ปกป้องไซต์ WordPress ของคุณจากฟิชชิ่งโดยใช้ U2F?

ฟิชชิงเป็นหนึ่งในภัยคุกคามที่สำคัญที่สุดที่เว็บไซต์ของคุณสามารถรับได้ มันสามารถขโมยข้อมูล รหัสผ่าน อันที่จริงทั้งบัญชีของคุณ คุณอาจเข้าสู่ไซต์ฟิชชิ่งโดยไม่ได้ตั้งใจผ่าน URL ที่พิมพ์ผิด อย่างไรก็ตาม ด้วย U2F คุณสามารถ ปกป้องไซต์ WordPress จากฟิชชิ่ง ได้อย่างละเอียด

สร้างขึ้นโดยความพยายามร่วมกันของ Yubico และ Google โดยพื้นฐานแล้ว U2F เป็นโปรโตคอลที่ได้รับอนุญาตซึ่งรับรองความเป็นส่วนตัวและความปลอดภัยของเว็บไซต์ของคุณ U2F เป็นตัวย่อของ Universal Second Factor ซึ่งมีวัตถุประสงค์เพื่อปกป้องไซต์ WordPress ของคุณจากฟิชชิ่งทุกประเภท

ในกรณีที่ใช้ U2F ไม่จำเป็นต้องมีซอฟต์แวร์ไคลเอ็นต์หรือไดรเวอร์ซึ่งเป็นส่วนที่ดีที่สุดอย่างปฏิเสธไม่ได้ สิ่งที่คุณต้องมีคือการลงทะเบียนบนอุปกรณ์ที่รองรับบริการออนไลน์ของโปรโตคอลนี้ ในสถานการณ์ล่าสุด FIDO Alliance เป็นเจ้าภาพ U2F

ในขณะที่พูดถึงกลไกของโปรโตคอล จำเป็นต้องพูดถึงว่า U2F ส่วนใหญ่เป็นคีย์ USB ที่มีอยู่จริงซึ่งค่อนข้างคล้ายกับแฟลชไดรฟ์ เว้นแต่บัญชีของคุณจะเสียบด้วยคีย์ USB เหล่านี้ คุณจะไม่สามารถเข้าถึงได้ แท้จริงแล้วเป็นการตรวจสอบสิทธิ์แบบ 2 ปัจจัย

ลักษณะของคีย์ความปลอดภัย U2F

หลังจากกำหนดค่าคีย์ USB จริงแล้ว คุณต้องเสียบคีย์เหล่านี้เข้ากับระบบของคุณตามด้วยการคลิกปุ่ม โดยหลักแล้ว คีย์ความปลอดภัย USB เหล่านี้มีคำสั่งสำคัญสองคำสั่งในการลงทะเบียนและการรับรองความถูกต้อง ต่อมา คำสั่งทั้งสองนี้จะถูกส่งไปยังหน้าเว็บในรูปแบบของเบราว์เซอร์ API

ในกรณีของคำสั่งแรก คีย์ USB ที่คุณใช้จะสร้างคู่คีย์แบบอสมมาตรใหม่ และในขณะเดียวกันก็มอบคีย์สาธารณะกลับคืนมา ต่อจากนี้ เซิร์ฟเวอร์จะเชื่อมต่อบัญชีผู้ใช้และคีย์ความปลอดภัยกับคีย์สาธารณะที่ส่งคืน

ในทางกลับกัน ในแง่ของการรับรองความถูกต้อง คีย์ USB ในตอนแรกจะตรวจจับสถานะของคุณโดยการทดสอบการมีอยู่ของแท่ง USB ทันทีที่คุณลงชื่อเข้าใช้บัญชีของคุณ เมื่อสถานะทางกายภาพของคุณได้รับการยืนยันแล้ว โปรโตคอลจะอนุญาตให้คีย์ส่วนตัวปลดล็อกบัญชี วิธีนี้ทำให้คีย์ความปลอดภัย U2F ปกป้องไซต์ WordPress จากฟิชชิ่ง

ทำไม U2F ถึงมีความสำคัญ?

ดังที่ได้กล่าวไว้ก่อนหน้านี้ U2F ทำงานเป็นเกราะป้องกันก่อนบัญชีของคุณ มันปกป้องข้อมูลที่ละเอียดอ่อนทั้งหมดของเว็บไซต์ของคุณจากการโจมตีทางไซเบอร์หลายประเภท เช่น การโจมตีของมัลแวร์ การจี้เซสชัน ฟิชชิง ฯลฯ จากการศึกษาทางสถิติ ประมาณ 97% ของเว็บไซต์ขนาดเล็กถึงใหญ่กลายเป็นเหยื่อของฟิชชิ่ง ดังนั้น หากคุณคิดว่าคุณมีความสามารถเพียงพอที่จะจัดการบัญชีของคุณและป้องกันไม่ให้ถูกฟิชชิ่ง คุณอาจคิดผิด

เมื่อคุณใช้คีย์ U2F เช่น YubiKey ไม่มีผู้ลอกเลียนแบบคนใดสามารถขโมยข้อมูลของคุณได้ เนื่องจากคีย์ใช้งานได้เฉพาะในบัญชีที่ลงทะเบียนอย่างเป็นทางการเท่านั้น คุณอาจรู้สึกว่าเว็บไซต์เชื่อมโยงไปถึงมีจริง แต่โปรโตคอลจะไม่มีวันหลงกล

จะตรวจสอบความถูกต้องของเว็บไซต์และแจ้งเตือนคุณเกี่ยวกับเรื่องนี้ ดังนั้น เพื่อป้องกันไซต์ WordPress จากฟิชชิ่ง การใช้ U2F จึงเป็นสิ่งที่หลีกเลี่ยงไม่ได้ การตรวจสอบสิทธิ์แบบ 2 ปัจจัยนี้จะหยุดการโจมตีของฟิชชิ่งและปกป้องเว็บไซต์ของคุณจากการถูกยึดครอง

มาสเตอร์คีย์เหล่านี้ให้บริการเฉพาะและป้องกันการโจมตีจากคนกลางและฟิชชิ่ง ดังนั้น หากเว็บไซต์ของคุณจัดการข้อมูลและข้อมูลที่เป็นความลับอย่างยิ่ง การใช้คีย์ความปลอดภัย U2F จึงเป็นทางออกที่ดีที่สุด อย่างไรก็ตาม เว็บไซต์ทั่วไปไม่จำเป็นต้องใช้ YubiKey จริงๆ

วิธีใช้ U2F ใน WordPress ของคุณ?

หากคุณได้อ่านบทความมาจนถึงตอนนี้ คุณต้องตระหนักถึงความสำคัญของการใช้ U2F เพื่อปกป้องไซต์ WordPress จากฟิชชิ่ง ตอนนี้ ความกังวลทั้งหมดอาจอยู่ที่วิธีการฝัง กระบวนการนั้นง่ายมากและเพื่อความสะดวกของคุณขั้นตอนนั้นได้รับการเกณฑ์เป็นขั้นเป็นตอน

• ขั้นแรก คุณต้องไปที่ผู้ใช้และค้นหาหน้าโปรไฟล์ของคุณ
• จากนั้นเลื่อนลงมาเรื่อยๆ คุณจะพบแอตทริบิวต์ล่าสุด รวมถึงตัวเลือก 2 ปัจจัยใต้ส่วนการจัดการบัญชี
• หลังจากนั้น ตรวจสอบให้แน่ใจว่าได้เปิดใช้งาน FIDO U2F และตั้งค่าเป็นรายการหลัก และเลื่อนต่อไปอีกครั้งเพื่อไปที่ตัวเลือกคีย์ความปลอดภัย เมื่อพบแล้วให้คลิกที่ปุ่มที่มีข้อความว่า Register New Key button
• เมื่อคุณเสียบกุญแจแล้ว ให้เลือกแตะที่ปุ่มวงกลมและอัปเดตโปรไฟล์

อย่างไรก็ตาม เพื่อจัดการกับขั้นตอนเหล่านี้ได้อย่างราบรื่น คุณจะต้องลงทะเบียนกับ Google นอกจากนี้ คุณจะต้องลงชื่อเข้าใช้ WordPress ในฐานะผู้ดูแลระบบ สุดท้ายนี้ คุณจะต้องเชื่อมต่อ HTTPS และเบราว์เซอร์ที่เหมาะสมซึ่งรองรับ U2F

U2F ดีกว่า OTP และแอปพลิเคชั่นมือถืออย่างไร?

U2F มีประโยชน์อย่างไม่ต้องสงสัยในกรณีที่รักษาความเป็นส่วนตัวและความปลอดภัยของบัญชีของคุณ อย่างไรก็ตามบางครั้งอาจสร้างความไม่สะดวกเล็กน้อย ตัวอย่างเช่น สมมติว่าคุณลืมนำคีย์ USP มาด้วย คุณจะไม่สามารถปลดล็อกบัญชีของคุณโดยไม่นำคีย์กลับมาได้

ในกรณีเช่นนี้ คุณจะนึกถึงการใช้ OTP กับการตรวจสอบสิทธิ์แบบ 2 ปัจจัย แต่มีข้อเสียหลายประการสำหรับ OTP เช่นกัน

OTP หรือรหัสผ่านแบบใช้ครั้งเดียวเป็นรหัสตัวเลขสั้นๆ ที่ส่งผ่านข้อความตัวอักษร ด้วย OTP คุณสามารถประสบกับความไม่สะดวกดังต่อไปนี้

• OTP แทบจะไม่สามารถปกป้องเว็บไซต์ของคุณจากการโจมตีโดยคนกลางหรือฟิชชิงได้ กล่าวคือ มีความเสี่ยงสูง
• รหัสที่ส่งโดยใช้ข้อความสามารถถูกขัดจังหวะโดยไม่ต้องใช้ความพยายามมากนัก
• นอกจากนี้ ในขณะที่ใช้ OTP คุณต้องใช้ดองเกิลเฉพาะสำหรับเว็บไซต์/รหัสผ่านโดยเฉพาะ

ดังนั้น อาจกล่าวได้ว่า OTP อาจดูเหมือนสะดวก แต่ถ้าคุณเข้าใจอย่างถ่องแท้ พวกเขาจะไม่สามารถปกป้องเว็บไซต์ของคุณได้ทั้งหมดเหมือนกับ U2F อนุญาตให้ผู้ใช้มีความปลอดภัยเล็กน้อย แต่ไม่แข็งแกร่งเท่า U2F สามารถเข้าถึง OTP ของคุณได้อย่างง่ายดายด้วยการเข้าถึงบัญชีข้อความและอีเมลของคุณ และขโมยลูกค้า ข้อมูล และแม้แต่บัญชีของคุณ

ดังนั้นทางเลือกจะขึ้นอยู่กับคุณว่าคุณต้องการจัดการกับความไม่สะดวกเล็กน้อยหรืออนุญาตให้บัญชีของคุณมีส่วนร่วมในการคุกคาม

ไม่ผิดที่จะใช้เครื่องมือ 2FA บนมือถือของคุณ อันที่จริงระบบรักษาความปลอดภัยก็ยอดเยี่ยมเช่นกัน แต่ถ้าคุณกำลังพูดถึงความไม่สะดวก คุณต้องรู้ว่าเครื่องมือมือถือ 2FA ก็มีข้อเสียเช่นกัน

อาจไม่มีปัญหาทางเทคนิคร้ายแรง แต่คุณแทบจะไม่สามารถเข้าถึงแพลตฟอร์มได้เมื่อแบตเตอรี่โทรศัพท์ของคุณหมดหรือแทบไม่มีบริการใดๆ สิ่งเหล่านี้ไม่ใช่ปัญหาใหญ่จริง ๆ ในกรณีที่ใช้การรักษาความปลอดภัย U2F สะดวก ไม่ต้องใช้สมาร์ทโฟน และยิ่งไปกว่านั้น คีย์ USB จริงเหล่านี้ยังกันน้ำได้

อย่างไรก็ตาม ไม่มีใครสามารถคาดหวังการรักษาความปลอดภัยระดับสูงเช่นนี้ได้เพื่อปกป้องไซต์ WordPress จากฟิชชิ่งโดยไม่เสียค่าใช้จ่าย ดังนั้น คุณจะต้องลงทุนเพียงเล็กน้อยกับคีย์เหล่านี้ ราคาของคีย์เหล่านี้ขึ้นอยู่กับรุ่นและช่วงของผู้ใช้

บทสรุป
ในตอนนี้ คุณอาจตระหนักดีว่าหากเอเจนซีของคุณเกี่ยวข้องกับผู้ดูแลระบบและลูกค้าที่มีชื่อเสียงหลายคน บริษัทของคุณอาจต้องการคีย์ความปลอดภัยเพื่อปกป้องทรัพย์สินที่สำคัญและประเมินค่าไม่ได้ของเอเจนซีของคุณ ในกรณีศึกษาเกี่ยวกับ U2F มีรายงานว่าหน่วยงานที่ใช้คีย์ USB จริงอยู่ภายใต้โซนฟิชชิ่ง 0

นอกจากนี้ หน่วยงานเหล่านั้นยังได้ปรับปรุงประสิทธิภาพของพนักงานด้วยค่าใช้จ่ายที่ไม่แพง อันที่จริง ข้อดีของโปรโตคอล U2F นั้นแปรผันตามการใช้คีย์เหล่านี้โดยลูกค้าหรือพนักงาน