iThemes Security Pro 기능 스포트라이트 – 이중 인증

Feature Spotlight 게시물에서 우리는 iThemes Security Pro의 기능을 강조하고 우리가 이 기능을 개발한 이유, 기능이 누구를 위한 것인지, 기능을 사용하는 방법에 대해 조금 공유할 것입니다.

오늘 우리는 WordPress 사이트를 보호하고 보호하는 입증된 방법인 이중 인증에 대해 다룰 것입니다.

이중 인증을 개발한 이유

Verizon Data Breach Investigations Report에 따르면 직원의 70% 이상이 직장에서 비밀번호를 재사용합니다. 그러나 보고서에서 가장 중요한 통계는 "해킹 관련 침해의 81%가 도난 당했거나 취약한 암호를 이용했다"는 것입니다.

Splash Data에서 컴파일한 목록에서 모든 데이터 덤프에 포함된 가장 일반적인 암호는 123456이었습니다. 91%의 사람들이 암호를 재사용하는 것이 좋지 않다는 것을 알고 있지만, 놀랍게도 59%의 사람들이 여전히 모든 곳에서 암호를 재사용합니다! 이 사람들 중 많은 사람들이 여전히 데이터베이스 바보 같은 암호를 사용하고 있습니다.

데이터베이스 덤프는 해커가 사용자 데이터베이스에 성공적으로 액세스한 다음 온라인 어딘가에 콘텐츠를 덤프할 때 발생합니다. 불행히도 이러한 덤프에는 민감한 로그인 및 계정 정보가 많이 포함되어 있습니다.

MEGA 호스팅에서 호스팅된 "컬렉션 #1" 데이터 침해에는 1,160,253,228개의 고유한 이메일 주소 및 비밀번호 조합이 포함되었습니다. 이러한 종류의 점수는 무차별 대입 공격에 사용할 10억 개 이상의 자격 증명 세트를 악성 봇에 제공합니다. 무차별 대입 공격은 웹 사이트를 해킹하기 위해 사용자 이름과 암호 조합을 발견하는 데 사용되는 시행착오 방법을 나타냅니다.

이러한 모든 이유와 그 이상으로 인해 WordPress 로그인에 또 다른 보호 계층을 추가하고 싶을 것입니다.

좋아, 당신은 LastPass와 같은 암호 관리자를 사용하여 각 계정에 대해 강력하고 고유한 암호를 만드는 유형의 사람입니다. 하지만. 사이트의 다른 관리자 및 편집자 사용자는 어떻습니까? 공격자가 계정 중 하나를 손상시킬 수 있는 경우에도 웹사이트에 막대한 피해를 줄 수 있습니다.

100% 자동화된 봇 공격에 대해 구글이 말한 워드프레스 사용자 계정을 보호할 수 있는 방법만 있다면.

이중 인증이란?

이중 인증은 두 가지 별도의 인증 방법을 요구하여 개인의 신원을 확인하는 프로세스입니다. Google은 블로그에서 이중 인증을 사용하면 자동화된 봇 공격을 100% 막을 수 있다고 공유했습니다. 나는 그 확률을 정말 좋아합니다.

신원 확인에는 3가지 범주가 있습니다.

1. 당신이 알고 있는 것. 온라인 모기지 계정을 설정할 때 보안 질문을 작성하는 것을 기억하십니까? 좋아하는 선생님은 누구세요? 또는 어머니의 결혼 전 이름은 무엇입니까? 이러한 보안 질문은 본인만 알 수 있는 답변을 요구하는 이중 인증의 한 형태입니다.

2. 당신이 가지고 있는 것. 이 범주에서는 신원을 증명하기 위해 휴대전화나 Yubikey와 같이 물리적으로 물건을 소지해야 합니다. 예를 들어, 일부 2단계 인증 방법은 2FA 앱을 통해 특정 장치에 시간 기반 코드를 전송해야 합니다.

3. 당신이 무엇인가. 이름을 모를 수도 있지만 스마트폰이 있다면 생체 인증을 사용하여 휴대폰에 로그인했을 것입니다. 생체 인증은 로그인을 인증하기 위해 고유한 생물학적 특성이 필요합니다. 휴대폰에 지문 스캐너 또는 Face ID가 있는 경우 휴대폰을 잠금 해제할 때마다 생체 인증을 사용하고 있는 것입니다.

웹사이트에 로그인하기 위해 다른 신원 확인 방법을 추가해야 하는 것은 모든 자동화된 무차별 대입 공격을 차단하고 웹사이트에 Broken Authentication 취약점이 있는 경우에도 사용자를 보호하는 데 도움이 됩니다. 손상된 인증 취약점으로 인해 공격자가 사용자 또는 사용자의 암호, 키 또는 세션 토큰을 손상시켜 사용자 계정을 탈취할 수 있습니다.

ithemes Security Pro에서 이중 인증을 사용하는 방법

두 요소 인증을 시작하려면, 보안 설정 '에 대한 탐색 메뉴 기능과 두 요소 수 있습니다. Two-Factor를 활성화한 후 설정 톱니바퀴를 클릭합니다.

이제 Two-Factor 설정을 자세히 살펴보겠습니다.

사용자가 사용할 수 있는 인증 방법 – 설정을 통해 사람들이 사용하도록 허용할 세 가지 인증 방법을 선택할 수 있습니다.

iThemes Security Pro에서 제공하는 세 가지 인증 방법 :

1. 모바일 앱 – 모바일 앱 방식은 iThemes Security Pro에서 제공하는 이중 인증 중 가장 안전한 방식입니다. 이 방법을 사용하려면 Authy와 같은 무료 2단계 모바일 앱을 사용해야 합니다.
2. 이메일 – 이중 요소의 이메일 방식은 시간에 민감한 코드를 사용자의 이메일 주소로 보냅니다.
3. 백업 코드 – 기본 2단계 방법이 손실된 경우 로그인하는 데 사용할 수 있는 일회성 사용 코드 세트입니다.

자, 나머지 2단계 설정으로 넘어가겠습니다.

• 강제 2단계 인증 - 이 옵션을 사용하면 특정 사용자 그룹의 사용자가 2단계 인증을 사용하도록 요구할 수 있습니다.
• 2단계 온보딩 비활성화 – 이 설정을 사용하면 특정 사용자에 대한 2단계 인증 온보딩을 비활성화할 수 있습니다. 2fa 온보딩에 대해서는 나중에 포스트에서 더 자세히 다루겠습니다.
• 취약한 사용자 보호 – 이 설정을 활성화하면 사이트가 구식 실행 또는 취약한 것으로 알려진 소프트웨어와 같이 취약한 경우 로그인할 때 모든 사용자가 이중 요소를 사용해야 합니다.
• 처음 로그인 시 비활성화 – 특정 사용자 그룹에 대해 강제 이중 인증 기능을 활성화하면 다음 번에 로그인할 때 이메일 주소로 전송된 이중 요소 토큰을 입력해야 합니다. 이 설정을 활성화하면 온보딩이 간소화됩니다. 사용자가 처음 로그인할 때의 흐름.
• 온보드 환영 텍스트 – 이를 통해 사람들이 2단계 온보딩 흐름을 시작할 때 표시되는 텍스트를 사용자 지정할 수 있습니다.

2단계 온보딩

사용자가 로그인할 때 계정에 이중 요소를 설정할 수 있는 사용자 친화적인 방법을 만들기 위해 이중 요소 온보딩을 만들었습니다. 이중 요소 인증을 활성화하면 모든 사용자가 온보딩 프로세스를 안내받게 됩니다. 2단계 설정에서 특정 사용자 그룹에 대한 2단계 온보딩을 비활성화할 수 있습니다.

자, 로그인과 2단계 온보딩 프로세스를 단계별로 살펴보겠습니다.

평소와 마찬가지로 가장 먼저 보이는 것은 로그인 양식입니다. 자격 증명을 입력하고 로그인 버튼을 클릭합니다.

권장 사항을 따르고 권한 있는 사용자에 대한 강제 2fa 요구 사항을 활성화한 경우 다음으로 보게 될 것은 이메일 주소로 전송된 2단계 토큰을 입력하는 곳입니다. 이메일을 열고 토큰을 복사하여 붙여넣은 다음 로그인 버튼을 클릭합니다.

다음 화면에서 온보딩 환영 텍스트가 표시됩니다. 2단계 설정에서 이를 사용자화할 수 있다는 점에 유의하십시오. 계속 버튼을 클릭하여 다음 단계로 이동합니다.

다음 단계는 계정에 대해 활성화할 2단계 방법을 선택하는 것입니다. 백업 코드 화살표를 클릭하여 기본 인증 방법이 실패한 경우 사용할 백업 코드 목록을 생성합니다.

이제 다운로드 버튼을 클릭하여 백업 코드의 텍스트 파일을 다운로드하십시오. 이 코드를 안전한 곳에 보관하십시오.

이제 뒤로 링크를 클릭하여 이전 화면으로 돌아갑니다. 이제 모바일 앱 화살표를 클릭하여 사용자에 대해 이 인증 방법을 활성화하고 구성하겠습니다.

이제 모바일 OS를 선택한 다음 휴대폰에서 모바일 2단계 앱을 엽니다.

휴대폰에서 QR 코드를 스캔하여 모바일 앱에 계속해서 비밀을 연결합니다.

이제 휴대전화의 6자리 코드를 웹 브라우저에 입력하고 확인 을 클릭하여 모바일 앱 설정을 완료합니다.

이제 두 가지 요소가 모두 설정되었으므로 계속 버튼을 클릭하여 WordPress 대시보드 로그인을 마칩니다.

사용자 프로필 2단계 설정

사용자 프로필 페이지를 방문하여 언제든지 2단계 설정을 변경할 수 있습니다.

여기에서 새 비밀 키를 만들고 2fa 방법을 활성화/비활성화하고 기본 인증 방법을 업데이트할 수 있습니다.

마무리

요약하자면, WordPress 로그인에 2fa를 추가하는 것만큼 쉽게 사이트를 보호할 수 있는 방법은 없습니다. 현재 이중 요소를 사용하고 있지 않다면 지금 바로 웹사이트에 추가하십시오.

마이클 무어

Michael은 매주 WordPress 취약점 보고서를 작성하여 사이트를 안전하게 보호합니다. iThemes의 제품 관리자로서 그는 iThemes 제품 라인업을 지속적으로 개선하는 데 도움을 줍니다. 그는 거대한 괴짜이며 기술, 오래된 및 새로운 모든 것에 대해 배우는 것을 좋아합니다. 마이클이 아내와 딸과 어울리고, 일하지 않을 때는 책을 읽거나 음악을 듣는 것을 볼 수 있습니다.