W ciągu 15 minut możesz stracić telefon, tożsamość i pieniądze. Wystarczy niepewne uwierzytelnianie dwuskładnikowe i błąd ludzki.

Uwierzytelnianie dwuskładnikowe to dodatkowa metoda zabezpieczeń, która służy do uzupełniania danych logowania w witrynach, w których jest włączona. Wymaga to potwierdzenia, że logujesz się za pomocą urządzenia fizycznego, które tylko Ty posiadasz, na przykład urządzenia mobilnego i za pośrednictwem wiadomości SMS lub aplikacji.

Większość ludzi wydaje się zgadzać, że jest niesamowicie bezpieczny i nikt tak naprawdę nie kwestionuje tego.

Istnieją przypadki, w których nie jest to kuloodporna strategia bezpieczeństwa, o której wszyscy myśleliśmy, i dotyczy to uwierzytelniania dwuskładnikowego z obsługą SMS.

Dzisiaj podzielę się bardziej szczegółowymi informacjami na temat uwierzytelniania dwuskładnikowego, potencjalnych zagrożeń bezpieczeństwa związanych z SMS-ami i sposobów ochrony przed włamaniem.

Co To jest uwierzytelnianie dwuskładnikowe?

Zazwyczaj po zalogowaniu się do witryny wystarczy podać nazwę użytkownika i hasło, aby pomyślnie uzyskać dostęp. Chociaż jest to zwykle bezpieczne, jeśli używasz silnych poświadczeń logowania, istnieje potencjalne ryzyko.

Na przykład, jeśli Twoje dane logowania zostaną naruszone z powodu ataku, takiego jak phishing lub inne udane próby włamania, haker może nauczyć się Twojego hasła i uzyskać dostęp do twojej witryny.

Jeśli nie używasz silnego hasła, haker może odgadnąć Twoje hasło, aby uzyskać dostęp. Jest to znane jako atak brutalnej siły.

Aby uzyskać szczegółowe informacje, Sprawdź kompletny przewodnik po zabezpieczeniu hasłem WordPress i najlepszy przewodnik po spamie WordPress.

Uwierzytelnianie dwuskładnikowe to dodatkowy poziom zabezpieczeń znany jako uwierzytelnianie wieloskładnikowe. Dodaje to dodatkowy krok do procesu logowania. Zamiast wpisywać tylko nazwę użytkownika i hasło, aby zalogować się do witryny, z włączonym uwierzytelnianiem dwuskładnikowym, musisz również potwierdzić swoją tożsamość w jednym dodatkowym kroku.

Istnieje wiele sposobów potwierdzenia tożsamości za pomocą uwierzytelniania dwuskładnikowego:

  • Aplikacja na urządzeniu mobilnym
  • SMS za pomocą telefonu komórkowego
  • Token bezpieczeństwa (długi ciąg losowych liter i cyfr), który fizycznie kopiujesz z góry
  • Szyfrowany dysk USB
  • Brelok
  • Karta fizyczna czytana przez czytnik kart

Oczywiście uwierzytelnianie dwuskładnikowe online polega na użyciu aplikacji, wiadomości SMS, tokena bezpieczeństwa lub dysku USB.

Jeśli zainstalowałeś i aktywowałeś Defender w swojej witrynie WordPress i potrzebujesz aplikacji Google Authenticator na iPhonie lub urządzeniu z Androidem, aby się zalogować, napotkałeś uwierzytelnianie dwuskładnikowe.

Aby uzyskać szczegółowe informacje, Sprawdź co to jest 2FA? i Defender: teraz z uwierzytelnianiem dwuskładnikowym

Dlaczego Możesz Go Potrzebować

Uwierzytelnianie dwuskładnikowe dodaje dodatkową warstwę zabezpieczeń do witryny WordPress, gdy jest włączona.

Ponieważ codziennie hakuje się około 30 000 witryn, a ponad 90 978 witryn WordPress każdej wielkości jest atakowanych co minutę, warto dodać dodatkową warstwę bezpieczeństwa.

Illustration of a key lock.
Ważne jest, aby włączyć uwierzytelnianie dwuskładnikowe, ale także zrozumieć potencjalne ryzyko.

Gdy uwierzytelnianie dwuskładnikowe nie jest bezpieczne

W większości przypadków uwierzytelnianie dwuskładnikowe dla witryn WordPress jest bezpieczne i zaleca się korzystanie z tej opcji dla konta, a także kont innych użytkowników.

Biorąc to pod uwagę, możliwe jest, że uwierzytelnianie wieloskładnikowe za pomocą SMS nie zawsze jest bezpieczne. Chociaż ma to więcej wspólnego z ludzkim błędem, ale nie z twojej strony. Tu robi się coraz gorzej.

Jedna osoba o imieniu Justin Williams wzięła na Twittera, zszokowana, aby poinformować opinię publiczną o zdarzeniu, w którym uwierzytelnianie dwuskładnikowe za pomocą SMS nie powiodło się:

Później opublikowano wpis na blogu opisujący całe wydarzenie.

TLDR;

  1. Zauważyli, że ich telefon komórkowy nie ma zasięgu.
  2. Otrzymali oni od Google uzasadnioną wiadomość e-mail z resetowaniem hasła.
  3. Następnie otrzymali uzasadniony e-mail od PayPal z powiadomieniem o wypłacie z ich banku
  4. Wykonano połączenie z ich operatorem komórkowym i zweryfikowali swoje nazwisko, adres i klucz bezpieczeństwa.
  5. Operator telefonii komórkowej zauważył, że podjęto kilka prób otrzymania nowej karty SIM, ale osoba została odrzucona za brak klucza bezpieczeństwa.
  6. Niestety, podczas jednej z tych prób telefonicznych agent nie poprosił o klucz bezpieczeństwa, a haker mógł wydać nową kartę SIM.
  7. Ponieważ PayPal wymaga tylko adresu e-mail i wiadomości SMS, aby zresetować hasło, haker był w stanie uzyskać dostęp do swojego konta PayPal po zdobyciu nowej karty SIM.

W końcu haker kilka godzin próbował znaleźć agenta obsługi klienta, który nie przestrzegał protokołu i poprosił o klucz bezpieczeństwa.

Ale najważniejsze jest to, że gdy haker dotarł do agenta, który złamał protokół, złamanie telefonu i kradzież pieniędzy z konta bankowego ofiary zajęło tylko 15 minut.

Podsumowując: haker odniósł sukces, ponieważ dwuskładnikowe uwierzytelnianie SMS nie wystarczyło, gdy dostawca telefonu komórkowego nie przestrzegał podstawowych protokołów bezpieczeństwa.

Potencjalne Zagrożenia Bezpieczeństwa

Czy to oznacza, że uwierzytelnianie dwuskładnikowe lub przynajmniej SMS nie jest bezpieczne?

Wcale nie. Oznacza to, że istnieje potencjał, aby SMS i inne uwierzytelnianie wieloskładnikowe okazały się nieskuteczne, gdy czynnikiem jest błąd ludzki.

Uwierzytelnianie dwuskładnikowe może być niewystarczające na wiele sposobów:

    • Jak wspomniano powyżej, Twój dostawca telefonu komórkowego łamie środki bezpieczeństwa
    • Silny kod bezpieczeństwa nie jest podawany operatorowi telefonu komórkowego
    • Nie wybierasz silnych haseł
    • Twoje hasła są przechowywane bezpiecznie
    • Twój telefon lub inne urządzenia mobilne zostaną skradzione
    • Nie blokujesz telefonu ani innych urządzeń mobilnych
    • Twój komputer lub laptop został skradziony
    • Padasz ofiarą ataków phishingowych przez e-mail lub telefon
    • Publikujesz tweet informujący, że masz kryptowaluty, które przyciągają wiele uwagi

Niestety, istnieje wiele sposobów na to, że błąd ludzki może stać się zbyt realny, dlatego ważne jest, aby podjąć jak najwięcej kroków w celu zapewnienia bezpieczeństwa.

Jak zachować bezpieczeństwo

Na szczęście istnieje kilka sposobów ochrony siebie i zabezpieczenia witryny WordPress, tożsamości i skutecznego uwierzytelniania dwuskładnikowego:

        • Daj swojemu dostawcy telefonu komórkowego klucz bezpieczeństwa i jeśli osobiście zadzwonisz, a oni o to nie proszą, wspomnij o tym.
        • Używaj i egzekwuj silne hasła w swojej witrynie WordPress.
        • Używaj różnych silnych haseł dla każdej ze stron WordPress (i innych).
        • Zainstaluj i skonfiguruj Defender.
        • Włącz uwierzytelnianie dwuskładnikowe dla wszystkich lub jak największej liczby użytkowników witryny.
        • Nie używaj i nie wyłączaj uwierzytelniania dwuskładnikowego SMS.
        • Użyj bezpiecznej blokady na urządzeniach mobilnych i komputerze.
        • Nie zapisuj wszystkich haseł w przeglądarce lub
        • Użyj bezpiecznej usługi przechowywania haseł.
        • Przechowuj fizyczne tokeny bezpieczeństwa w wielu bezpiecznych miejscach.
        • Miej oko na uzasadnione powiadomienia o zresetowaniu hasła lub transferach PayPal za pośrednictwem poczty e-mail lub SMS.
        • Bądź świadomy oszustw phishingowych i tego, jak możesz je wykryć i uniknąć bycia ich ofiarą.
        • Nie publikuj publicznie informacji osobistych lub identyfikowalnych w Internecie, bez względu na to, jak niewinne wydaje się, w tym, że masz środki dostępne w PayPal lub gdzie indziej, gdy wybierasz się na wakacje, numer telefonu, adres e-mail i inne podobne szczegóły.
        • Trzymaj komputer i urządzenia mobilne w bezpiecznym miejscu i miej na nie oko, gdy jesteś w miejscu publicznym. Upewnij się również, że nikt nie patrzy na twoje ramiona, gdy jesteś na żadnym z Twoich urządzeń.

Może być ważne, aby pamiętać, że jeśli używasz przeglądarki, która zapisuje wszystkie hasła dla Ciebie i komputer zostanie skradziony, wszystkie hasła mogą zostać naruszone w ten sposób. Rozważ usunięcie wszystkich aktualnie zapisanych haseł, włączenie uwierzytelniania dwuskładnikowego dla każdej udostępnianej witryny lub skorzystanie z bezpiecznej usługi przechowywania haseł.

Pomocne może być również zaplanowanie usługi tworzenia kopii zapasowych witryny WordPress i komputera, dzięki czemu nie stracisz wszystkich plików, jeśli Twoja witryna zostanie zhakowana lub komputer zostanie skradziony. Szyfrowanie plików również okazuje się być korzystne w tych przypadkach.

Podczas gdy wiele z tych kroków może wydawać się oczywistych, nawet bardziej bezpieczni ludzie mogą łatwo zapomnieć lub mieć fałszywe poczucie bezpieczeństwa. Nie należy również lekceważyć hakerów, ponieważ stawką jest dla nich zysk finansowy.

Aby uzyskać więcej informacji, sprawdź najlepszy przewodnik po zabezpieczeniach WordPress i najlepszy przewodnik po spamie WordPress.

Wrapping Up

Może być zbyt łatwo założyć, że masz wszystkie środki bezpieczeństwa owinięte w schludny mały łuk, ale czasami może to zająć tylko 15 minut, aby udowodnić, jak bardzo się mylisz z niefortunnymi konsekwencjami.

Chociaż uwierzytelnianie dwuskładnikowe jest ogólnie bezpieczne, nie zawsze należy zakładać, że jest to idealna forma bezpieczeństwa, ponieważ błąd ludzki może sprawić, że będzie całkowicie nieskuteczny.

Niezależnie od tego, czy tracisz $200 z konta PayPal, czy tracisz $8,000 w bitcoinie, konsekwencje samozadowolenia są tragiczne.

Dlatego ważne jest, aby być na bieżąco ze środkami bezpieczeństwa, a kroki opisane powyżej powinny zapewnić Ci doskonały początek.

Czy obecnie używasz uwierzytelniania dwuskładnikowego dla swojej witryny WordPress? Jakie są twoje powody korzystania lub nie korzystania z niego? Jak zabezpieczyć swoją witrynę WordPress? Zachęcamy do podzielenia się swoimi doświadczeniami w komentarzach poniżej.

Tagi:

You May Also Like

Jak naprawić nieprawidłowy błąd JSON w WordPress (Przewodnik dla początkujących)

W artykule: Co powoduje błąd “nieprawidłowa odpowiedź JSON” w WordPress?1. Sprawdź adresy…

Jak zmienić kolor linku w WordPress (poradnik dla początkujących)

W artykule: Dlaczego Linki Są Ważne?Jak dodawać linki w postach i stronach…

Jak naprawić błąd krytyczny w WordPress (krok po kroku)

W artykule: Co To jest błąd krytyczny w WordPress?Co powoduje krytyczny błąd…

Jak zainstalować WordPress lokalnie na komputerze Mac za pomocą MAMP

W artykule: Jak zainstalować MAMP na komputerze MacInstalacja WordPress na komputerze MacWypróbowanie…