に、モバイルOSを選択し、携帯電話でモバイル2要素アプリを開きます。

携帯電話からQRコードをスキャンして、シークレットをモバイルアプリにリンクし続けます。

次に、携帯電話からWebブラウザーに6桁のコードを入力し、[確認]をクリックしてモバイルアプリのセットアップを完了します。

2要素をすべて設定したので、[続行]ボタンをクリックして、WordPressダッシュボードへのログインを終了します。

ユーザープロファイルの2要素設定

ユーザープロファイルページにアクセスして、いつでも2要素設定を変更できます。

ここから、新しい秘密鍵を作成し、2faメソッドを有効/無効にし、主要な認証方法を更新できます。

まとめ

要約すると、WordPressログインに2faを追加するほど簡単に、サイトを保護するためにできることは他にありません。 現在2要素を使用していない場合は、今すぐWebサイトに追加してください。

機能スポットライト