iThemes Security Pro Feature Spotlight – Autenticazione a due fattori

Nei post di Feature Spotlight, evidenzieremo una funzione in iThemes Security Pro e condivideremo un po' del motivo per cui abbiamo sviluppato la funzione, per chi è la funzione e come utilizzarla.

Oggi tratteremo l'autenticazione a due fattori, un metodo collaudato per proteggere e proteggere il tuo sito WordPress.

Perché abbiamo sviluppato l'autenticazione a due fattori

Secondo il Verizon Data Breach Investigations Report, oltre il 70% dei dipendenti riutilizza le password al lavoro. Ma la statistica più importante del rapporto è che "l'81% delle violazioni legate all'hacking ha sfruttato password rubate o deboli".

In un elenco compilato da Splash Data, la password più comune inclusa in tutti i dump di dati era 123456. Anche se il 91% delle persone sa che riutilizzare le password è una pratica scadente, uno sbalorditivo 59% delle persone continua a riutilizzare le proprie password ovunque! Molte di queste persone stanno ancora utilizzando password che sono apparse in un database stupido.

Un dump del database si verifica quando un hacker ottiene con successo l'accesso a un database utente e quindi scarica i contenuti da qualche parte online. Sfortunatamente per noi, questi dump contengono un sacco di dati sensibili di accesso e account.

La violazione dei dati "Raccolta n. 1" ospitata su MEGA ospitata includeva 1.160.253.228 combinazioni univoche di indirizzi e-mail e password. Questo tipo di punteggio fornirà a un bot dannoso oltre un miliardo di set di credenziali da utilizzare negli attacchi di forza bruta. Un attacco di forza bruta si riferisce a un metodo di prova ed errore utilizzato per scoprire combinazioni di nome utente e password per hackerare un sito web.

Tutti questi motivi e altri dovrebbero farti desiderare di aggiungere un altro livello di protezione al tuo accesso a WordPress.

Ok, quindi sei il tipo di persona che utilizza un gestore di password come LastPass per creare password forti e uniche per ciascuno dei tuoi account. Ma. E gli altri utenti amministratori ed editori del tuo sito? Se un utente malintenzionato è stato in grado di compromettere uno dei suoi account, potrebbe comunque fare un sacco di danni al tuo sito web.

Se ci fosse solo un metodo per proteggere i tuoi account utente WordPress che Google ha affermato essere efficace contro il 100% degli attacchi bot automatizzati.

Che cos'è l'autenticazione a due fattori

L'autenticazione a due fattori è un processo di verifica dell'identità di una persona che richiede due metodi di verifica separati. Google ha condiviso sul suo blog che l'utilizzo dell'autenticazione a due fattori può bloccare il 100% degli attacchi bot automatizzati. Mi piacciono molto quelle probabilità.

Esistono 3 categorie di verifica dell'identità

1. Qualcosa che sai. Ricordi di aver compilato le domande di sicurezza durante la creazione del tuo conto ipotecario online? Qualcosa come Chi è il tuo insegnante preferito? o Qual è il nome da nubile di tua madre? Queste domande di sicurezza sono una forma di autenticazione a due fattori che richiedono risposte che solo tu potresti conoscere.

2. Qualcosa che hai. Questa categoria richiede che tu abbia qualcosa fisicamente in tuo possesso, come il tuo telefono o uno Yubikey, per dimostrare la tua identità. Ad esempio, alcuni metodi di autenticazione a due fattori richiedono un codice basato sul tempo inviato a un dispositivo specifico tramite un'app 2FA.

3. Qualcosa che sei. Potresti non conoscere il nome, ma se hai uno smartphone, probabilmente hai utilizzato l'autenticazione biometrica per accedere al tuo telefono. L'autenticazione biometrica richiede una caratteristica biologica unica per autenticare il tuo login. Se il tuo telefono ha uno scanner di impronte digitali o Face ID, stai utilizzando l'autenticazione biometrica ogni volta che sblocchi il telefono.

Richiedere un ulteriore metodo di verifica dell'identità per accedere al tuo sito Web bloccherebbe tutti gli attacchi automatici di forza bruta e aiuterebbe persino a proteggerti se è presente una vulnerabilità di autenticazione interrotta sul tuo sito Web. Una vulnerabilità di autenticazione interrotta può consentire a un utente malintenzionato di compromettere un utente o le password, le chiavi o i token di sessione dell'utente per impossessarsi degli account dell'utente.

Come utilizzare l'autenticazione a due fattori in iThemes Security Pro

Per iniziare con l'autenticazione a due fattori, accedi al menu Funzioni delle impostazioni di sicurezza e abilita l'autenticazione a due fattori . Dopo aver abilitato Two-Factor, fai clic sulla ruota dentata delle impostazioni.

Ora diamo un'occhiata più da vicino alle impostazioni a due fattori.

Metodi di autenticazione disponibili per gli utenti : le impostazioni consentono di scegliere quale dei tre metodi di autenticazione consentire alle persone di utilizzare.

I tre metodi di autenticazione forniti da iThemes Security Pro :

1. App mobile: il metodo dell'app mobile è il metodo più sicuro di autenticazione a due fattori fornito da iThemes Security Pro. Questo metodo richiede l'utilizzo di un'app mobile gratuita a due fattori come Authy.
2. E -mail: il metodo e-mail di due fattori invierà codici sensibili al tempo all'indirizzo e-mail dell'utente.
3. Codici di backup : una serie di codici monouso che possono essere utilizzati per accedere in caso di perdita del metodo a due fattori principale.

Bene, passiamo al resto delle impostazioni a due fattori.

• Forza autenticazione a due fattori : questa opzione consente di richiedere agli utenti di un gruppo di utenti specifico di utilizzare l'autenticazione a due fattori.
• Disabilita l'onboarding a due fattori : questa impostazione consente di disabilitare l'onboarding dell'autenticazione a due fattori per determinati utenti. Tratteremo l'onboarding 2fa in modo più approfondito più avanti nel post.
• Protezione dell'utente vulnerabile : se abilitata, questa impostazione richiede a tutti gli utenti di utilizzare due fattori durante l'accesso se il sito è vulnerabile, ad esempio l'esecuzione di software obsoleto o noto per essere vulnerabile.
• Disabilita al primo accesso : quando si abilita la funzione Forza autenticazione a due fattori per gruppi di utenti specifici, verrà richiesto loro di inserire il token a due fattori inviato al proprio indirizzo e-mail al successivo accesso. L'abilitazione di questa impostazione semplificherà l'onboarding flusso al primo accesso degli utenti.
• Testo di benvenuto integrato : consente di personalizzare il testo che le persone vedono quando iniziano il flusso di onboarding a due fattori.

Onboarding a due fattori

Abbiamo creato l'onboarding a due fattori per creare un modo intuitivo per le persone di impostare due fattori sui propri account quando accedono. Dopo aver abilitato l'autenticazione a due fattori, ogni utente verrà guidato attraverso il processo di onboarding. Puoi disabilitare l'onboarding a due fattori per gruppi di utenti specifici nelle impostazioni a due fattori.

Bene, esaminiamo passo dopo passo il processo di accesso e di onboarding a due fattori.

Proprio come al solito, la prima cosa che vedrai è il modulo di accesso. Inserisci le tue credenziali e clicca sul pulsante Accedi .

Se hai seguito i nostri consigli e hai abilitato i requisiti force 2fa per gli utenti privilegiati, la prossima cosa che vedrai è un posto dove inserire il token a due fattori inviato al tuo indirizzo email. Apri l'e-mail e copia e incolla il token, quindi fai clic sul pulsante Accedi .

Nella schermata successiva, ti verrà presentato il testo di benvenuto all'imbarco. Tieni presente che puoi personalizzarlo nelle impostazioni a due fattori. Fare clic sul pulsante Continua per passare al passaggio successivo.

Il prossimo passo è selezionare quali metodi a due fattori desideri abilitare per il tuo account. Fare clic sulla freccia Codici di backup per generare un elenco di codici di backup da utilizzare se il metodo di autenticazione principale non riesce.

Ora fai clic sul pulsante Download per scaricare un file di testo dei tuoi codici di backup. Assicurati di conservare questi codici in un posto sicuro.

Ora fai clic sul collegamento Indietro per tornare alla schermata precedente. Ora facciamo clic sulla freccia dell'app mobile per abilitare e configurare questo metodo di autenticazione per il nostro utente.

Ora scegli il tuo sistema operativo mobile e quindi apri la tua app mobile a due fattori sul tuo telefono.

Dal tuo telefono, scansiona il codice QR per continuare a collegare il segreto alla tua app mobile.

Ora inserisci il codice a 6 cifre dal tuo telefono nel browser web e fai clic su Verifica per completare la configurazione dell'app mobile.

Scendi, ora che hai impostato due fattori, fai clic sul pulsante Continua per completare l'accesso alla dashboard di WordPress.

Impostazioni a due fattori del profilo utente

Puoi sempre apportare modifiche alle tue impostazioni a due fattori visitando la pagina del tuo profilo utente.

Da qui, puoi creare una nuova chiave segreta, abilitare/disabilitare i metodi 2fa e aggiornare il tuo metodo di autenticazione principale.

Avvolgendo

Per riassumere, non c'è nient'altro che puoi fare così facile come aggiungere 2fa al tuo login WordPress che farà di più per proteggere il tuo sito. Se al momento non stai utilizzando due fattori, aggiungilo subito al tuo sito web.

Michael Moore

Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.