U2Fを使用してWordPressサイトをフィッシングから保護しますか?

公開: 2021-07-29

フィッシング
フィッシングは、Webサイトが受ける可能性のある最も重大な脅威の1つです。 それはあなたのデータ、パスワード、実際にはあなたのアカウント全体を盗む可能性があります。 誤ったタイプのURLを介して意図せずにフィッシングサイトにアクセスする可能性があります。 ただし、U2Fを使用すると、 WordPressサイトをフィッシングから完全に保護できます。

YubicoとGoogleの共同の努力によって作成された、U2Fは基本的に、Webサイトのプライバシーとセキュリティを保証する承認されたプロトコルです。 U2Fは、ユニバーサルセカンドファクターの略語であり、WordPressサイトをあらゆる種類のフィッシングから保護することを唯一の目的としています。

U2Fを利用する場合、クライアントソフトウェアやドライバーは必要ありません。これは、間違いなく最良の部分です。 必要なのは、このプロトコルのオンラインサービスをサポートするデバイスに登録することだけです。 最近のシナリオでは、FIDOAllianceがU2Fをホストしています。

プロトコルのメカニズムについて話すとき、U2Fは主にフラッシュドライブにいくらか似ている物理的なUSBキーであることに言及することが重要です。 アカウントがこれらのUSBキーで接続されていない限り、アクセスすることはできません。 これは実際には2要素認証です。

U2Fセキュリティキーの特性

物理USBキーを構成したら、これらのキーをシステムに接続してから、ボタンをクリックする必要があります。 主に、これらのUSBセキュリティキーは、登録と認証の2つの重要なコマンドを保持します。 後で、これらのコマンドは両方ともAPIブラウザーの形式でWebページに配信されます。

最初のコマンドの場合、使用しているUSBキーは、新しい非対称キーのペアを生成すると同時に、公開キーを返します。 これに続いて、サーバーはユーザーアカウントとセキュリティキーを返された公開キーに接続します。

一方、認証に関しては、USBキーは、アカウントにログインした瞬間にUSBスティックの存在をテストすることにより、最初にあなたの存在を検出します。 物理的な存在が確認されると、プロトコルにより秘密鍵でアカウントのロックを解除できます。 このようにして、U2FセキュリティキーはWordPressサイトをフィッシングから保護します

なぜU2Fが重要なのですか?

前述のように、U2Fはアカウントの前で保護シールドとして機能します。 マルウェア攻撃、セッションハイジャック、フィッシングなど、いくつかの種類のサイバー攻撃からWebサイトのすべての機密データを保護します。統計調査によると、小規模から大規模のWebサイトの約97%がフィッシングの餌食になります。 したがって、アカウントを処理してフィッシングを防ぐのに十分な能力があると考えている場合は、おそらく間違っています。

YubiKeyのようなU2Fキーを利用する場合、キーは公式に登録されたアカウントでのみ機能するため、模倣者はデータを盗むことはできません。 ランディングWebサイトは本物だと感じるかもしれませんが、プロトコルがだまされることはありません。

それはウェブサイトの信憑性を検出し、それについてあなたに警告します。 したがって、WordPressサイトをフィッシングから保護するには、U2Fの使用が避けられません。 この2要素認証は、フィッシングの攻撃を阻止し、Webサイトが乗っ取られるのを防ぎます。

これらのマスターキーは、中間者攻撃やフィッシングに対する専用のサービスと保護を提供します。 したがって、Webサイトが非常に機密性の高いデータや情報を処理する場合は、U2Fセキュリティキーを使用することが究極のソリューションです。 それにもかかわらず、通常のWebサイトは実際にはYubiKeyを必要としません。

WordPressでU2Fを使用する方法は?

これまでにこの記事を読んだことがある場合は、WordPressサイトをフィッシングから保護するためにU2Fを使用することの重要性を認識しておく必要があります。 さて、全体の懸念はそれをどのように埋め込むかということかもしれません。 さて、プロセスは非常に簡単であり、あなたの便宜のために、手順は段階的に参加しています。

  • まず、ユーザーにアクセスしてプロフィールページを見つける必要があります
  • 次に、下にスクロールし続けると、アカウント管理領域の下に2要素オプションを含むいくつかの最新の属性が表示されます。
  • その後、必ずFIDO U2Fを有効にしてプライマリとして設定し、もう一度スクロールして[セキュリティキー]オプションを表示します。 それを見つけたら、[新しいキーの登録]ボタンというラベルの付いたボタンをクリックします
  • キーをプラグインしたら、丸ボタンをタップしてプロファイルを更新することを選択します

ただし、これらの手順をスムーズに処理するには、Googleに登録する必要があります。 また、管理者としてWordPressにログインする必要があります。 最後に、HTTPS接続と、U2Fをサポートする適切なブラウザも必要です。

U2FはOTPやモバイルアプリケーションよりも優れていますか?

U2Fは、アカウントのプライバシーとセキュリティを維持する場合に間違いなく役立ちます。 ただし、少し不便になる場合があります。 たとえば、USPキーを忘れた場合、キーを戻さずにアカウントのロックを解除することはできません。

このような場合、2要素認証でOTPを使用することを考えるでしょう。 ただし、OTPにはいくつかの欠点もあります。

OTPまたはワンタイムパスワードは、実際にはテキストメッセージを介して送信される簡単な数値コードです。 OTPを使用すると、次のような不便に悩まされる可能性があります。

  • OTPは、中間者攻撃やフィッシングからWebサイトを保護することはほとんどできません。つまり、非常に危険です。
  • テキストメッセージを使用して送信されるコードは、多くの労力をかけずに中断できます
  • さらに、OTPを使用している間は、特定のWebサイト/パスワードに特定のドングルを使用する必要があります

したがって、OTPは便利に思えるかもしれませんが、それを明確に洞察すると、U2Fのようにサイトを完全に保護することはできません。 これにより、ユーザーは穏やかなセキュリティを確保できますが、U2Fほど強力ではありません。 メッセージアカウントと電子メールにアクセスして、クライアント、データ、さらにはアカウントを盗むことで、OTPに簡単にアクセスできます。

したがって、軽微な不便に対処するか、アカウントに脅威を与えることを許可するかは、完全にあなた次第です。

さて、あなたの携帯電話で2FAツールを使用することは何も悪いことではありません。 実際、セキュリティシステムも非常に優れています。 ただし、不便について話している場合は、2FAモバイルツールにも欠点があることを知っておく必要があります。

大きな技術的な問題はないかもしれませんが、携帯電話のバッテリーが切れているか、サービスがほとんどない場合、プラットフォームに到達することはほとんどできません。 U2Fセキュリティを使用する場合、これらすべてのことは実際には大きな問題ではありません。 便利でスマートフォンも不要で、しかも物理的なUSBキーは防水仕様です。

ただし、WordPressサイトを無料でフィッシングから保護するような高度なセキュリティを期待することはできません。 したがって、これらのキーに少し投資する必要があります。 これらのキーのコストは、そのバージョンとユーザー範囲によって異なります。

結論
おそらく、あなたの代理店に複数の著名な管理者やクライアントが関与している場合、あなたの会社はあなたの代理店の重要で計り知れない資産を保護するためにセキュリティキーを必要とするかもしれないことを意識しています。 U2Fのケーススタディでは、物理USBキーを使用している機関がフィッシングゾーン0未満であると報告されています。

さらに、これらの機関は、手頃な費用で従業員の効率の向上も享受しました。 実際、U2Fプロトコルの利点は、クライアントまたは従業員によるこれらのキーの使用に比例します。