iThemes Security Pro 功能聚焦 – 两因素身份验证

已发表: 2021-07-14

在 Feature Spotlight 帖子中,我们将重点介绍 iThemes Security Pro 中的一项功能,并分享一些有关我们开发该功能的原因、该功能适用​​于谁以及如何使用该功能的一些信息。

今天我们将介绍双因素身份验证,这是一种经过验证的方法来保护您的 WordPress 网站。

为什么我们开发两因素身份验证

根据 Verizon 数据泄露调查报告,超过 70% 的员工在工作中重复使用密码。 但报告中最重要的统计数据是“81% 的与黑客相关的违规行为利用了被盗密码或弱密码。”

在 Splash Data 编制的一份列表中,所有数据转储中最常见的密码是 123456。尽管 91% 的人知道重复使用密码是不好的做法,但仍有 59% 的人仍然在任何地方重复使用他们的密码! 这些人中的许多人仍在使用出现在数据库中的密码。

当黑客成功访问用户数据库,然后将内容转储到在线某处时,就会发生数据库转储。 对我们来说不幸的是,这些转储包含大量敏感的登录和帐户信息。

MEGA 托管的“Collection #1”数据泄露包括 1,160,253,228 个电子邮件地址和密码的独特组合。 这种分数将为恶意机器人提供超过 10 亿组凭据,用于暴力攻击。 蛮力攻击是指一种反复试验的方法,用于发现用户名和密码组合以入侵网站。

所有这些以及更多原因都应该让您想要为您的 WordPress 登录添加另一层保护。

好的,所以你是那种使用像 LastPass 这样的密码管理器为你的每个帐户创建强大而独特的密码的人。 但。 您网站上的其他管理员和编辑用户呢? 如果攻击者能够破坏他们的一个帐户,他们仍然可以对您的网站造成大量损害。

如果只有一种方法来保护您的 WordPress 用户帐户,Google 称该方法可有效抵御 100% 的自动机器人攻击。

什么是两步验证

双因素身份验证是通过需要两种不同的验证方法来验证个人身份的过程。 谷歌在其博客上分享说,使用双因素身份验证可以阻止 100% 的自动机器人攻击。 我真的很喜欢这些赔率。

身份验证分为 3 类

1. 你知道的事情。 您还记得在设置在线抵押账户时填写安全问题吗? 比如你最喜欢的老师是谁? 或者你母亲的娘家姓是什么? 这些安全问题是一种双因素身份验证形式,要求您​​回答您只会知道的问题。

2. 你拥有的东西。 此类别要求您随身携带一些物品(例如手机或 Yubikey)来证明您的身份。 例如,某些双因素身份验证方法需要通过 2FA 应用程序将基于时间的代码发送到特定设备。

3. 你是什么。 你可能不知道这个名字,但如果你有一部智能手机,你可能已经使用生物识别身份验证登录到你的手机。 生物特征认证需要独特的生物特征来认证您的登录。 如果您的手机具有指纹扫描仪或面容 ID,则每次解锁手机时都在使用生物识别身份验证。

要求添加另一种身份验证方法来登录您的网站将阻止所有自动暴力攻击,甚至在您的网站上存在已损坏的身份验证漏洞时帮助保护您。 Broken Authentication 漏洞可允许攻击者破坏用户或用户的密码、密钥或会话令牌以接管用户的帐户。

如何在 iThemes Security Pro 中使用两因素身份验证

要开始使用双因素身份验证,导航到安全设置功能菜单,并启用双因素。 启用双因素后,单击设置齿轮。

现在让我们仔细看看双因素设置。

用户可用的身份验证方法- 通过这些设置,您可以选择允许人们使用的三种身份验证方法中的哪一种。

iThemes Security Pro 提供的三种认证方式

  1. 移动应用程序– 移动应用程序方法是 iThemes Security Pro 提供的最安全的两因素身份验证方法。 此方法要求您使用像 Authy 这样的免费双因素移动应用程序。
  2. 电子邮件- 双因素的电子邮件方法会将时间敏感代码发送到您用户的电子邮件地址。
  3. 备用代码– 一组一次性使用代码,可用于在主要两因素方法丢失时登录。

好的,让我们继续进行其余的两因素设置。

  • 强制双因素身份验证- 此选项允许您要求特定用户组中的用户使用双因素身份验证。
  • 禁用双重身份验证 - 此设置允许您为某些用户禁用双重身份验证登录。 我们将在后面的帖子中更深入地介绍 2fa 入门。
  • 易受攻击的用户保护– 启用后,如果站点易受攻击(例如运行过时或已知易受攻击的软件),则此设置将要求所有用户在登录时使用两个因素。
  • 首次登录禁用- 当您为特定用户组启用强制双因素身份验证功能时,他们将需要在下次登录时输入发送到其电子邮件地址的双因素令牌。启用此设置将简化板载用户首次登录时的流程。
  • 板载欢迎文本– 这允许您自定义人们在开始双因素入职流程时看到的文本。

两因素入职

我们创建了双因素入职,以创建一种用户友好的方式,让人们在登录时在其帐户上设置双因素。启用双因素身份验证后,每个用户都将被引导完成入职过程。 您可以在双因素设置中为特定用户组禁用双因素入职。

好的,让我们逐步介绍登录和两因素入职流程。

就像往常一样,您首先会看到登录表单。 输入您的凭据,然后单击登录按钮。

如果您遵循我们的建议并为特权用户启用了 force 2fa 要求,接下来您将看到的是输入发送到您的电子邮件地址的双因素令牌的地方。 打开电子邮件并复制并粘贴令牌,然后单击登录按钮。

在下一个屏幕上,您将看到入职欢迎文本。 请记住,您可以在两因素设置中对此进行自定义。 单击“继续”按钮进入下一步。

下一步是选择要为帐户启用哪些双因素方法。 如果您的主要身份验证方法失败,请单击备份代码箭头生成要使用的备份代码列表。

现在单击下载按钮下载备份代码的文本文件。 请务必将这些代码存放在安全的地方。

现在单击返回链接返回上一屏幕。 现在让我们单击移动应用程序箭头来为我们的用户启用和配置这种身份验证方法。

现在选择您的移动操作系统,然后在您的手机上打开您的移动二要素应用程序。

在您的手机上,扫描二维码以继续将密钥链接到您的移动应用程序。

现在将手机上的 6 位数代码输入到 Web 浏览器中,然后单击验证以完成移动应用程序设置。

下车,既然您已经设置了两个因素,请单击“继续”按钮以完成登录您的 WordPress 仪表板。

用户配置文件两因素设置

您始终可以通过访问您的用户个人资料页面来更改您的双因素设置。

从这里,您可以创建一个新的密钥,启用/禁用 2fa 方法,并更新您的主要身份验证方法。

包起来

总而言之,没有什么比在您的 WordPress 登录名中添加 2fa 更容易的了,它可以更有效地保护您的网站。 如果您目前没有使用双因素,请立即将其添加到您的网站。

功能聚焦