Pleins feux sur la fonctionnalité iThemes Security Pro – Authentification à deux facteurs

Publié: 2021-07-14

Dans les publications Feature Spotlight, nous allons mettre en évidence une fonctionnalité d'iThemes Security Pro et expliquer pourquoi nous avons développé cette fonctionnalité, à qui elle est destinée et comment l'utiliser.

Aujourd'hui, nous allons couvrir l'authentification à deux facteurs, une méthode éprouvée pour sécuriser et protéger votre site WordPress.

Pourquoi nous avons développé l'authentification à deux facteurs

Selon le rapport Verizon Data Breach Investigations, plus de 70 % des employés réutilisent les mots de passe au travail. Mais la statistique la plus importante du rapport est que « 81 % des violations liées au piratage ont utilisé des mots de passe volés ou faibles ».

Dans une liste compilée par Splash Data, le mot de passe le plus courant inclus dans tous les vidages de données était 123456. Même si 91 % des personnes savent que la réutilisation des mots de passe est une mauvaise pratique, 59 % des personnes réutilisent toujours leurs mots de passe partout ! Beaucoup de ces personnes utilisent encore des mots de passe qui sont apparus dans une base de données stupide.

Un vidage de base de données se produit lorsqu'un pirate parvient à accéder à une base de données utilisateur, puis vide le contenu quelque part en ligne. Malheureusement pour nous, ces dumps contiennent une tonne d'informations de connexion et de compte sensibles.

La violation de données de la « collection n° 1 » hébergée sur MEGA comprenait 1 160 253 228 combinaisons uniques d'adresses e-mail et de mots de passe. Ce type de score fournira à un bot malveillant plus d'un milliard d'ensembles d'informations d'identification à utiliser dans les attaques par force brute. Une attaque par force brute fait référence à une méthode d'essai et d'erreur utilisée pour découvrir des combinaisons de nom d'utilisateur et de mot de passe pour pirater un site Web.

Toutes ces raisons et bien d'autres devraient vous donner envie d'ajouter une autre couche de protection à votre connexion WordPress.

D'accord, vous êtes donc le type de personne qui utilise un gestionnaire de mots de passe comme LastPass pour créer des mots de passe forts et uniques pour chacun de vos comptes. Mais. Qu'en est-il des autres utilisateurs administrateurs et éditeurs de votre site ? Si un attaquant était capable de compromettre l'un de ses comptes, il pourrait encore causer une tonne de dommages à votre site Web.

S'il n'y avait qu'une méthode pour sécuriser vos comptes d'utilisateurs WordPress que Google disait efficace contre 100% des attaques de bots automatisés.

Qu'est-ce que l'authentification à deux facteurs

L'authentification à deux facteurs est un processus de vérification de l'identité d'une personne en exigeant deux méthodes de vérification distinctes. Google a partagé sur son blog que l'utilisation de l'authentification à deux facteurs peut arrêter 100% des attaques de bots automatisées. J'aime vraiment ces cotes.

Il existe 3 catégories de vérification d'identité

1. Quelque chose que vous savez. Vous souvenez-vous d'avoir rempli des questions de sécurité lors de la création de votre compte hypothécaire en ligne ? Quelque chose comme Qui est ton professeur préféré ? ou Quel est le nom de jeune fille de ta mère ? Ces questions de sécurité sont une forme d'authentification à deux facteurs en exigeant des réponses que vous ne connaissez que.

2. Quelque chose que vous avez. Cette catégorie exige que vous ayez quelque chose physiquement en votre possession, comme votre téléphone ou un Yubikey, pour prouver votre identité. Par exemple, certaines méthodes d'authentification à deux facteurs nécessitent un code temporel envoyé à un appareil spécifique via une application 2FA.

3. Quelque chose que vous êtes. Vous ne connaissez peut-être pas le nom, mais si vous avez un smartphone, vous avez probablement utilisé l'authentification biométrique pour vous connecter à votre téléphone. L'authentification biométrique nécessite une caractéristique biologique unique pour authentifier votre connexion. Si votre téléphone est équipé d'un lecteur d'empreintes digitales ou d'un Face ID, vous utilisez l'authentification biométrique chaque fois que vous déverrouillez votre téléphone.

Exiger l'ajout d'une autre méthode de vérification d'identité pour vous connecter à votre site Web bloquerait toutes les attaques automatisées par force brute et aiderait même à vous protéger en cas de vulnérabilité d'authentification brisée sur votre site Web. Une vulnérabilité Broken Authentication peut permettre à un attaquant de compromettre les mots de passe, les clés ou les jetons de session d'un utilisateur ou d'un utilisateur afin de prendre le contrôle des comptes de l'utilisateur.

Comment utiliser l'authentification à deux facteurs dans iThemes Security Pro

Pour commencer avec l'authentification à deux facteurs, accédez au menu Fonctionnalités des paramètres de sécurité et activez l'authentification à deux facteurs . Après avoir activé Two-Factor, cliquez sur la roue dentée des paramètres.

Examinons maintenant de plus près les paramètres à deux facteurs.

Méthodes d'authentification disponibles pour les utilisateurs – Les paramètres vous permettent de choisir laquelle des trois méthodes d'authentification vous autorisez les utilisateurs à utiliser.

Les trois méthodes d'authentification fournies par iThemes Security Pro :

  1. Application mobile - La méthode de l'application mobile est la méthode d'authentification à deux facteurs la plus sécurisée fournie par iThemes Security Pro. Cette méthode nécessite que vous utilisiez une application mobile gratuite à deux facteurs comme Authy.
  2. E - mail - La méthode d'e-mail à deux facteurs enverra des codes sensibles au temps à l'adresse e-mail de votre utilisateur.
  3. Codes de sauvegarde – Un ensemble de codes à usage unique qui peuvent être utilisés pour se connecter en cas de perte de la méthode principale à deux facteurs.

Très bien, passons au reste des paramètres à deux facteurs.

  • Forcer l'authentification à deux facteurs – Cette option vous permet d'exiger que les utilisateurs d'un groupe d'utilisateurs spécifique utilisent l'authentification à deux facteurs.
  • Désactiver l'intégration à deux facteurs – Ce paramètre vous permet de désactiver l' intégration de l' authentification à deux facteurs pour certains utilisateurs. Nous couvrirons plus en détail l'intégration de 2fa plus tard dans le post.
  • Protection des utilisateurs vulnérables - Lorsqu'il est activé, ce paramètre obligera tous les utilisateurs à utiliser deux facteurs lors de la connexion si le site est vulnérable, comme l'exécution d'un logiciel obsolète ou connu pour être vulnérable.
  • Désactiver lors de la première connexion - Lorsque vous activez la fonction Forcer l'authentification à deux facteurs pour des groupes d'utilisateurs spécifiques, ils devront saisir le jeton à deux facteurs envoyé à leur adresse e-mail la prochaine fois qu'ils se connecteront. L'activation de ce paramètre simplifiera l'intégration flux lorsque les utilisateurs se connectent pour la première fois.
  • Texte de bienvenue à bord - Cela vous permet de personnaliser le texte que les gens voient lorsqu'ils démarrent le flux d'intégration à deux facteurs.

Intégration à deux facteurs

Nous avons créé l'intégration à deux facteurs pour créer un moyen convivial permettant aux utilisateurs de configurer deux facteurs sur leurs comptes lorsqu'ils se connectent. Après avoir activé l'authentification à deux facteurs, chaque utilisateur sera guidé tout au long du processus d'intégration. Vous pouvez désactiver l'intégration à deux facteurs pour des groupes d'utilisateurs spécifiques dans les paramètres à deux facteurs.

D'accord, passons en revue étape par étape la connexion et le processus d'intégration à deux facteurs.

Comme d'habitude, la première chose que vous verrez est le formulaire de connexion. Entrez vos informations d'identification et cliquez sur le bouton Connexion .

Si vous avez suivi nos recommandations et activé les exigences de force 2fa pour les utilisateurs privilégiés, la prochaine chose que vous verrez est un endroit pour saisir le jeton à deux facteurs envoyé à votre adresse e-mail. Ouvrez l'e-mail et copiez et collez le jeton, puis cliquez sur le bouton Connexion .

Sur l'écran suivant, le texte de bienvenue d'intégration vous sera présenté. Gardez à l'esprit que vous pouvez personnaliser cela dans vos paramètres à deux facteurs. Cliquez sur le bouton Continuer pour passer à l'étape suivante.

L'étape suivante consiste à sélectionner les méthodes de deux facteurs que vous souhaitez activer pour votre compte. Cliquez sur la flèche Codes de sauvegarde pour générer une liste de codes de sauvegarde à utiliser si votre méthode d'authentification principale échoue.

Cliquez maintenant sur le bouton Télécharger pour télécharger un fichier texte de vos codes de sauvegarde. Assurez-vous de stocker ces codes dans un endroit sûr.

Cliquez maintenant sur le lien Retour pour revenir à l'écran précédent. Cliquez maintenant sur la flèche de l' application mobile pour activer et configurer cette méthode d'authentification pour notre utilisateur.

Choisissez maintenant votre système d'exploitation mobile, puis ouvrez votre application mobile à deux facteurs sur votre téléphone.

Depuis votre téléphone, scannez le code QR pour continuer à associer le secret à votre application mobile.

Entrez maintenant le code à 6 chiffres de votre téléphone dans votre navigateur Web et cliquez sur Vérifier pour terminer la configuration de l'application mobile.

Alight, maintenant que vous avez tout configuré à deux facteurs, cliquez sur le bouton Continuer pour terminer la connexion à votre tableau de bord WordPress.

Paramètres à deux facteurs du profil utilisateur

Vous pouvez toujours apporter des modifications à vos paramètres à deux facteurs en visitant votre page de profil utilisateur.

À partir de là, vous pouvez créer une nouvelle clé secrète, activer/désactiver les méthodes 2fa et mettre à jour votre méthode d'authentification principale.

Emballer

Pour résumer, il n'y a rien d'autre que vous puissiez faire qui soit aussi simple que d'ajouter 2fa à votre connexion WordPress qui fera plus pour sécuriser votre site. Si vous n'utilisez pas actuellement deux facteurs, ajoutez-le à votre site Web dès maintenant.

Pleins feux sur les fonctionnalités