Chroń swoje witryny WordPress przed phishingiem, korzystając z U2F?

Phishing to jedno z najważniejszych zagrożeń, jakie może napotkać Twoja witryna. Może ukraść twoje dane, hasło, a właściwie całe twoje konto. Możesz nieumyślnie trafić na stronę phishingową za pomocą błędnego adresu URL. Jednak dzięki U2F możesz dokładnie chronić witryny WordPress przed phishingiem .

Stworzony dzięki połączonym wysiłkom Yubico i Google, U2F jest w zasadzie autoryzowanym protokołem, który zapewnia prywatność i bezpieczeństwo Twojej witryny. U2F to skrót od Universal Second Factor, którego jedynym celem jest ochrona Twojej witryny WordPress przed wszelkiego rodzaju phishingiem.

W przypadku korzystania z U2F nie jest wymagane oprogramowanie klienckie ani sterowniki, co jest niezaprzeczalnie najlepszą częścią. Wystarczy zarejestrować się na urządzeniu obsługującym usługę online tego protokołu. W ostatnim scenariuszu FIDO Alliance gości U2F.

Mówiąc o mechanizmie protokołu, należy wspomnieć, że U2F to głównie fizyczne klucze USB, które są nieco podobne do dysków flash. Jeśli Twoje konto nie jest podłączone za pomocą tych kluczy USB, nie możesz uzyskać do niego dostępu. W rzeczywistości jest to uwierzytelnianie dwuskładnikowe.

Cechy kluczy bezpieczeństwa U2F

Po skonfigurowaniu fizycznych kluczy USB, musisz podłączyć te klucze do swojego systemu, a następnie kliknąć przycisk. Przede wszystkim te klucze bezpieczeństwa USB zawierają dwa podstawowe polecenia rejestracji i uwierzytelniania. Później oba te polecenia są dostarczane na strony internetowe w postaci przeglądarek API.

W przypadku pierwszego polecenia używane klucze USB tworzą nową asymetryczną parę kluczy i jednocześnie zwracają klucz publiczny. Następnie serwer łączy konto użytkownika i klucze bezpieczeństwa ze zwróconym kluczem publicznym.

Z drugiej strony, jeśli chodzi o uwierzytelnianie, klucze USB najpierw wykryją Twoją obecność, testując obecność pamięci USB w momencie logowania się na swoje konto. Po zweryfikowaniu Twojej fizycznej obecności protokół umożliwia kluczowi prywatnemu odblokowanie konta. W ten sposób klucze bezpieczeństwa U2F chronią witryny WordPress przed phishingiem

Dlaczego U2F jest ważny?

Jak wspomniano wcześniej, U2F działa jako tarcza ochronna przed Twoim kontem. Zabezpiecza wszystkie wrażliwe dane Twojej witryny przed kilkoma rodzajami cyberataków, takich jak ataki złośliwego oprogramowania, przejmowanie sesji, phishing itp. Według badań statystycznych około 97% małych i dużych witryn internetowych pada ofiarą phishingu. Dlatego jeśli myślisz, że jesteś w stanie obsłużyć swoje konto i uchronić je przed phishingiem, prawdopodobnie się mylisz.

Kiedy korzystasz z kluczy U2F, takich jak YubiKey, żaden imitator nie może ukraść Twoich danych, ponieważ klucze działają tylko na oficjalnie zarejestrowanym koncie. Możesz czuć, że strona docelowa jest prawdziwa, ale protokół nigdy nie da się oszukać.

Wykryje autentyczność witryny i powiadomi Cię o tym. Dlatego, aby chronić witryny WordPress przed phishingiem, korzystanie z U2F jest nieuniknione. To uwierzytelnianie dwuskładnikowe powstrzymuje atak phishingu i zabezpiecza Twoją witrynę przed przejęciem.

Te klucze główne zapewniają dedykowaną obsługę i ochronę przed atakami typu man-in-the-middle i phishingiem. Jeśli więc Twoja witryna obsługuje wyjątkowo poufne dane i informacje, najlepszym rozwiązaniem jest użycie kluczy bezpieczeństwa U2F. Niemniej jednak zwykłe strony internetowe tak naprawdę nie wymagają YubiKey.

Jak korzystać z U2F w WordPressie?

Jeśli czytałeś ten artykuł do tej pory, musisz zdawać sobie sprawę z tego, jak ważne jest używanie U2F do ochrony witryn WordPress przed phishingiem. Teraz cały problem może dotyczyć tego, jak go osadzić. Cóż, proces jest niezwykle prosty i dla Twojej wygody procedura jest podawana krok po kroku.

• Najpierw musisz odwiedzić użytkowników i znaleźć swoją stronę profilu
• Następnie przewijaj w dół, a znajdziesz najnowsze atrybuty, w tym opcje 2-czynnikowe w obszarze zarządzania kontem
• Następnie upewnij się, że włączyłeś FIDO U2F i ustaw go jako podstawowy i kontynuuj przewijanie ponownie, aby przejść do opcji Klucze bezpieczeństwa. Po znalezieniu go kliknij przycisk oznaczony Zarejestruj nowy klucz
• Po podłączeniu klawiszy wybierz przycisk z kółkiem i zaktualizuj profil

Jednak, aby bezproblemowo wykonać te kroki, będziesz potrzebować rejestracji w Google. Poza tym będziesz musiał zalogować się do WordPressa jako administrator. Na koniec potrzebne będzie również połączenie HTTPS i odpowiednia przeglądarka obsługująca U2F,

Jak U2F jest lepszy niż OTP i aplikacje mobilne?

U2F jest niewątpliwie pomocny w utrzymaniu prywatności i bezpieczeństwa Twojego konta. Jednak czasami może to powodować niewielkie niedogodności. Załóżmy na przykład, że zapomniałeś zabrać ze sobą klucze USP, nie możesz odblokować konta bez zwrotu kluczy.

W takich przypadkach myślisz o używaniu OTP zamiast uwierzytelniania dwuskładnikowego. Ale istnieje również kilka wad OTP.

Hasła jednorazowe lub hasła jednorazowe to w rzeczywistości krótkie kody numeryczne wysyłane za pośrednictwem wiadomości tekstowych. Dzięki OTP można cierpieć z następujących niedogodności

• OTP z trudem chronią Twoją witrynę przed atakami typu man-in-the-middle lub phishingiem, innymi słowy są bardzo ryzykowne
• Kody wysyłane za pomocą wiadomości tekstowych można przerwać bez większego wysiłku
• Co więcej, korzystając z OTP, musisz użyć konkretnego klucza dla konkretnej witryny/hasła

Można więc powiedzieć, że OTP mogą wydawać się wygodne, ale jeśli dobrze się im przyjrzysz, nie będą one w stanie chronić Twojej witryny w pełni tak, jak U2F. Pozwala użytkownikom na łagodne bezpieczeństwo, ale nie tak silne jak U2F. Można łatwo dotrzeć do swojego OTP, uzyskując dostęp do konta wiadomości i poczty e-mail, i ukraść klientów, dane, a nawet konto.

W ten sposób wybór należy do Ciebie, czy chcesz poradzić sobie z drobnymi niedogodnościami, czy też pozwolić swojemu kontu zaangażować się w zagrożenie.

Cóż, nie ma nic złego w korzystaniu z narzędzi 2FA na telefonie komórkowym. W rzeczywistości system bezpieczeństwa jest również niesamowicie świetny. Ale jeśli mówisz o niedogodnościach, to musisz wiedzieć, że mobilne narzędzia 2FA mają też swoje wady.

Może nie być żadnych poważnych problemów technicznych, ale trudno jest dotrzeć do platformy, gdy bateria telefonu jest rozładowana lub prawie nie ma usługi. Wszystkie te rzeczy nie są tak naprawdę dużym problemem w przypadku korzystania z zabezpieczeń U2F. Jest poręczny, nie wymaga smartfona, a ponadto te fizyczne klucze USB są wodoodporne.

Jednak nikt nie może oczekiwać, że tak zaawansowane zabezpieczenia będą chronić witryny WordPress przed phishingiem bezpłatnie. Tak więc będziesz potrzebował trochę zainwestować w te klucze. Koszt tych kluczy zależy od ich wersji i zakresu użytkownika.

Wniosek
Teraz prawdopodobnie zdajesz sobie sprawę, że jeśli Twoja agencja obejmuje kilku znanych administratorów i klientów, Twoja firma może potrzebować kluczy bezpieczeństwa, aby chronić ważne i nieocenione zasoby Twojej agencji. W studium przypadku dotyczącym U2F doniesiono, że agencje korzystające z fizycznych kluczy USB znajdują się w strefie 0 phishingu.

Poza tym agencje te cieszyły się również zwiększoną wydajnością pracowników przy przystępnym koszcie. W rzeczywistości zalety protokołu U2F są proporcjonalne do wykorzystania tych kluczy przez klientów lub pracowników.