IThemes Security Pro Feature Spotlight: collegamenti magici e accesso senza password
Pubblicato: 2021-06-24Nei post di Feature Spotlight, evidenzieremo una funzione in iThemes Security Pro e condivideremo un po' del motivo per cui abbiamo sviluppato la funzione, per chi è la funzione e come utilizzarla.
Oggi tratteremo Magic Links e Passwordless Logins , due fantastiche funzionalità del plug-in iThemes Security Pro.
Link magici
iThemes Security Pro è ottimo per bloccare i cattivi. Tuttavia, se un malintenzionato ha utilizzato il nome utente Bob in un attacco di forza bruta e Bob è un utente effettivo sul sito, purtroppo Bob verrebbe bloccato insieme all'attaccante.
La prossima volta che Bob tenta di accedere, viene visualizzato il messaggio di blocco di iThemes Security. Se Bob è l'amministratore del sito, dovrebbe attendere la scadenza del blocco o disabilitare manualmente iThemes Security Pro tramite FTP.
Se Bob è un tuo cliente, è probabile che sopravvaluti la gravità del blocco e ti contatti freneticamente, chiedendoti perché hai lasciato che il suo sito venisse violato. Ciò richiederebbe di spiegare che questa è la prova che tu proteggi il loro sito e poi hai cancellato il blocco usando Sync Pro o accedendo al sito e cancellando il blocco dal widget di iThemes Security per consentirgli di accedere di nuovo.
Anche se è bello impedire ai malintenzionati di entrare in un sito, non ci piace quando la sicurezza influisce sull'esperienza degli utenti reali. Quindi, volevamo creare un modo per consentire a Bob di accedere anche quando il suo nome utente è stato utilizzato in un attacco di forza bruta. Non vogliamo mai che un gestore di un sito debba spendere il proprio tempo prezioso per eliminare i blocchi.
Cosa sono i collegamenti magici?
Magic Links ti consente di accedere al tuo sito WordPress mentre il tuo nome utente è bloccato dalla funzione iThemes Security Local Brute Force Protection.
Quando il tuo nome utente è bloccato, puoi richiedere un'e-mail con un link di accesso univoco. L'utilizzo del collegamento inviato tramite e-mail consentirà di ignorare il blocco del nome utente, mentre gli aggressori di forza bruta sono ancora bloccati.
Come utilizzare i collegamenti magici in iThemes Security Pro
Per iniziare con Magic Links, vai al menu Funzioni delle impostazioni di sicurezza e abilita Magic Links .
Se riscontri un blocco dopo aver abilitato Magic Links ti verrà presentata un'opzione per inviare un Magic Link al tuo indirizzo email.
Basta fare clic sul collegamento "Invia collegamento di accesso autorizzato" per ricevere l'e-mail di Magic Links.
Una volta ricevuta la mail, usa il link, inserisci le tue credenziali e sarai di nuovo nel tuo sito!
Login senza password
Per definizione, ogni misura di sicurezza è progettata per ridurre la comodità di qualunque cosa riceva la sicurezza aggiuntiva. Per maggiore sicurezza, la porta d'ingresso di casa mia ha una serratura. La serratura richiede il passaggio aggiuntivo di utilizzare una chiave per sbloccare la porta prima che si apra. Aggiungere il passaggio in più per entrare in casa mia è probabilmente una buona idea anche se sarebbe più facile senza serratura.
Lo stesso vale per i tuoi account online. L'utilizzo di una password forte e univoca e dell'autenticazione a due fattori ti proteggerà dal 100% degli attacchi di forza bruta. Sfortunatamente, ci sono ancora molte persone che riutilizzano la loro stessa password debole e non usano alcuna forma di due fattori.
Quelli di noi nella comunità della sicurezza spesso hanno difficoltà a capire perché è stato così difficile convincere le persone a sacrificare un po' di comodità per ottenere un'enorme quantità di sicurezza. Non pensiamo nemmeno di avere una serratura univoca per ogni porta fisica in cui entriamo: ho una chiave per la mia macchina, la macchina di mia moglie, la casa, l'ufficio e la cassetta della posta, quindi perché usare una password univoca sulla nostra porta virtuale sembra così sconveniente?
Perché abbiamo sviluppato accessi senza password per WordPress?
Noi della comunità della sicurezza abbiamo iniziato a renderci conto che abbiamo sempre reso la sicurezza più confusa di quanto dovrebbe essere. Una volta che hai una chiave per una porta fisica, hai finito. Tuttavia, con la sicurezza della password, abbiamo creato una serie di regole che possono essere opprimenti. A peggiorare le cose, non sembra che possiamo essere d'accordo su quali dovrebbero essere le regole per la creazione di una password complessa.
Indipendentemente dal fatto che noi della comunità della sicurezza lo vogliamo ammettere o meno, l'utilizzo di un gestore di password e dell'autenticazione a due fattori può essere una seccatura e richiedere molto tempo, soprattutto perché spostiamo sempre più le nostre vite online.
Quindi volevamo creare un modo per consentire alle persone di ottenere tutta la sicurezza fornita da una password forte e unica senza sacrificare l'usabilità.
Cosa sono gli accessi senza password?
L'accesso senza password è un nuovo modo per verificare l'identità di un utente senza richiedere effettivamente una password per l'accesso. Abbiamo preso l'idea dei collegamenti magici e l'abbiamo evoluta in un nuovo metodo di accesso che consente di richiedere agli utenti di utilizzare password complesse e autenticazione a due fattori senza mai inserire una password o un codice di autenticazione aggiuntivo.
Come utilizzare gli accessi senza password
Per iniziare a utilizzare gli accessi senza password, accedi al menu Funzioni delle impostazioni di sicurezza e abilita l' accesso senza password .
Dopo aver abilitato l'accesso senza password, fare clic sulla ruota dentata per gestire le impostazioni.
Fare clic sui collegamenti Gruppi utenti per selezionare quali utenti possono utilizzare il metodo di accesso e ignorare due fattori quando si utilizza il metodo.
Ora che hai abilitato gli accessi senza password, puoi applicare password complesse e requisiti a due fattori senza influire negativamente sull'esperienza degli utenti sul tuo sito.
Come funziona il metodo di accesso senza password
Quando accedi ti verrà chiesto di scegliere un metodo di accesso. Fare clic sul pulsante Email Magic Link per inviare l'e-mail contenente il collegamento di accesso senza password.
Ora vedrai un messaggio che conferma che l'e-mail è stata inviata.
Nella tua casella di posta elettronica, apri l'e-mail di Magic Link e il pulsante Accedi ora .
E questo è tutto, nessuna immissione di password o token a due fattori. Ciò significa che una volta abilitato Passowordless Login, non è necessario conoscere la password complicata o copiare e incollare un codice aggiuntivo per accedere. Tuttavia, quei cattivi che cercano di forzare il tuo sito avranno una percentuale di successo dello 0%.
Avvolgendo
Come puoi vedere, sia i collegamenti magici che gli accessi senza password in iThemes Security Pro possono aggiungere un forte livello di sicurezza al tuo sito senza alcun inconveniente aggiuntivo.
Non perdere la prossima edizione dei riflettori sulle funzionalità di iThemes Security Pro. Stiamo puntando i riflettori su Trusted Devices, un ottimo strumento per proteggere il tuo amministratore di WordPress e per prevenire il dirottamento della sessione.
Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.
