U2F Kullanarak WordPress Sitelerinizi Kimlik Avından Koruyun?

Kimlik avı, web sitenizin maruz kalabileceği en önemli tehditlerden biridir. Verilerinizi, şifrenizi, hatta hesabınızın tamamını çalabilir. Yanlış türde bir URL aracılığıyla istemeden bir kimlik avı sitesine girebilirsiniz. Ancak U2F ile WordPress sitelerini kimlik avına karşı tamamen koruyabilirsiniz .

Yubico ve Google'ın ortak çabalarıyla oluşturulan U2F, temelde web sitenizin gizliliğini ve güvenliğini sağlayan yetkili bir protokoldür. U2F, tek amacı WordPress sitenizi her türlü kimlik avından korumak olan Evrensel İkinci Faktör'ün kısaltmasıdır.

U2F'den faydalanılması durumunda, inkar edilemez şekilde en iyi kısım olan istemci yazılımı veya sürücüleri için bir gereklilik yoktur. Tek ihtiyacınız olan, bu protokolün çevrimiçi hizmetini destekleyen bir cihazda kayıt olmaktır. Son senaryoda, FIDO Alliance U2F'ye ev sahipliği yapıyor.

Protokolün mekanizmasından bahsederken, U2F'nin temel olarak flash sürücülere biraz benzeyen fiziksel USB anahtarları olduğunu belirtmek önemlidir. Hesabınıza bu USB anahtarları takılı değilse, ona erişemezsiniz. Aslında 2 Faktörlü Kimlik Doğrulamadır.

U2F güvenlik anahtarlarının özellikleri

Fiziksel USB anahtarlarını yapılandırdıktan sonra, bu anahtarları sisteminize takmanız ve ardından bir düğmeye tıklamanız gerekir. Temel olarak, bu USB güvenlik anahtarları, kayıt ve kimlik doğrulama için iki temel komutu taşır. Daha sonra bu iki komut da API tarayıcıları şeklinde web sayfalarına iletilir.

İlk komut durumunda, kullandığınız USB anahtarları yeni bir asimetrik anahtar çifti üretir ve aynı zamanda ortak anahtarı geri verir. Bunu takiben, sunucu, kullanıcı hesabını ve güvenlik anahtarlarını, döndürülen bu ortak anahtarla bağlar.

Öte yandan, kimlik doğrulama açısından, ilk başta USB anahtarları, hesabınıza giriş yaptığınız anda USB çubuğunun varlığını test ederek varlığınızı algılayacaktır. Fiziksel varlığınız doğrulandıktan sonra protokol, özel anahtarın hesabın kilidini açmasına izin verir. Bu şekilde U2F güvenlik anahtarları, WordPress sitelerini kimlik avına karşı korur

U2F neden önemlidir?

Daha önce de belirtildiği gibi U2F, hesabınızdan önce koruyucu bir kalkan görevi görür. Web sitenizin tüm hassas verilerini kötü amaçlı yazılım saldırıları, oturum ele geçirme, kimlik avı vb. gibi çeşitli siber saldırı türlerine karşı korur. İstatistiksel çalışmalara göre, küçük ve büyük web sitelerinin yaklaşık %97'si kimlik avının kurbanı olur. Bu nedenle, hesabınızı idare edebilecek ve kimlik avını önleyebilecek kadar yetenekli olduğunuzu düşünüyorsanız, muhtemelen yanılıyorsunuz.

YubiKey gibi U2F anahtarlarından yararlandığınızda, anahtarlar yalnızca resmi olarak kayıtlı hesapta çalıştığından hiçbir taklitçi verilerinizi çalamaz. Açılış web sitesinin gerçek olduğunu hissedebilirsiniz, ancak protokol asla kandırılmayacak.

Web sitesinin gerçekliğini tespit edecek ve sizi bu konuda uyaracaktır. Bu nedenle, WordPress sitelerini kimlik avından korumak için U2F kullanmak kaçınılmazdır. Bu 2 faktörlü kimlik doğrulama, kimlik avı saldırısını durdurur ve web sitenizin ele geçirilmesini önler.

Bu ana anahtarlar, ortadaki adam saldırılarına ve kimlik avına karşı özel hizmet ve koruma sunar. Bu nedenle, web siteniz son derece gizli veri ve bilgileri işliyorsa, U2F güvenlik anahtarlarını kullanmak nihai çözümdür. Bununla birlikte, sıradan web siteleri YubiKey'i gerçekten gerektirmez.

WordPress'inizde U2F Nasıl Kullanılır?

Makaleyi şimdiye kadar okuduysanız, WordPress sitelerini kimlik avından korumak için U2F kullanmanın öneminin farkında olmalısınız. Şimdi, tüm endişe onu nasıl yerleştireceğinizle ilgili olabilir. Eh, süreç son derece kolaydır ve size kolaylık sağlamak için prosedür adım adım listelenmiştir.

• İlk başta, Kullanıcıları ziyaret etmeniz ve Profil Sayfanızı bulmanız gerekir.
• Ardından, aşağı kaydırmaya devam edin; hesap yönetimi alanı altındaki 2 faktörlü seçenekler de dahil olmak üzere bazı en son özellikleri bulacaksınız.
• Bundan sonra, FIDO U2F'yi etkinleştirdiğinizden ve birincil olarak ayarladığınızdan emin olun ve Güvenlik Anahtarları seçeneğine ulaşmak için tekrar kaydırmaya devam edin. Bulduktan sonra Yeni Anahtar Kaydet düğmesi etiketli düğmeye tıklayın
• Eklentiyi taktıktan sonra, tuşlar daire düğmesine dokunmayı ve profili güncellemeyi seçin.

Ancak, bu adımları sorunsuz bir şekilde halletmek için Google'a kaydolmanız gerekir. Ayrıca, WordPress'te yönetici olarak oturum açmanız gerekecek. Son olarak, HTTPS bağlantısına ve U2F'yi destekleyen uygun bir tarayıcıya da ihtiyacınız olacak,

U2F, OTP ve mobil uygulamalardan nasıl daha iyidir?

U2F, hesabınızın gizliliğini ve güvenliğini korumanız durumunda şüphesiz yararlıdır. Ancak bazen biraz rahatsızlık yaratabilir. Örneğin, USP anahtarlarını getirmeyi unuttuğunuzu varsayalım, anahtarları geri getirmeden hesabınızın kilidini açamazsınız.

Bu gibi durumlarda, 2 faktörlü kimlik doğrulama üzerinden OTP'leri kullanma düşüncelerini alırsınız. Ancak, OTP'lerin de birkaç dezavantajı vardır.

OTP'ler veya Tek Kullanımlık Şifreler, aslında metin mesajları yoluyla gönderilen kısa sayısal kodlardır. OTP'lerle, aşağıdaki rahatsızlıklardan muzdarip olabilirsiniz

• OTP'ler, web sitenizi ortadaki adam saldırılarına veya kimlik avına karşı pek koruyamaz, başka bir deyişle, son derece risklidirler.
• Metin mesajları kullanılarak gönderilen kodlar fazla çaba harcamadan kesilebilir
• Ayrıca, OTP'leri kullanırken, belirli bir web sitesi/şifre için belirli bir dongle kullanmanız gerekir.

Bu nedenle, OTP'ler uygun görünebilir, ancak bunun hakkında net bir fikir edinirseniz, sitenizi U2F gibi tamamen koruyamazlar. Kullanıcıların hafif bir güvenliğe sahip olmasına izin verir, ancak U2F kadar güçlü değildir. Mesaj hesabınıza ve e-postanıza erişerek OTP'nize kolayca ulaşabilir ve müşterilerinizi, verilerinizi ve hatta hesabınızı çalabilirsiniz.

Bu nedenle, küçük bir rahatsızlıkla uğraşmak veya hesabınızın tehdide katılmasına izin vermek isteyip istemediğiniz tamamen size bağlıdır.

2FA araçlarını cep telefonunuzda kullanmanın yanlış bir tarafı yok. Aslında güvenlik sistemi de muazzam derecede harika. Ancak rahatsızlıklardan bahsediyorsanız, 2FA mobil araçlarının dezavantajları olduğunu da bilmelisiniz.

Büyük bir teknik sorun olmayabilir, ancak telefonunuzun pili bittiğinde veya neredeyse hiç servis olmadığında platforma zar zor ulaşabilirsiniz. U2F güvenliğinin kullanılması durumunda tüm bunlar gerçekten büyük bir sorun değil. Kullanışlıdır, herhangi bir akıllı telefon gerektirmez ve ayrıca bu fiziksel USB anahtarları su geçirmezdir.

Ancak, WordPress sitelerini ücretsiz olarak kimlik avına karşı korumak için bu kadar ileri düzeyde bir güvenlik bekleyemez. Yani, bu anahtarlara biraz yatırım yapmanız gerekecek. Bu anahtarların maliyeti, sürümlerine ve kullanıcı aralığına bağlıdır.

Çözüm
Şimdi, muhtemelen, ajansınızda birkaç yüksek profilli yönetici ve müşteri varsa, şirketinizin ajansınızın önemli ve paha biçilmez varlıklarını korumak için güvenlik anahtarlarına ihtiyacı olabileceğinin farkındasınızdır. U2F ile ilgili bir vaka çalışmasında, fiziksel USB anahtarlarını kullanan ajansların 0 kimlik avı bölgesi altında olduğu bildiriliyor.

Ayrıca, bu ajanslar aynı zamanda uygun bir maliyetle artan çalışan verimliliğinin keyfini çıkardı. Aslında U2F protokolünün avantajları, bu anahtarların istemciler veya çalışanlar tarafından kullanılmasıyla orantılıdır.