Prezentacja funkcji iThemes Security Pro — uwierzytelnianie dwuetapowe

Opublikowany: 2021-07-14

W postach Feature Spotlight zamierzamy podkreślić funkcję w iThemes Security Pro i podzielić się nieco o tym, dlaczego opracowaliśmy tę funkcję, dla kogo jest przeznaczona i jak z niej korzystać.

Dzisiaj zajmiemy się uwierzytelnianiem dwuskładnikowym, sprawdzoną metodą zabezpieczania i ochrony witryny WordPress.

Dlaczego opracowaliśmy uwierzytelnianie dwuetapowe

Według raportu Verizon Data Breach Investigations, ponad 70% pracowników ponownie używa haseł w pracy. Jednak najważniejszą statystyką raportu jest to, że „81% naruszeń związanych z hakowaniem wykorzystywało skradzione lub słabe hasła”.

Na liście skompilowanej przez Splash Data najczęstszym hasłem zawartym we wszystkich zrzutach danych było 123456. Mimo że 91% ludzi wie, że ponowne używanie haseł jest kiepską praktyką, oszałamiające 59% ludzi wciąż używa swoich haseł wszędzie! Wiele z tych osób nadal używa haseł, które pojawiły się w głupiej bazie danych.

Zrzut bazy danych występuje, gdy haker z powodzeniem uzyska dostęp do bazy danych użytkownika, a następnie zrzuci zawartość w Internecie. Niestety dla nas te zrzuty zawierają mnóstwo poufnych danych logowania i konta.

Naruszenie danych „Kolekcja nr 1”, które było hostowane na serwerze MEGA, zawierało 1 160 253 228 unikalnych kombinacji adresów e-mail i haseł. Ten rodzaj wyniku zapewni złośliwemu botowi ponad miliard zestawów danych uwierzytelniających do wykorzystania w atakach typu brute force. Ataki typu brute force odnoszą się do metody prób i błędów wykorzystywanej do wykrywania kombinacji nazwy użytkownika i hasła w celu włamania się na stronę internetową.

Wszystkie te i inne powody powinny sprawić, że będziesz chciał dodać kolejną warstwę ochrony do swojego loginu WordPress.

Okej, więc jesteś typem osoby, która używa menedżera haseł, takiego jak LastPass, do tworzenia silnych i unikalnych haseł dla każdego z twoich kont. Ale. A co z innymi administratorami i redaktorami w Twojej witrynie? Jeśli atakujący zdołał włamać się na jedno z ich kont, nadal może wyrządzić mnóstwo szkód Twojej witrynie.

Gdyby istniała tylko metoda zabezpieczenia kont użytkowników WordPress, która według Google jest skuteczna przed 100% automatycznymi atakami botów.

Co to jest uwierzytelnianie dwuskładnikowe

Uwierzytelnianie dwuskładnikowe to proces weryfikacji tożsamości osoby, wymagający dwóch oddzielnych metod weryfikacji. Google udostępnił na swoim blogu, że korzystanie z uwierzytelniania dwuskładnikowego może powstrzymać 100% automatycznych ataków botów. Bardzo lubię te szanse.

Istnieją 3 kategorie weryfikacji tożsamości

1. Coś, co wiesz. Czy pamiętasz wypełnianie pytań zabezpieczających podczas zakładania konta hipotecznego online? Coś w stylu Kto jest twoim ulubionym nauczycielem? lub Jakie jest nazwisko panieńskie twojej matki? Te pytania zabezpieczające są formą uwierzytelniania dwuskładnikowego, wymagając odpowiedzi tylko, które znasz.

2. Coś, co masz. Ta kategoria wymaga posiadania czegoś fizycznie w posiadaniu – na przykład telefonu lub Yubikey – aby udowodnić swoją tożsamość. Na przykład niektóre metody uwierzytelniania dwuskładnikowego wymagają kodu czasowego wysyłanego do określonego urządzenia za pośrednictwem aplikacji 2FA.

3. Coś, czym jesteś. Możesz nie znać nazwy, ale jeśli masz smartfon, prawdopodobnie użyłeś uwierzytelniania biometrycznego, aby zalogować się do telefonu. Uwierzytelnianie biometryczne wymaga unikalnej cechy biologicznej, aby uwierzytelnić Twój login. Jeśli Twój telefon ma skaner linii papilarnych lub Face ID, korzystasz z uwierzytelniania biometrycznego za każdym razem, gdy odblokowujesz telefon.

Wymaganie dodatkowej metody weryfikacji tożsamości w celu zalogowania się do witryny zablokuje wszystkie zautomatyzowane ataki typu brute force, a nawet pomogłoby chronić Cię, jeśli w Twojej witrynie występuje luka w zabezpieczeniach uwierzytelniania. Luka w zabezpieczeniach Broken Authentication może umożliwić atakującemu złamanie haseł, kluczy lub tokenów sesji użytkownika lub użytkownika w celu przejęcia kont użytkownika.

Jak korzystać z uwierzytelniania dwuskładnikowego w iThemes Security Pro

Aby rozpocząć korzystanie z uwierzytelniania dwuskładnikowego, przejdź do menu Funkcje w ustawieniach zabezpieczeń i włącz dwuskładnikowe . Po włączeniu dwuskładnikowego kliknij koło zębate ustawień.

Przyjrzyjmy się teraz bliżej ustawieniom dwóch czynników.

Metody uwierzytelniania dostępne dla użytkowników — ustawienia pozwalają wybrać, z której z trzech metod uwierzytelniania użytkownicy mogą korzystać.

Trzy metody uwierzytelniania dostarczane przez iThemes Security Pro :

  1. Aplikacja mobilna — metoda aplikacji mobilnej jest najbezpieczniejszą metodą uwierzytelniania dwuskładnikowego zapewnianą przez iThemes Security Pro. Ta metoda wymaga korzystania z bezpłatnej dwuskładnikowej aplikacji mobilnej, takiej jak Authy.
  2. E - mail — dwuskładnikowa metoda e-mail wyśle ​​kody wrażliwe na czas na adres e-mail użytkownika.
  3. Kody zapasowe — zestaw kodów jednorazowych, których można użyć do logowania w przypadku utraty podstawowej metody dwuskładnikowej.

W porządku, przejdźmy do reszty ustawień dwuskładnikowych.

  • Wymuś uwierzytelnianie dwuskładnikowe — ta opcja umożliwia wymaganie od użytkowników z określonej grupy użytkowników korzystania z uwierzytelniania dwuskładnikowego.
  • Wyłącz dołączanie dwuskładnikowe — to ustawienie umożliwia wyłączenie dołączania uwierzytelniania dwuskładnikowego dla niektórych użytkowników. Wprowadzenie do 2fa omówimy bardziej szczegółowo w dalszej części wpisu.
  • Ochrona użytkowników podatnych na zagrożenia — po włączeniu to ustawienie będzie wymagało od wszystkich użytkowników używania dwóch czynników podczas logowania, jeśli witryna jest podatna na ataki, na przykład działa nieaktualne lub oprogramowanie, o którym wiadomo, że jest podatne na ataki.
  • Wyłącz przy pierwszym logowaniu – po włączeniu funkcji Wymuś dwuskładnikowe uwierzytelnianie dla określonych grup użytkowników, będą oni musieli wprowadzić dwuskładnikowy token wysłany na ich adres e-mail przy następnym logowaniu. Włączenie tego ustawienia uprości pracę na pokładzie przepływ, gdy użytkownicy logują się po raz pierwszy.
  • Wbudowany tekst powitalny — pozwala dostosować tekst, który ludzie widzą, gdy rozpoczynają dwuskładnikowy proces wdrażania.

Wdrażanie dwuetapowe

Stworzyliśmy dołączanie dwuskładnikowe, aby w przyjazny dla użytkownika sposób umożliwić użytkownikom konfigurowanie dwuskładnikowych kont podczas logowania. Po włączeniu uwierzytelniania dwuskładnikowego każdy użytkownik zostanie poprowadzony przez proces wdrażania. Możesz wyłączyć dołączanie dwuskładnikowe dla określonych grup użytkowników w ustawieniach dwuskładnikowych.

W porządku, przejdźmy krok po kroku przez logowanie i dwuskładnikowy proces onboardingu.

Tak jak zwykle, pierwszą rzeczą, którą zobaczysz, jest formularz logowania. Wprowadź swoje dane uwierzytelniające i kliknij przycisk Zaloguj się .

Jeśli zastosowałeś się do naszych zaleceń i włączyłeś wymagania 2fa dla uprzywilejowanych użytkowników, następną rzeczą, którą zobaczysz, jest miejsce na wpisanie dwuskładnikowego tokena wysłanego na Twój adres e-mail. Otwórz wiadomość e-mail, skopiuj i wklej token, a następnie kliknij przycisk Zaloguj się .

Na następnym ekranie zobaczysz powitalny tekst powitalny. Pamiętaj, że możesz to dostosować w ustawieniach dwuskładnikowych. Kliknij przycisk Kontynuuj , aby przejść do następnego kroku.

Następnym krokiem jest wybranie metod dwuskładnikowych, które chcesz włączyć na swoim koncie. Kliknij strzałkę Kody zapasowe, aby wygenerować listę kodów zapasowych, które będą używane w przypadku niepowodzenia podstawowej metody uwierzytelniania.

Teraz kliknij przycisk Pobierz , aby pobrać plik tekstowy z kodami zapasowymi. Pamiętaj, aby przechowywać te kody w bezpiecznym miejscu.

Teraz kliknij link Wstecz, aby powrócić do poprzedniego ekranu. Teraz kliknijmy strzałkę aplikacji mobilnej, aby włączyć i skonfigurować tę metodę uwierzytelniania dla naszego użytkownika.

Teraz wybierz swój mobilny system operacyjny, a następnie otwórz swoją dwuskładnikową aplikację mobilną na swoim telefonie.

Na telefonie zeskanuj kod QR, aby kontynuować łączenie sekretu z aplikacją mobilną.

Teraz wprowadź 6-cyfrowy kod z telefonu do przeglądarki internetowej i kliknij Zweryfikuj, aby zakończyć konfigurację aplikacji mobilnej.

Teraz, gdy masz już skonfigurowane dwa czynniki, kliknij przycisk Kontynuuj , aby zakończyć logowanie do pulpitu WordPress.

Ustawienia dwuczynnikowe profilu użytkownika

Zawsze możesz wprowadzić zmiany w ustawieniach dwuskładnikowych, odwiedzając stronę profilu użytkownika.

W tym miejscu możesz utworzyć nowy tajny klucz, włączyć/wyłączyć metody 2fa i zaktualizować podstawową metodę uwierzytelniania.

Zawijanie

Podsumowując, nie możesz zrobić nic tak prostego, jak dodanie 2fa do swojego loginu WordPress, co bardziej zabezpieczy Twoją witrynę. Jeśli obecnie nie korzystasz z dwuskładnikowego, dodaj go do swojej witryny już teraz.

Wyróżnienie funkcji