Destaque do recurso do iThemes Security Pro: Links mágicos e login sem senha

Publicados: 2021-06-24

Nas postagens do Feature Spotlight, vamos destacar um recurso no iThemes Security Pro e compartilhar um pouco sobre por que desenvolvemos o recurso, para quem se destina e como usá-lo.

Hoje vamos cobrir Magic Links e Passwordless Logins , dois grandes recursos do plugin iThemes Security Pro.

Links mágicos

O iThemes Security Pro é ótimo para bloquear os bandidos. No entanto, se um bandido usasse o nome de usuário Bob em um ataque de força bruta e Bob fosse um usuário real no site, Bob infelizmente seria bloqueado junto com o invasor.

Na próxima vez que Bob tentar fazer login, ele será recebido com a mensagem de bloqueio do iThemes Security. Se Bob for o administrador do site, ele terá que esperar que o bloqueio expire ou desabilitar manualmente o iThemes Security Pro via FTP.

Se Bob for seu cliente, ele provavelmente superestimará a seriedade do bloqueio e entrará em contato com você freneticamente, perguntando-se por que você permitiu que o site dele fosse hackeado. Isso exigiria que você explicasse que isso é uma evidência de que você está protegendo o site deles e, em seguida, liberando o bloqueio usando o Sync Pro ou fazendo login no site e liberando o bloqueio do widget de segurança do iThemes para permitir que ele faça login novamente.

Embora seja ótimo impedir que bandidos invadam um site, não gostamos quando a segurança afeta a experiência dos usuários reais. Portanto, queríamos criar uma maneira de permitir que Bob fizesse login, mesmo quando seu nome de usuário fosse usado em um ataque de força bruta. Nunca queremos que um gerente de local tenha que gastar seu valioso tempo eliminando bloqueios.

O que são links mágicos?

Links mágicos permitem que você faça login no seu site WordPress enquanto seu nome de usuário está bloqueado pelo recurso de proteção contra força bruta local do iThemes Security.

Quando seu nome de usuário está bloqueado, você pode solicitar um e-mail com um link de login exclusivo. Usar o link enviado por e-mail irá ignorar o bloqueio do nome de usuário para você, enquanto os invasores de força bruta ainda estão bloqueados.

Como usar links mágicos no iThemes Security Pro

Para começar a usar Magic Links, navegue até o menu de configurações de segurança e ative Magic Links .

Se você se deparar com um bloqueio após habilitar o Magic Links, será apresentada a você a opção de enviar um Magic Link para o seu endereço de e-mail.

Basta clicar no link “Enviar link de login autorizado” para receber seu e-mail Magic Links.

Assim que receber o e-mail, use o link, insira suas credenciais e você estará de volta ao seu site!

Logins sem senha

Por definição, toda medida de segurança é projetada para diminuir a conveniência de tudo o que está recebendo a segurança adicional. Para aumentar a segurança, a porta da frente da minha casa tem uma fechadura. A fechadura requer a etapa extra de usar uma chave para destrancar a porta antes que ela se abra. Adicionar a etapa extra para entrar em minha casa é provavelmente uma boa ideia, embora fosse mais fácil sem uma fechadura.

O mesmo vale para suas contas online. Usar uma senha forte e única e autenticação de dois fatores irá protegê-lo de 100% dos ataques de força bruta. Infelizmente, ainda existem muitas pessoas reutilizando suas mesmas senhas fracas e não usando nenhuma forma de dois fatores.

Aqueles de nós na comunidade de segurança muitas vezes têm dificuldade em entender por que foi tão difícil convencer as pessoas a sacrificar um pouco de conveniência para obter uma quantidade enorme de segurança. Nós nem pensamos em ter uma fechadura exclusiva para cada porta física que entramos - eu tenho uma chave para meu carro, o carro da esposa, casa, escritório e caixa de correio - então, por que usar uma senha exclusiva em nossa porta virtual parece tão inconveniente?

Por que desenvolvemos logins sem senha para WordPress?

Nós, da comunidade de segurança, começamos a perceber que sempre tornamos a segurança mais confusa do que o necessário. Assim que tiver a chave de uma porta física, você estará pronto. No entanto, com a segurança de senha, criamos um monte de regras que podem ser esmagadoras. Para piorar as coisas, parece que não podemos concordar sobre quais devem ser as regras para a criação de uma senha forte.

Quer nós, da comunidade de segurança, queiramos admitir ou não, usar um gerenciador de senhas e autenticação de dois fatores pode ser uma dor e consumir muito tempo, especialmente à medida que mudamos cada vez mais nossas vidas online.

Por isso, queríamos criar uma maneira de as pessoas obterem toda a segurança que uma senha forte e exclusiva oferece, sem sacrificar a usabilidade.

O que são logins sem senha?

O login sem senha é uma nova maneira de verificar a identidade de um usuário sem realmente exigir uma senha para fazer o login. Pegamos a ideia dos Links mágicos e os evoluímos para um novo método de login que permite exigir que os usuários usem senhas fortes e autenticação de dois fatores sem nunca inserir uma senha ou um código de autenticação extra.

Como usar logins sem senha

Para começar a usar o Login sem senha, navegue até o menu Recursos das configurações de segurança e ative o Login sem senha .

Depois de ativar o Login sem senha, clique na engrenagem para gerenciar as configurações.

Clique nos links Grupos de usuários para selecionar quais usuários podem usar o método de login e ignorar dois fatores ao usar o método.

Agora que ativou os logins sem senha, você pode aplicar senhas fortes e requisitos de dois fatores sem afetar negativamente a experiência dos usuários em seu site.

Obtenha o conteúdo bônus: Primeiros passos com logins sem senha

Baixe Agora

Como funciona o método de login sem senha

Ao fazer login, você deverá escolher um método de login. Clique no botão Email Magic Link para enviar o e-mail contendo o link de login sem senha.

Você verá uma mensagem confirmando o envio do e-mail.

E-mail de verificação de login sem senha

Na caixa de entrada do seu e-mail, abra o e-mail do Magic Link e o botão Login Agora .

E é isso, sem inserir uma senha ou token de dois fatores. Isso significa que, depois de habilitar o Login sem senha, você não precisa saber sua senha complicada ou copiar e colar um código extra para fazer o login. No entanto, aqueles bandidos que tentam usar a força bruta em seu site terão uma taxa de sucesso de 0%.

Empacotando

Como você pode ver, os Magic Links e os Logins sem senha no iThemes Security Pro podem adicionar uma forte camada de segurança ao seu site sem qualquer inconveniente.

Não perca a próxima edição dos destaques de recursos do iThemes Security Pro. Estamos voltando os holofotes para Dispositivos confiáveis, uma ótima ferramenta para proteger seu administrador do WordPress e evitar o sequestro de sessão.

Michael Moore

A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.