Entendendo os riscos do compartilhamento de login no WordPress

Embora seja um grande problema de segurança, o compartilhamento de login no WordPress acontece com mais frequência do que se imagina. Como o termo sugere, o compartilhamento de login é a prática de usuários compartilharem suas informações de login com outros usuários. Em uma pesquisa recente, 49% dos usuários admitiram compartilhar seus detalhes de login comercial, com usuários mais jovens (16 a 24 anos) mais despreocupados em compartilhar seus detalhes de login do que aqueles no grupo mais velho (mais de 55 anos).

Embora você possa pensar que isso não está acontecendo em seu site WordPress, muitos administradores tendem a subestimar a escala de compartilhamento de senhas. Sem controles implementados, pode ser bastante desafiador entender se alguém da sua equipe compartilha seus logins. As pessoas raramente admitem compartilhar senhas, mas o compartilhamento de login está acontecendo e pode levar a muitos problemas e problemas de segurança do WordPress.

Por que os usuários compartilham seus logins?

Embora possa haver motivos legítimos para que os usuários precisem compartilhar detalhes de login, as práticas recomendadas nos dizem que cada usuário deve ter sua própria conta. Os usuários compartilham informações de login por vários motivos. Acessar contas de mídia social ou endereços de e-mail voltados para o público, onde muitas pessoas podem precisar postar e fazer solicitações de ação, é um motivo muito comum. Outros motivos incluem:

Conveniência: Você tem trabalho a fazer agora. Enviar uma solicitação solicitando ao helpdesk para criar outra conta de usuário causaria um atraso.

Custo: À medida que usamos mais serviços de assinatura baseados em nuvem, pode haver custos adicionais associados à adição de mais usuários. Isso torna o compartilhamento de login particularmente tentador se a necessidade for apenas temporária.

Gestão: do ponto de vista gerencial, comercial e operacional, quanto menos contas gerenciar, mais fácil será o trabalho.

Os problemas de segurança causados ​​pelo compartilhamento de login

Para muitos, compartilhar seu login é apenas mais uma coisa que eles fazem no trabalho. Embora os usuários compartilhem seus logins sem má intenção, a prática de compartilhar credenciais de login tem vários riscos de segurança associados.

Vazamento de credenciais

Dar seus logins do WordPress a um amigo ou colega de confiança pode parecer inócuo à primeira vista. No entanto, você deve se perguntar se eles serão tão cuidadosos com seus detalhes quanto com os próprios? Além disso, se você estiver usando a mesma senha em várias contas; você não está apenas colocando a conta compartilhada sob ameaça, mas potencialmente todas as outras contas.

Da mesma forma, desistir de suas credenciais corre o risco de suas credenciais vazarem dentro e fora da empresa.

Incentiva o uso de senhas fracas

Mais de 80% das tentativas de hackers bem-sucedidas exploram senhas fracas, usando ataques de força bruta ou credenciais roubadas. Se houver uma cultura de compartilhamento de senhas, essas senhas serão inevitavelmente fracas e fáceis de lembrar.

Uso indevido de serviço

Quando se trata de segurança do WordPress, o princípio do privilégio mínimo é uma das melhores ferramentas que os administradores podem empregar para manter um alto nível de proteção. Isso significa que a conta de cada indivíduo terá privilégios específicos para realizar as tarefas necessárias para o trabalho. Como tal, nem todas as contas são criadas iguais, pois nem todas as funções em uma empresa são iguais. Algumas contas terão mais privilégios e acesso a mais informações do que outras.

Por meio do compartilhamento de login, todos que tiverem conhecimento das credenciais terão acesso a todos os privilégios dessa conta, independentemente do nível de acesso que devam ter. Isso pode potencialmente permitir que eles acessem funções e dados aos quais eles normalmente não têm acesso. Isso pode levar ao vazamento de dados e à violação de regulamentos como GDPR, PCI DSS e outros.

Responsabilidade dos usuários

As contas individuais atribuem responsabilidade às ações, quem fez o quê e quando.

Segue o mesmo princípio pelo qual cada operador de caixa possui uma gaveta de dinheiro individual, que é removida quando o turno termina. Se essas gavetas de dinheiro fossem compartilhadas e houvesse um déficit, como você determinaria quem é o responsável? Nessa situação, todos os que tiverem acesso a esse saque em dinheiro ficarão sob suspeita, independentemente de ter acontecido em seu turno ou não.

O mesmo se aplica aos sites WordPress. Como você determinaria quem aprovou um pedido, um reembolso ou modificou erroneamente uma lista de produtos ou preço? Se um erro for descoberto, quem será responsabilizado? Como você provaria sua inocência?

O que você pode fazer para interromper o compartilhamento de login?

Educar , encorajar , impor .

Se você ainda não fez isso, certifique-se de ter uma política de gerenciamento de senhas que desencoraje o compartilhamento de login. Você também deve garantir que a equipe esteja ciente de suas obrigações regulatórias e como todas elas podem desempenhar um papel no cumprimento desses requisitos.

Eduque a equipe sobre os perigos potenciais de compartilhar seus detalhes de login confidenciais, não apenas para a empresa, mas para eles mesmos. Suponha que haja roubo de dados e a aplicação da lei se envolva. Nesse caso, sem dúvida, eles verificarão quem acessou o quê verificando os logs das contas dos usuários.

O principal fator que leva os usuários a compartilhar os detalhes de login de sua conta é que é fácil de fazer e pode ser feito agora mesmo, para que o trabalho possa ser feito. Não há dependência de terceiros, como o helpdesk ou com quaisquer atrasos subsequentes.

Simplifique o processo de gerenciamento de contas, tornando-o acessível e eficiente. Você também pode querer garantir que a equipe de suporte técnico esteja ciente das práticas recomendadas de segurança e regulamentação e tenha poderes para defendê-las em toda a organização.

Existem várias soluções de tecnologia disponíveis para você aplicar suas políticas de senha e desencorajar o compartilhamento de login. Por exemplo:

Aplique e use senhas fortes

Uma desvantagem significativa de compartilhar senhas é que elas serão invariavelmente fracas, então são fáceis de lembrar e talvez escritas em notas adesivas, tornando-as disponíveis para qualquer pessoa que as veja. Ao forçar os usuários a usarem senhas fortes, você os desencoraja a compartilhar as credenciais.

Plugins como o WPassword tornam todo o processo superfácil. A TI oferece controle total sobre a implementação, ajudando você a alcançar o equilíbrio certo entre segurança e usabilidade.

Usar gerenciadores de senhas

Apenas impor senhas fortes não é suficiente. Você precisa ajudar seus usuários a gerenciar suas senhas. Implemente e incentive o uso de gerenciadores de senhas, para que seus usuários possam
armazene suas senhas difíceis em um local seguro, sem precisar lembrar de cada uma delas.

Usar autenticação de dois fatores

A autenticação de dois fatores (2FA) adiciona outra camada de segurança a um custo administrativo muito baixo. Por meio do 2FA, os usuários precisam realizar uma segunda autenticação por meio de um fator secundário, sendo o OTP (One Time Password) um dos métodos mais usados.

Ao implementar 2FA e OTP, os usuários que tentam fazer login em sua conta precisam ter acesso ao smartphone ou e-mail, além de saber o nome de usuário e a senha. Com os OTPs expirando a cada 30 segundos, o compartilhamento de senhas se torna muito difícil – tornando mais fácil simplesmente solicitar uma nova conta.

Implementar o 2FA para o seu site WordPress é mais fácil do que você imagina. Plugins como o WP 2FA oferecem assistentes amigáveis ​​e amplas opções de compatibilidade para facilitar todo o processo.

Monitorar a atividade do usuário

Fique de olho em quem está acessando o que em seu site com um plug-in de registro de atividades. Um registro abrangente de atividades em tempo real lhe dará visibilidade completa de todas as ações realizadas em seus sites WordPress. Os logs de atividades são fundamentais para as boas práticas de segurança e ajudarão bastante no cumprimento de suas obrigações de conformidade.

E se você ainda precisar compartilhar seus detalhes de login?

Se você precisar compartilhar credenciais por qualquer motivo, então:

1. Certifique-se de que isso seja limitado apenas àqueles que realmente exigem acesso e que o acesso é temporário. Quando a sessão de compartilhamento terminar, redefina a senha.
2. Use um gerenciador de senhas que suporte um banco de dados compartilhável comum. A maioria dos gerenciadores de senhas online permite isso; você pode ter seu próprio banco de dados e um banco de dados com credenciais compartilhadas com outras pessoas.
3. Comunique a senha verbalmente ou envie partes das credenciais por diferentes canais, como metade por Skype, metade por email criptografado ou algum outro canal de mensagens seguro.

Muito importante; no final da sessão ou acesso necessário, redefina sempre a senha.

Evite compartilhar suas informações de login

Concluindo, compartilhar credenciais nunca é uma coisa boa. Você deve desencorajar ativamente a prática alertando todos os usuários sobre sua política. Além disso, faça uso das ferramentas e soluções disponíveis que podem ajudá-lo a aplicar sua política.