Prezentacja funkcji iThemes Security Pro: magiczne linki i logowanie bez hasła

Opublikowany: 2021-06-24

W postach Feature Spotlight zamierzamy podkreślić funkcję w iThemes Security Pro i podzielić się nieco o tym, dlaczego opracowaliśmy tę funkcję, dla kogo jest przeznaczona i jak z niej korzystać.

Dzisiaj omówimy Magic Links i Passwordless Logins , dwie wspaniałe funkcje wtyczki iThemes Security Pro.

Magiczne linki

iThemes Security Pro jest świetny w blokowaniu złych facetów. Jeśli jednak zły facet użyje nazwy użytkownika Bob w ataku brute force, a Bob jest rzeczywistym użytkownikiem witryny, Bob zostanie niestety zablokowany wraz z atakującym.

Następnym razem, gdy Bob spróbuje się zalogować, zostanie wyświetlony komunikat o blokadzie zabezpieczeń iThemes. Jeśli Bob jest administratorem witryny, musiałby albo poczekać na wygaśnięcie blokady, albo ręcznie wyłączyć iThemes Security Pro przez FTP.

Jeśli Bob jest Twoim klientem, prawdopodobnie przeceni powagę blokady i gorączkowo skontaktuje się z Tobą, zastanawiając się, dlaczego pozwoliłeś zhakować jego witrynę. Wymagałoby to wyjaśnienia, że jest to dowód na to, że chronisz ich witrynę, a następnie usuwasz blokadę za pomocą Sync Pro lub logujesz się do witryny i usuwasz blokadę z widżetu zabezpieczeń iThemes, aby umożliwić mu ponowne zalogowanie.

Nawet jeśli powstrzymywanie złoczyńców przed włamywaniem się do witryny jest wspaniałym uczuciem, nie podoba nam się, gdy bezpieczeństwo wpływa na wrażenia prawdziwych użytkowników. Chcieliśmy więc stworzyć sposób, aby umożliwić Bobowi logowanie nawet wtedy, gdy jego nazwa użytkownika została użyta w ataku brute force. Nigdy nie chcemy, aby kierownik budowy musiał poświęcać swój cenny czas na usuwanie blokad.

Co to są magiczne linki?

Magiczne linki umożliwiają zalogowanie się do witryny WordPress, gdy Twoja nazwa użytkownika jest zablokowana przez funkcję iThemes Security Local Brute Force Protection.

Gdy Twoja nazwa użytkownika jest zablokowana, możesz poprosić o wiadomość e-mail z unikalnym linkiem logowania. Użycie linku przesłanego pocztą e-mail spowoduje ominięcie blokady nazwy użytkownika, podczas gdy osoby atakujące metodą brute force są nadal zablokowane.

Jak korzystać z Magic Links w iThemes Security Pro

Aby rozpocząć korzystanie z Magic Links, przejdź do menu Funkcje w ustawieniach zabezpieczeń i włącz Magic Links .

Jeśli napotkasz blokadę po włączeniu Magic Links, pojawi się opcja wysłania Magic Link na swój adres e-mail.

Po prostu kliknij link „Wyślij autoryzowany link logowania”, aby otrzymać wiadomość e-mail Magic Links.

Po otrzymaniu wiadomości e-mail użyj linku, wprowadź swoje dane uwierzytelniające, a wrócisz na swoją stronę!

Logowanie bez hasła

Z definicji każdy środek bezpieczeństwa ma na celu zmniejszenie wygody tego, co otrzymuje dodatkowe bezpieczeństwo. Aby zwiększyć bezpieczeństwo, frontowe drzwi mojego domu mają zamek. Zamek wymaga dodatkowego kroku użycia klucza do odblokowania drzwi, zanim się otworzą. Dodanie dodatkowego kroku, aby wejść do mojego domu, jest prawdopodobnie dobrym pomysłem, mimo że bez zamka byłoby to łatwiejsze.

To samo dotyczy kont internetowych. Używanie silnego, unikalnego hasła i uwierzytelniania dwuskładnikowego ochroni Cię przed 100% atakami typu brute force. Niestety, nadal wiele osób ponownie używa tego samego słabego hasła i nie używa żadnej formy dwuskładnikowej.

Ci z nas w społeczności bezpieczeństwa często mają trudności ze zrozumieniem, dlaczego tak trudno było przekonać ludzi do poświęcenia odrobiny wygody na rzecz ogromnego bezpieczeństwa. Nawet nie myślimy o posiadaniu unikalnego zamka dla każdych fizycznych drzwi, do których wchodzimy - mam klucz do mojego samochodu, samochodu żony, domu, biura i skrzynki pocztowej - więc dlaczego użycie unikalnego hasła w naszych wirtualnych drzwiach wydaje się takie niewygodny?

Dlaczego opracowaliśmy loginy bez hasła dla WordPressa?

W społeczności zajmującej się bezpieczeństwem zaczęliśmy zdawać sobie sprawę, że zawsze sprawialiśmy, że bezpieczeństwo jest bardziej zagmatwane, niż powinno być. Kiedy już masz klucz do fizycznych drzwi, to koniec. Jednak dzięki zabezpieczeniu hasłem opracowaliśmy kilka zasad, które mogą być przytłaczające. Co gorsza, wydaje się, że nie możemy się zgodzić co do zasad tworzenia silnego hasła.

Niezależnie od tego, czy my w społeczności zajmującej się bezpieczeństwem, chcemy to przyznać, czy nie, korzystanie z menedżera haseł i uwierzytelniania dwuskładnikowego może być uciążliwe i czasochłonne, zwłaszcza gdy coraz więcej czasu spędzamy w Internecie.

Chcieliśmy więc stworzyć sposób, aby ludzie mogli uzyskać pełne bezpieczeństwo, które zapewnia silne i unikalne hasło, bez poświęcania użyteczności.

Co to są logowanie bez hasła?

Logowanie bez hasła to nowy sposób weryfikacji tożsamości użytkownika bez konieczności podawania hasła do logowania. Podjęliśmy pomysł Magic Links i przekształciliśmy go w nową metodę logowania, która pozwala wymagać od użytkowników używania silnych haseł i uwierzytelniania dwuskładnikowego bez konieczności wprowadzania hasła lub dodatkowego kodu uwierzytelniającego.

Jak korzystać z logowania bez hasła

Aby rozpocząć korzystanie z logowania bez hasła, przejdź do menu Funkcje w ustawieniach zabezpieczeń i włącz logowanie bez hasła .

Po włączeniu logowania bez hasła kliknij koło zębate, aby zarządzać ustawieniami.

Kliknij łącza Grupy użytkowników, aby wybrać, którzy użytkownicy mogą korzystać z metody logowania i pominąć dwuczynnik podczas korzystania z tej metody.

Teraz, po włączeniu logowania bez hasła, możesz wymuszać silne hasła i wymagania dwuskładnikowe bez negatywnego wpływu na wygodę użytkowników w Twojej witrynie.

Zdobądź dodatkową zawartość: Pierwsze kroki z logowaniem bez hasła

Pobierz teraz

Jak działa metoda logowania bez hasła

Podczas logowania zostaniesz poproszony o wybranie metody logowania. Kliknij przycisk Email Magic Link , aby wysłać wiadomość e-mail zawierającą link do logowania bez hasła.

Zobaczysz teraz wiadomość potwierdzającą wysłanie e-maila.

W skrzynce odbiorczej otwórz wiadomość e-mail Magic Link i przycisk Zaloguj się teraz .

I to wszystko, bez wprowadzania hasła lub dwuskładnikowego tokena. Oznacza to, że po włączeniu logowania bez hasła nie musisz znać swojego skomplikowanego hasła ani kopiować i wklejać dodatkowego kodu, aby się zalogować. Jednak ci źli ludzie, którzy próbują brutalnie wymusić twoją witrynę, będą mieli 0% wskaźnik sukcesu.

Zawijanie

Jak widać, zarówno Magic Links, jak i Passwordless Logins w iThemes Security Pro mogą dodać silną warstwę bezpieczeństwa do Twojej witryny bez żadnych dodatkowych niedogodności.

Nie przegap kolejnej edycji wyróżnionych funkcji iThemes Security Pro. Zwracamy uwagę na Zaufane urządzenia, doskonałe narzędzie do ochrony administratora WordPressa i zapobiegania przejmowaniu sesji.

Michael Moore

Co tydzień Michael opracowuje raport na temat luk w zabezpieczeniach WordPressa, aby pomóc chronić Twoje witryny. Jako Product Manager w iThemes pomaga nam w dalszym ulepszaniu linii produktów iThemes. Jest wielkim kujonem i uwielbia uczyć się wszystkich rzeczy technicznych, starych i nowych. Możesz znaleźć Michaela spędzającego czas z żoną i córką, czytającego lub słuchającego muzyki, gdy nie pracuje.