Destaque do recurso do iThemes Security Pro - autenticação de dois fatores
Publicados: 2021-07-14Nas postagens do Feature Spotlight, vamos destacar um recurso no iThemes Security Pro e compartilhar um pouco sobre por que desenvolvemos o recurso, para quem se destina e como usá-lo.
Hoje vamos abordar a autenticação de dois fatores, um método comprovado para proteger e proteger seu site WordPress.
Por que desenvolvemos a autenticação de dois fatores
De acordo com o Relatório de investigações de violação de dados da Verizon, mais de 70% dos funcionários reutilizam senhas no trabalho. Mas a estatística mais importante do relatório é que “81% das violações relacionadas a hackers aproveitaram senhas roubadas ou fracas”.
Em uma lista compilada pela Splash Data, a senha mais comum incluída em todos os despejos de dados foi 123456. Embora 91% das pessoas saibam que reutilizar senhas é uma prática inadequada, surpreendentes 59% das pessoas ainda reutilizam suas senhas em todos os lugares! Muitas dessas pessoas ainda estão usando senhas que apareceram em um banco de dados burro.
Um despejo de banco de dados ocorre quando um hacker consegue acessar o banco de dados do usuário e despeja o conteúdo em algum lugar online. Infelizmente para nós, esses despejos contêm uma tonelada de informações confidenciais de login e conta.
A violação de dados “Collection # 1 ″ que foi hospedada em MEGA hospedada incluiu 1.160.253.228 combinações únicas de endereços de e-mail e senhas. Esse tipo de pontuação fornecerá a um bot malicioso mais de um bilhão de conjuntos de credenciais para usar em ataques de força bruta. Ataques de força bruta referem-se a um método de tentativa e erro usado para descobrir combinações de nome de usuário e senha para invadir um site.
Todos esses motivos e outros devem fazer você querer adicionar outra camada de proteção ao seu login do WordPress.
Ok, então você é o tipo de pessoa que usa um gerenciador de senhas como o LastPass para criar senhas fortes e exclusivas para cada uma de suas contas. Mas. E quanto aos outros usuários administradores e editores em seu site? Se um invasor conseguir comprometer uma de suas contas, ele ainda poderá causar muitos danos ao seu site.
Se houvesse apenas um método para proteger suas contas de usuário do WordPress que o Google disse ser eficaz contra 100% dos ataques de bot automatizados.
O que é autenticação de dois fatores
A autenticação de dois fatores é um processo de verificação da identidade de uma pessoa, exigindo dois métodos separados de verificação. O Google compartilhou em seu blog que o uso de autenticação de dois fatores pode impedir 100% dos ataques de bot automatizados. Eu realmente gosto dessas probabilidades.
Existem 3 categorias de verificação de identidade
1. Algo que você sabe. Você se lembra de responder a perguntas de segurança ao configurar sua conta de hipoteca online? Algo como Quem é seu professor favorito? ou Qual é o nome de solteira da sua mãe? Essas perguntas de segurança são uma forma de autenticação de dois fatores, exigindo respostas que você só conhece.
2. Algo que você tem. Esta categoria exige que você tenha algo fisicamente em sua posse - como seu telefone ou um Yubikey - para provar sua identidade. Por exemplo, alguns métodos de autenticação de dois fatores exigem um código baseado em tempo enviado a um dispositivo específico por meio de um aplicativo 2FA.
3. Algo que você é. Você pode não saber o nome, mas se tiver um smartphone, provavelmente usou a autenticação biométrica para fazer login no telefone. A autenticação biométrica requer uma característica biológica exclusiva para autenticar seu login. Se o seu telefone tiver um leitor de impressão digital ou ID facial, você usará autenticação biométrica sempre que desbloquear o telefone.
Exigir a adição de outro método de verificação de identidade para fazer login em seu site bloquearia todos os ataques de força bruta automatizados e até ajudaria a protegê-lo se houver uma vulnerabilidade de autenticação interrompida em seu site. Uma vulnerabilidade de autenticação interrompida pode permitir que um invasor comprometa um usuário ou as senhas, chaves ou tokens de sessão de um usuário para assumir o controle das contas do usuário.
Como usar a autenticação de dois fatores no iThemes Security Pro
Para começar a usar a autenticação de dois fatores, navegue até o menu Recursos das configurações de segurança e ative o dois fatores . Após ativar o Two-Factor, clique na engrenagem de configurações.
Agora vamos dar uma olhada mais de perto nas configurações de dois fatores.
Métodos de autenticação disponíveis para usuários - As configurações permitem escolher qual dos três métodos de autenticação você permitirá que as pessoas usem.
Os três métodos de autenticação fornecidos pelo iThemes Security Pro :
- Aplicativo móvel - O método do aplicativo móvel é o método mais seguro de autenticação de dois fatores fornecido pelo iThemes Security Pro. Este método requer que você use um aplicativo móvel gratuito de dois fatores como o Authy.
- E - mail - o método de e-mail de dois fatores enviará códigos urgentes para o endereço de e-mail do seu usuário.
- Códigos de backup - Um conjunto de códigos de uso único que podem ser usados para fazer o login no caso de perda do método principal de dois fatores.
Tudo bem, vamos passar para o resto das configurações de dois fatores.
- Forçar autenticação de dois fatores - esta opção permite exigir que os usuários em um grupo de usuários específico usem a autenticação de dois fatores.
- Disable Two-Factor Onboarding - Esta configuração permite que você desative a autenticação de dois fatores on-boarding para determinados usuários. Abordaremos a integração 2fa com mais detalhes posteriormente no post.
- Proteção de usuário vulnerável - quando habilitada, esta configuração exigirá que todos os usuários usem dois fatores ao fazer login se o site for vulnerável, como execução desatualizada ou software conhecido como vulnerável.
- Desabilitar no primeiro login - Quando você habilita o recurso Forçar autenticação de dois fatores para grupos de usuários específicos, eles serão solicitados a inserir o token de dois fatores enviado para seus endereços de e-mail na próxima vez que fizerem login. Habilitar esta configuração simplificará o processo integrado fluxo quando os usuários fazem login pela primeira vez.
- Texto de boas-vindas integrado - permite que você personalize o texto que as pessoas veem quando iniciam o fluxo de integração de dois fatores.
Integração de dois fatores
Criamos a integração de dois fatores para criar uma maneira fácil de usar para que as pessoas configurem dois fatores em suas contas ao fazer login. Depois de ativar a autenticação de dois fatores, cada usuário será guiado pelo processo de integração. Você pode desativar a integração de dois fatores para grupos de usuários específicos nas configurações de dois fatores.
Tudo bem, vamos percorrer o processo de login e de integração de dois fatores passo a passo.
Como normalmente, a primeira coisa que você verá é o formulário de login. Insira suas credenciais e clique no botão Login .
Se você seguiu nossas recomendações e habilitou os requisitos de force 2fa para usuários com privilégios, a próxima coisa que verá é um lugar para inserir o token de dois fatores enviado para seu endereço de e-mail. Abra o e-mail, copie e cole o token e clique no botão Login .
Na próxima tela, você verá o texto de boas-vindas da integração. Lembre-se de que você pode personalizar isso nas configurações de dois fatores. Clique no botão Continuar para avançar para a próxima etapa.
A próxima etapa é selecionar quais métodos de dois fatores você deseja ativar para sua conta. Clique na seta Códigos de backup para gerar uma lista de códigos de backup para usar se o seu método principal de autenticação falhar.
Agora clique no botão Download para baixar um arquivo de texto de seus códigos de backup. Certifique-se de armazenar esses códigos em um local seguro.
Agora clique no link Voltar para retornar à tela anterior. Agora vamos clicar na seta do Mobile App para habilitar e configurar este método de autenticação para nosso usuário.
Agora escolha seu sistema operacional móvel e, em seguida, abra seu aplicativo móvel de dois fatores em seu telefone.
Em seu telefone, leia o código QR para continuar a vincular o segredo ao seu aplicativo móvel.
Agora digite o código de 6 dígitos do seu telefone no navegador da web e clique em Verificar para concluir a configuração do aplicativo móvel.
Tudo bem, agora que você configurou todos os dois fatores, clique no botão Continuar para concluir o login no painel do WordPress.
Configurações de dois fatores do perfil do usuário
Você sempre pode fazer alterações em suas configurações de dois fatores, visitando a página de seu perfil de usuário.
A partir daqui, você pode criar uma nova chave secreta, habilitar / desabilitar métodos 2fa e atualizar seu método principal de autenticação.
Empacotando
Para resumir, não há nada mais que você possa fazer que seja tão fácil quanto adicionar 2fa ao seu login do WordPress que fará mais para proteger o seu site. Se você não estiver usando dois fatores, adicione-o ao seu site agora.
A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.
