iThemes Security Pro Feature Spotlight - Requisiti per la password

Pubblicato: 2021-06-23

Nei post di Feature Spotlight, evidenzieremo una funzione in iThemes Security Pro e condivideremo un po' del motivo per cui abbiamo sviluppato la funzione, per chi è la funzione e come utilizzarla.

Oggi stiamo puntando i riflettori sulla funzione Requisiti password in iThemes Security Pro, che è un ottimo strumento per proteggere il tuo accesso a WordPress.

Perché abbiamo sviluppato i requisiti per la password

Sappiamo quanto può essere difficile convincere le persone a seguire le migliori pratiche di sicurezza. Una password complessa è una parte essenziale della sicurezza dell'accesso a WordPress. Parliamo di alcune delle comuni insidie ​​​​della password che possono mettere a rischio il tuo sito web.

1. Le password deboli sono ancora troppo comuni.

In un elenco compilato da Splash Data, la password più comune inclusa in tutti i dump di dati era 123456. Un dump di dati è un database violato pieno di password utente scaricate da qualche parte su Internet. Riesci a immaginare quante persone sul tuo sito Web utilizzano una password debole se 123456 è la password più comune nei dump di dati?

2. Il login di WordPress è la parte più attaccata del tuo sito web.

L'accesso a WordPress è la parte più attaccata di un sito Web WordPress e l'utilizzo di una password debole è come cercare di chiudere la porta di casa con un pezzo di nastro adesivo. Per impostazione predefinita, l'URL di accesso di WordPress è lo stesso per ogni sito WordPress e non richiede autorizzazioni speciali per l'accesso. Ecco perché la pagina di accesso di WordPress è la parte più attaccata e potenzialmente vulnerabile di qualsiasi sito WordPress.

3. Una password di 8 caratteri può essere decifrata ISTANTANEAMENTE.

Non ci è mai voluto molto tempo prima che un hacker riuscisse a farsi strada con la forza bruta oltre una password debole in un sito web. Ora che gli hacker sfruttano le schede grafiche del computer nei loro attacchi, il tempo necessario per decifrare una password non è mai stato inferiore.

Ad esempio, diamo un'occhiata a un grafico creato da Terahash, una società di cracking di password ad alte prestazioni. Il loro grafico mostra il tempo necessario per decifrare una password utilizzando un cluster hashstack di 448x RTX 2080.

Per impostazione predefinita, WordPress utilizza MD5 per eseguire l'hashing delle password utente memorizzate nel database WP. Quindi, secondo questo grafico, Terahash potrebbe decifrare una password di 8 caratteri... quasi istantaneamente. Questo non è solo super impressionante, ma è anche davvero spaventoso.

Nota: scopri come l'autenticazione a due fattori può aiutarti a proteggere il tuo accesso a WordPress da questo tipo di attacco.

4. Troppe persone riutilizzano le password compromesse.

Un'altra cosa da tenere a mente quando si tratta di sicurezza della password è che hai bisogno di una password complessa diversa per ciascuno dei tuoi account online. Se utilizzi la stessa password per ogni sito e uno di questi siti è compromesso, stai utilizzando una password compromessa su ogni sito web. Gli hacker possono utilizzare dump di dati di password compromesse abbinate al tuo indirizzo e-mail o nome utente per accedere ai tuoi account. È meglio non correre nemmeno il rischio.

Anche se il 91% delle persone sa che riutilizzare le password è una pratica scorretta, il 59% delle persone riutilizza ancora le proprie password ovunque! Molte di queste persone stanno ancora utilizzando password che sanno essere apparse in un dump del database.

Gli hacker usano una forma di attacco di forza bruta chiamata attacco del dizionario. Un attacco a dizionario è un metodo per violare un sito Web WordPress con password di uso comune che sono apparse nei dump del database. La violazione dei dati "Raccolta n. 1" ospitata su MEGA ospitata includeva 1.160.253.228 combinazioni univoche di indirizzi e-mail e password. Sono miliardi con la b. Questo tipo di punteggio aiuterà davvero un attacco al dizionario a restringere le password WordPress più comunemente usate.

Come puoi vedere, avere una politica per le password è una parte essenziale della nostra strategia di sicurezza di WordPress. Per quanto ottima sia la tua politica sulla password, non vale nulla se il tuo amministratore e i tuoi editori non seguono le linee guida.

Quali sono i requisiti per la password in iThemes Security Pro?

La funzione Requisito password in iThemes Security Pro non è solo la tua politica per le password, ma è anche il tuo strumento di imposizione. Puoi obbligare i membri di un gruppo di utenti a utilizzare una password complessa , scegliere un'ora di scadenza della password , rifiutare le password compromesse e forzare una modifica delle password a livello di sito per far sì che tutti si conformino ai tuoi nuovi criteri per le password complesse.

  • Forza password complesse : forza un gruppo di utenti a utilizzare una password complessa.
  • Scadenza password: imposta il numero massimo di giorni in cui una password può essere utilizzata prima che scada.
  • Rifiuta password compromesse : obbliga gli utenti a utilizzare password che non sono apparse in nessuna violazione delle password tracciata da Have I Been Pwned.

Secondo il Verizon Data Breach Investigations Report, oltre il 70% dei dipendenti riutilizza le password al lavoro. Ma la statistica più importante del rapporto è che l'81% delle violazioni legate all'hacking ha sfruttato password rubate o deboli. I requisiti per la password di iThemes Security Pro ti aiuteranno a proteggere il tuo accesso a WordPress contro tutte le insidie ​​​​della password menzionate in questo post.

Inoltre, ottieni il vantaggio aggiuntivo di far rispettare la tua politica sulla password con un clic di un pulsante. Come esseri umani, siamo programmati per intraprendere il percorso di minor resistenza. Rimuovendo l'opzione per utilizzare password deboli o compromesse, stai aiutando tutti a proteggere i propri account.

Come utilizzare i requisiti per le password in iThemes Security Pro

Per iniziare con la tua nuova politica per la password, vai alle impostazioni del gruppo di utenti e seleziona la casella Seleziona più gruppi di utenti da modificare insieme .

Ora seleziona i gruppi di utenti a cui desideri applicare una politica per la password, seleziona tutte le caselle nella sezione Requisiti per la password , quindi fai clic sul pulsante Salva.

Una breve nota sulla scadenza della password, ci sono alcune persone nella comunità della sicurezza che pensano che dovremmo abbandonare la politica di scadenza della password. Dicono che se stai usando una password univoca e forte, nessun periodo di tempo renderà la tua password più debole.

Consiglierei di abilitarlo per tutti gli utenti del tuo sito web. È completamente comprensibile e incoraggiato a rendere la creazione di un nuovo account cliente il più semplice possibile. Tuttavia, il tuo cliente potrebbe non sapere che la password che sta utilizzando è stata trovata in un dump di dati. Faresti un ottimo servizio ai tuoi clienti avvisandoli del fatto che la password che stanno utilizzando è stata compromessa. Se stanno usando quella password ovunque, potresti salvarli da alcuni grossi grattacapi lungo la strada.

Infine, vai alla dashboard di sicurezza e fai clic sul pulsante Forza modifica password nella scheda Profili di sicurezza utente. Ora, tutti i tuoi utenti devono essere costretti a creare una nuova password la prossima volta che accedono in conformità con la tua nuova politica sulla password.

Avvolgendo

Il tuo accesso a WordPress è la parte più attaccata del tuo sito web e una password sicura è la tua prima linea di difesa. La funzione Requisiti password in iThemes Security Pro ti consente di creare e applicare facilmente una politica di password per proteggere e proteggere il tuo accesso a WordPress.

Caratteristica in evidenza