iThemes Security Pro ฟีเจอร์สปอตไลท์ – การตรวจสอบสิทธิ์แบบสองปัจจัย

ในโพสต์คุณสมบัติเด่น เราจะเน้นคุณลักษณะใน iThemes Security Pro และแชร์เล็กน้อยเกี่ยวกับสาเหตุที่เราพัฒนาคุณลักษณะนี้ คุณลักษณะนี้มีไว้เพื่อใคร และวิธีใช้คุณลักษณะนี้

วันนี้เราจะมาพูดถึงการรับรองความถูกต้องด้วยสองปัจจัย ซึ่งเป็นวิธีการที่ได้รับการพิสูจน์แล้วในการรักษาความปลอดภัยและปกป้องไซต์ WordPress ของคุณ

เหตุใดเราจึงพัฒนาการรับรองความถูกต้องด้วยสองปัจจัย

ตามรายงานการตรวจสอบการละเมิดข้อมูลของ Verizon พนักงานกว่า 70% ใช้รหัสผ่านซ้ำในที่ทำงาน แต่สถิติที่สำคัญที่สุดจากรายงานคือ “81% ของการละเมิดที่เกี่ยวข้องกับการแฮ็กใช้ประโยชน์จากรหัสผ่านที่ขโมยมาหรือรหัสผ่านที่ไม่รัดกุม”

ในรายการที่รวบรวมโดย Splash Data รหัสผ่านที่พบบ่อยที่สุดที่รวมอยู่ในการถ่ายโอนข้อมูลทั้งหมดคือ 123456 แม้ว่า 91% ของผู้คนจะรู้ว่าการใช้รหัสผ่านซ้ำนั้นเป็นการปฏิบัติที่ไม่ดี แต่ผู้คน 59% ที่ส่ายหน้ายังคงใช้รหัสผ่านซ้ำทุกที่! หลายคนเหล่านี้ยังคงใช้รหัสผ่านที่ปรากฏในฐานข้อมูลเป็นใบ้

การถ่ายโอนข้อมูลฐานข้อมูลเกิดขึ้นเมื่อแฮ็กเกอร์เข้าถึงฐานข้อมูลผู้ใช้ได้สำเร็จแล้วจึงทิ้งเนื้อหาไว้ที่ใดที่หนึ่งทางออนไลน์ น่าเสียดายสำหรับเรา การถ่ายโอนข้อมูลเหล่านี้มีข้อมูลการเข้าสู่ระบบและบัญชีที่ละเอียดอ่อนมากมาย

การละเมิดข้อมูล “การรวบรวม #1″ ที่โฮสต์บน MEGA ที่โฮสต์รวม 1,160,253,228 ที่อยู่อีเมลและรหัสผ่านที่ไม่ซ้ำกัน คะแนนประเภทนี้จะช่วยให้บอทที่เป็นอันตรายมีข้อมูลประจำตัวมากกว่าหนึ่งพันล้านชุดเพื่อใช้ในการโจมตีด้วยกำลังเดรัจฉาน การโจมตีด้วยกำลังเดรัจฉานหมายถึงวิธีการทดลองและข้อผิดพลาดที่ใช้เพื่อค้นหาชื่อผู้ใช้และรหัสผ่านที่รวมกันเพื่อแฮ็คเข้าสู่เว็บไซต์

เหตุผลทั้งหมดเหล่านี้และอื่น ๆ ทำให้คุณต้องการเพิ่มการป้องกันอีกชั้นหนึ่งในการเข้าสู่ระบบ WordPress ของคุณ

ตกลง คุณเป็นคนประเภทที่ใช้ตัวจัดการรหัสผ่านเช่น LastPass เพื่อสร้างรหัสผ่านที่รัดกุมและไม่ซ้ำกันสำหรับแต่ละบัญชีของคุณ แต่. แล้วผู้ดูแลระบบและผู้ใช้บรรณาธิการคนอื่นๆ ในไซต์ของคุณล่ะ หากผู้โจมตีสามารถประนีประนอมบัญชีใดบัญชีหนึ่งได้ พวกเขาก็ยังสามารถสร้างความเสียหายมากมายให้กับเว็บไซต์ของคุณได้

หากมีเพียงวิธีการรักษาความปลอดภัยบัญชีผู้ใช้ WordPress ของคุณที่ Google กล่าวว่ามีประสิทธิภาพในการโจมตีบอทอัตโนมัติ 100%

การตรวจสอบสิทธิ์แบบสองปัจจัยคืออะไร

การรับรองความถูกต้องด้วยสองปัจจัยเป็นกระบวนการในการยืนยันตัวตนของบุคคลโดยกำหนดให้มีการตรวจสอบสองวิธีแยกกัน Google แบ่งปันในบล็อกว่าการใช้การรับรองความถูกต้องด้วยสองปัจจัยสามารถหยุดการโจมตีบอทอัตโนมัติได้ 100% ฉันชอบอัตราต่อรองเหล่านั้นจริงๆ

การยืนยันตัวตนมี 3 หมวดหมู่

1. สิ่งที่คุณรู้ คุณจำการกรอกคำถามเพื่อความปลอดภัยเมื่อตั้งค่าบัญชีจำนองออนไลน์ของคุณหรือไม่? เช่น ใครคือครูที่คุณชื่นชอบ? หรือ นามสกุลเดิมของแม่คุณคืออะไร? คำถามเพื่อความปลอดภัยเหล่านี้คือรูปแบบของการรับรองความถูกต้องด้วยสองปัจจัยโดยต้องการคำตอบที่คุณจะรู้เท่านั้น

2. สิ่งที่คุณมี หมวดหมู่นี้กำหนดให้คุณต้องมีบางอย่างในครอบครอง เช่น โทรศัพท์หรือ Yubikey เพื่อพิสูจน์ตัวตนของคุณ ตัวอย่างเช่น วิธีการตรวจสอบสิทธิ์แบบสองปัจจัยบางอย่างต้องการรหัสตามเวลาที่ส่งไปยังอุปกรณ์เฉพาะผ่านแอป 2FA

3. สิ่งที่คุณเป็น คุณอาจไม่ทราบชื่อ แต่ถ้าคุณมีสมาร์ทโฟน คุณอาจใช้การรับรองความถูกต้องด้วยไบโอเมตริกซ์เพื่อลงชื่อเข้าใช้โทรศัพท์ของคุณ การรับรองความถูกต้องด้วยไบโอเมตริกซ์ต้องใช้คุณลักษณะทางชีวภาพที่เป็นเอกลักษณ์ในการตรวจสอบการเข้าสู่ระบบของคุณ หากโทรศัพท์ของคุณมีเครื่องสแกนลายนิ้วมือหรือ Face ID คุณกำลังใช้การรับรองความถูกต้องด้วยไบโอเมตริกซ์ทุกครั้งที่ปลดล็อกโทรศัพท์

การกำหนดให้ใช้วิธียืนยันตัวตนแบบอื่นเพิ่มเติมเพื่อเข้าสู่ระบบเว็บไซต์ของคุณจะบล็อกการโจมตีด้วยกำลังเดรัจฉานอัตโนมัติทั้งหมด และยังช่วยปกป้องคุณหากมีช่องโหว่เกี่ยวกับการตรวจสอบสิทธิ์ที่ใช้งานไม่ได้บนเว็บไซต์ของคุณ ช่องโหว่การพิสูจน์ตัวตนที่ใช้งานไม่ได้อาจทำให้ผู้โจมตีประนีประนอมกับรหัสผ่านของผู้ใช้หรือรหัสผ่าน คีย์ หรือโทเค็นเซสชันของผู้ใช้เพื่อเข้าควบคุมบัญชีผู้ใช้

วิธีใช้การตรวจสอบสิทธิ์แบบสองปัจจัยใน iThemes Security Pro

ในการเริ่มต้นใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย ให้ไปที่เมนูคุณลักษณะของการตั้งค่าความปลอดภัย และเปิดใช้งาน Two-Factor หลังจากเปิดใช้งาน Two-Factor แล้ว ให้คลิกที่การตั้งค่า ล้อเฟือง

ตอนนี้ มาดูการตั้งค่าสองปัจจัยอย่างละเอียดยิ่งขึ้น

วิธีการพิสูจน์ตัวตนที่มีให้สำหรับผู้ใช้ – การตั้งค่านี้ให้คุณเลือกวิธีการตรวจสอบสิทธิ์สามวิธีที่คุณจะอนุญาตให้ผู้อื่นใช้

วิธีการตรวจสอบสิทธิ์สามวิธีโดย iThemes Security Pro :

1. แอพมือถือ - วิธีแอพมือถือเป็นวิธีที่ปลอดภัยที่สุดของการรับรองความถูกต้องด้วยสองปัจจัยที่จัดทำโดย iThemes Security Pro วิธีนี้กำหนดให้คุณต้องใช้แอปมือถือสองปัจจัยฟรี เช่น Authy
2. อีเมล – วิธีการอีเมลแบบสองปัจจัยจะส่งรหัสที่คำนึงถึงเวลาไปยังที่อยู่อีเมลของผู้ใช้ของคุณ
3. รหัสสำรอง – ชุดรหัสแบบใช้ครั้งเดียวที่สามารถใช้เพื่อเข้าสู่ระบบในกรณีที่วิธีการหลักสองปัจจัยหายไป

เอาล่ะ ไปที่การตั้งค่าสองปัจจัยที่เหลือกัน

• บังคับการตรวจสอบสิทธิ์แบบสองปัจจัย – ตัวเลือกนี้อนุญาตให้ผู้ใช้ในกลุ่มผู้ใช้เฉพาะเจาะจงใช้การตรวจสอบสิทธิ์แบบสองปัจจัย
• ปิดใช้งานการ ออนบอร์ด แบบสองปัจจัย – การตั้งค่านี้ช่วยให้คุณสามารถปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ใช้บางรายได้ เราจะพูดถึงการเริ่มต้นใช้งาน 2fa ในเชิงลึกในภายหลังในโพสต์
• การป้องกันผู้ใช้ที่มีช่องโหว่ – เมื่อเปิดใช้งาน การตั้งค่านี้จะกำหนดให้ผู้ใช้ทั้งหมดต้องใช้สองปัจจัยเมื่อเข้าสู่ระบบหากไซต์มีช่องโหว่ เช่น การใช้งานที่ล้าสมัยหรือซอฟต์แวร์ที่ทราบว่ามีช่องโหว่
• ปิดการใช้งานในการเข้าสู่ระบบครั้งแรก – เมื่อคุณเปิดใช้งานคุณสมบัติบังคับใช้การตรวจสอบสิทธิ์สองปัจจัยสำหรับกลุ่มผู้ใช้เฉพาะ พวกเขาจะต้องป้อนโทเค็นสองปัจจัยที่ส่งไปยังที่อยู่อีเมลของพวกเขาในครั้งต่อไปที่เข้าสู่ระบบ การเปิดใช้งานการตั้งค่านี้จะทำให้ออนบอร์ดง่ายขึ้น ไหลเมื่อผู้ใช้เข้าสู่ระบบครั้งแรก
• ข้อความต้อนรับออนบอร์ด – สิ่งนี้ช่วยให้คุณปรับแต่งข้อความที่ผู้คนเห็นเมื่อพวกเขาเริ่มโฟลว์การเริ่มต้นใช้งานแบบสองปัจจัย

การเริ่มต้นใช้งานแบบสองปัจจัย

เราสร้างการเริ่มต้นใช้งานแบบสองปัจจัยเพื่อสร้างวิธีที่เป็นมิตรกับผู้ใช้ในการตั้งค่าบัญชีสองปัจจัยเมื่อเข้าสู่ระบบ หลังจากที่คุณเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยแล้ว ผู้ใช้ทุกคนจะได้รับคำแนะนำตลอดกระบวนการเริ่มต้นใช้งาน คุณสามารถปิดใช้งานการออนบอร์ดแบบสองปัจจัยสำหรับกลุ่มผู้ใช้เฉพาะในการตั้งค่าสองปัจจัย

เอาล่ะ มาดูขั้นตอนการเข้าสู่ระบบและขั้นตอนการเริ่มต้นใช้งานแบบสองปัจจัยกันทีละขั้นตอน

เช่นเดียวกับปกติ สิ่งแรกที่คุณจะเห็นคือแบบฟอร์มการเข้าสู่ระบบ ป้อนข้อมูลประจำตัวของคุณและคลิกปุ่ม เข้าสู่ระบบ

หากคุณทำตามคำแนะนำของเราและเปิดใช้งานข้อกำหนดการบังคับ 2fa สำหรับผู้ใช้ที่มีสิทธิพิเศษ สิ่งต่อไปที่คุณจะเห็นคือที่สำหรับป้อนโทเค็นสองปัจจัยที่ส่งไปยังที่อยู่อีเมลของคุณ เปิดอีเมลและคัดลอกและวางโทเค็น จากนั้นคลิกปุ่ม เข้าสู่ระบบ

ในหน้าจอถัดไป คุณจะเห็นข้อความต้อนรับในการเริ่มต้นใช้งาน โปรดทราบว่าคุณปรับแต่งค่านี้ได้ในการตั้งค่าสองปัจจัย คลิกปุ่ม Continue เพื่อไปยังขั้นตอนต่อไป

ขั้นตอนต่อไปคือการเลือกวิธีการสองปัจจัยที่คุณต้องการเปิดใช้งานสำหรับบัญชีของคุณ คลิกที่ลูกศร รหัสสำรอง สร้างรายการรหัสสำรองที่จะใช้หากวิธีการตรวจสอบสิทธิ์หลักของคุณล้มเหลว

ตอนนี้คลิกปุ่มดาวน์โหลดเพื่อดาวน์โหลดไฟล์ข้อความของรหัสสำรองของคุณ อย่าลืมเก็บรหัสเหล่านี้ไว้ในที่ปลอดภัย

ตอนนี้คลิกลิงก์ ย้อนกลับ เพื่อกลับไปยังหน้าจอก่อนหน้า ตอนนี้ให้คลิกที่ลูกศรของ แอพมือถือ เพื่อเปิดใช้งานและกำหนดค่าวิธีการรับรองความถูกต้องสำหรับผู้ใช้ของเรา

ตอนนี้เลือกระบบปฏิบัติการมือถือของคุณแล้วเปิดแอพมือถือสองปัจจัยบนโทรศัพท์ของคุณ

จากโทรศัพท์ของคุณ ให้สแกนรหัส QR เพื่อเชื่อมโยงความลับกับแอปมือถือของคุณต่อไป

ตอนนี้ป้อนรหัส 6 หลักจากโทรศัพท์ของคุณลงในเว็บเบราว์เซอร์แล้วคลิก ยืนยัน เพื่อสิ้นสุดการตั้งค่าแอพมือถือ

ตอนนี้เมื่อคุณมีการตั้งค่าสองปัจจัยแล้ว ให้คลิกปุ่ม ดำเนิน การ ต่อ เพื่อเสร็จสิ้นการเข้าสู่แดชบอร์ด WordPress ของคุณ

โปรไฟล์ผู้ใช้ การตั้งค่าสองปัจจัย

คุณสามารถเปลี่ยนแปลงการตั้งค่าสองปัจจัยได้ตลอดเวลาโดยไปที่หน้าโปรไฟล์ผู้ใช้ของคุณ

จากที่นี่ คุณสามารถสร้างรหัสลับใหม่ เปิด/ปิดวิธี 2fa และอัปเดตวิธีการตรวจสอบสิทธิ์หลักของคุณ

ห่อ

โดยสรุป ไม่มีอะไรอื่นที่คุณสามารถทำได้ง่ายๆ เท่ากับการเพิ่ม 2fa ในการเข้าสู่ระบบ WordPress ของคุณ ซึ่งจะทำให้เว็บไซต์ของคุณปลอดภัยยิ่งขึ้น หากคุณไม่ได้ใช้สองปัจจัย ให้เพิ่มลงในเว็บไซต์ของคุณทันที

ไมเคิล มัวร์

ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน