Prezentacja funkcji iThemes Security Pro — wymagania dotyczące hasła

Opublikowany: 2021-06-23

W postach Feature Spotlight zamierzamy podkreślić funkcję w iThemes Security Pro i podzielić się nieco o tym, dlaczego opracowaliśmy tę funkcję, dla kogo jest przeznaczona i jak z niej korzystać.

Dziś skupiamy się na funkcji wymagań dotyczących hasła w iThemes Security Pro, która jest doskonałym narzędziem do zabezpieczania logowania do WordPressa.

Dlaczego opracowaliśmy wymagania dotyczące haseł

Wiemy, jak trudno jest nakłonić ludzi do przestrzegania najlepszych praktyk w zakresie bezpieczeństwa. Silne hasło jest istotną częścią bezpieczeństwa logowania do WordPressa. Porozmawiajmy o niektórych typowych pułapkach haseł, które mogą narazić Twoją witrynę na ryzyko.

1. Słabe hasła są nadal zbyt powszechne.

Na liście skompilowanej przez Splash Data najpopularniejszym hasłem zawartym we wszystkich zrzutach danych było 123456. Zrzut danych to zhakowana baza danych wypełniona hasłami użytkowników zrzuconymi gdzieś w Internecie. Czy możesz sobie wyobrazić, ile osób w Twojej witrynie używa słabego hasła, jeśli 123456 jest najczęstszym hasłem w zrzutach danych?

2. Login WordPress to najbardziej atakowana część Twojej witryny.

Logowanie do WordPressa jest najbardziej atakowaną częścią witryny WordPress, a używanie słabego hasła jest jak próba zamknięcia drzwi wejściowych kawałkiem taśmy. Domyślnie adres URL logowania do WordPressa jest taki sam dla każdej witryny WordPress i nie wymaga żadnych specjalnych uprawnień dostępu. Właśnie dlatego strona logowania do WordPressa jest najbardziej atakowaną i potencjalnie podatną na ataki częścią dowolnej witryny WordPress.

3. 8-znakowe hasło można złamać NATYCHMIAST.

Hakerowi nigdy nie zajęło dużo czasu przebicie się przez słabe hasło na stronę internetową. Teraz, gdy hakerzy wykorzystują komputerowe karty graficzne w swoich atakach, czas potrzebny na złamanie hasła nigdy nie był krótszy.

Na przykład spójrzmy na wykres stworzony przez Terahash, firmę zajmującą się łamaniem haseł o wysokiej wydajności. Ich wykres pokazuje czas potrzebny do złamania hasła przy użyciu klastra hashstack składającego się z 448x RTX 2080s.

Domyślnie WordPress używa MD5 do haszowania haseł użytkowników przechowywanych w bazie danych WP. Tak więc, zgodnie z tym wykresem, Terahash mógł złamać 8-znakowe hasło… prawie natychmiast. To nie tylko imponujące, ale także naprawdę przerażające.

Uwaga: dowiedz się, jak uwierzytelnianie dwuskładnikowe może pomóc zabezpieczyć logowanie do WordPressa przed tego typu atakiem.

4. Zbyt wiele osób ponownie używa złamanych haseł.

Inną rzeczą, o której należy pamiętać, jeśli chodzi o bezpieczeństwo haseł, jest to, że potrzebujesz innego silnego hasła dla każdego konta online. Jeśli używasz tego samego hasła dla każdej witryny, a jedna z tych witryn została przejęta, teraz używasz przejętego hasła w każdej witrynie. Hakerzy mogą używać zrzutów danych z przejętymi hasłami w połączeniu z Twoim adresem e-mail lub nazwą użytkownika, aby uzyskać dostęp do Twoich kont. Najlepiej nawet nie ryzykować.

Mimo że 91% ludzi wie, że ponowne używanie haseł jest kiepską praktyką, 59% ludzi nadal używa swoich haseł wszędzie! Wiele z tych osób nadal używa haseł, o których wiedzą, że pojawiły się w zrzucie bazy danych.

Hakerzy używają formy ataku brutalnej siły zwanej atakiem słownikowym. Atak słownikowy to metoda włamania się do witryny WordPress z powszechnie używanymi hasłami, które pojawiły się w zrzutach bazy danych. Naruszenie danych „Kolekcja nr 1”, które było hostowane na serwerze MEGA, zawierało 1 160 253 228 unikalnych kombinacji adresów e-mail i haseł. To jest miliard z b. Taki wynik naprawdę pomoże atakowi słownikowemu zawęzić najczęściej używane hasła WordPress.

Jak widać, posiadanie polityki haseł jest istotną częścią naszej strategii bezpieczeństwa WordPress. Jakkolwiek świetna jest twoja polityka dotycząca haseł, nie jest ona nic warta, jeśli administrator i redaktorzy nie postępują zgodnie z wytycznymi.

Jakie są wymagania dotyczące hasła w iThemes Security Pro?

Funkcja wymagania hasła w iThemes Security Pro to nie tylko polityka haseł, ale także narzędzie do egzekwowania. Możesz zmusić członków grupy użytkowników do używania silnego hasła , wybrać czas wygaśnięcia hasła , odrzucić przejęte hasła i wymusić zmianę haseł w całej witrynie, aby wszyscy przestrzegali nowej polityki silnych haseł.

  • Wymuś silne hasła — Wymuś zestaw użytkowników do używania silnego hasła.
  • Wygaśnięcie hasła — ustaw maksymalną liczbę dni, przez które hasło może być używane, zanim wygaśnie.
  • Odrzuć naruszone hasła — zmuszaj użytkowników do używania haseł, które nie pojawiły się w żadnych naruszeniach haseł śledzonych przez Have I Been Pwned.

Według raportu Verizon Data Breach Investigations, ponad 70% pracowników ponownie używa haseł w pracy. Jednak najważniejszą statystyką raportu jest to, że 81% naruszeń związanych z hakerami wykorzystywało skradzione lub słabe hasła. Wymagania dotyczące hasła iThemes Security Pro pomogą zabezpieczyć logowanie do WordPressa przed wszystkimi pułapkami związanymi z hasłami wymienionymi w tym poście.

Dodatkowo zyskujesz dodatkową premię egzekwowania polityki haseł jednym kliknięciem. Jako ludzie jesteśmy zaprogramowani na podążanie ścieżką najmniejszego oporu. Usuwając opcję używania słabych lub złamanych haseł, pomagasz wszystkim chronić swoje konta.

Jak korzystać z wymagań dotyczących haseł w iThemes Security Pro

Aby rozpocząć pracę z nową polityką haseł, przejdź do ustawień Grupy użytkowników i zaznacz pole Wybierz wiele grup użytkowników do wspólnej edycji .

Teraz wybierz grupy użytkowników, dla których chcesz wymusić zasady dotyczące haseł, zaznacz wszystkie pola w sekcji Wymagania dotyczące hasła , a następnie kliknij przycisk Zapisz.

Jedna krótka uwaga na temat wygasania haseł: są osoby w społeczności zajmującej się bezpieczeństwem, które uważają, że powinniśmy porzucić politykę wygasania haseł. Mówią, że jeśli używasz unikalnego i silnego hasła, to żadna ilość czasu nie osłabi twojego hasła.

Polecam włączenie tego dla wszystkich użytkowników w Twojej witrynie. Jest to całkowicie zrozumiałe i zachęca do jak najprostszego tworzenia nowego konta klienta. Jednak klient może nie wiedzieć, że hasło, którego używa, zostało znalezione w zrzucie danych. Wyświadczyłbyś swojemu klientowi wspaniałą przysługę, powiadamiając go o tym, że hasło, którego używa, zostało naruszone. Jeśli używają tego hasła wszędzie, możesz ich uratować przed poważnymi bólami głowy.

I na koniec przejdź do pulpitu bezpieczeństwa i kliknij przycisk Wymuś zmianę hasła na karcie Profile bezpieczeństwa użytkownika. Teraz wszyscy użytkownicy muszą być zmuszeni do utworzenia nowego hasła przy następnym logowaniu, które jest zgodne z nową polityką haseł.

Zawijanie

Twój login WordPress jest najbardziej atakowaną częścią Twojej witryny, a silne hasło to Twoja pierwsza linia obrony. Funkcja wymagań dotyczących hasła w iThemes Security Pro ułatwia tworzenie i egzekwowanie polityki haseł w celu zabezpieczenia i ochrony loginu WordPress.

Wyróżnienie funkcji