Google niedawno zrobił splash na scenie bezpieczeństwa, kiedy ogłosił, że żaden z ich pracowników 85,000 + nie został pomyślnie phished na swoich kontach związanych z pracą od początku 2017.

Jest to rodzaj magicznego sosu, którym wszyscy pragniemy się pochwalić dla stron WordPress naszych klientów. Jaki był sekret sukcesu Google i jak Mogę uzyskać taki poziom ochrony moich witryn, o który pytasz?

To nie czarnoksiężnicy strzegli siedziby Google. Odpowiedzią jest Universal 2nd Factor (U2F) physical security i okazuje się, że jest gotowy na WordPress. Więc dlaczego nie wszyscy używają tej nieprzeniknionej warstwy zabezpieczeń?

Chcę najwyższego bezpieczeństwa WordPress. Więc poszperałem trochę i zdobyłem klucz.

To dość epickie … ale to nie wszystkie plusy.

W tym artykule przyjrzymy się U2F, magii fizycznych kluczy bezpieczeństwa, jak skonfigurować witrynę 100% Phish proof WordPress, korzyściom i dlaczego nie jest odpowiednia dla wszystkich.

Spis treści:

  • Co to jest U2F
  • Do czego służą klucze bezpieczeństwa U2F?
  • Jak działają?
  • Bezpieczeństwo U2F i WordPress
  • Jakie są wady kluczy bezpieczeństwa?
  • U2F vs OTP
  • U2F vs 2FA na smartfonach
  • Dla kogo są YubiKeys?
  • Inne Rozwiązania Dla Bezpieczeństwa WordPress

Co to jest fizyczny klucz bezpieczeństwa Universal 2nd Factor (U2F)?

U2F to standard uwierzytelniania, który umożliwia użytkownikom bezpieczny dostęp do swoich kont online natychmiast za pomocą klucza bezpieczeństwa – nie są potrzebne sterowniki ani oprogramowanie klienckie.

Wystarczy zarejestrować fizyczne urządzenie w usłudze online obsługującej protokół. Został stworzony przez Google i Yubico, a teraz jest hostowany przez Fido Alliance.

FIDO U2F Security Keys
Klucze Bezpieczeństwa FIDO U2F

Zasadniczo klucze bezpieczeństwa U2F to fizyczne klucze USB, które wyglądają jak pendrive. Dostęp do konta można uzyskać tylko po dotknięciu klucza, gdy jest on podłączony.

Jako użytkownik końcowy czuje się jak dedykowane urządzenie do uwierzytelniania dwuskładnikowego. Zamiast używać telefonu i aplikacji Authenticator, nosisz przy sobie fizyczny klucz.

Przed czym chronią Klucze Bezpieczeństwa U2F?

Klucze Bezpieczeństwa U2F chronią przed różnego rodzaju hakerami i atakami: porywaniem sesji, atakami typu man-in-the-middle, atakami złośliwego oprogramowania, a przede wszystkim phishingiem (witryna lub e-mail naśladujący legalne konto w celu nakłonienia Cię do udostępnienia poświadczeń).

Myślisz, że nigdy nie padniesz ofiarą phishingu … myślisz, że jesteś na to za mądry?

Według tego raportu dziewięćdziesiąt siedem procent konsumentów nie było w stanie poprawnie zidentyfikować wiadomości e-mail wyłudzających informacje. 97%?!

Z fizycznym kluczem, takim jak YubiKey, Twoje dane logowania nie mogą być pobierane przez ekran logowania naśladowcy, ponieważ działa tylko na zarejestrowanych stronach. Uwierzytelnianie nie powiedzie się na fałszywych stronach, nawet jeśli dasz się nabrać na myśl, że jest prawdziwe.

To znacznie łagodzi rosnącą ilość i złożoność ataków phishingowych i zatrzymuje przejęcia kont.

Jak działają Klucze Bezpieczeństwa U2F?

WordPress security - Simple 1-2-3 process for U2F
Prosty proces dla U2F

Po skonfigurowaniu klucza bezpieczeństwa jedyne, co musisz zrobić, to podłączyć go do komputera (lub dotknąć telefonu!) i nacisnąć przycisk.

Nie, mam na myśli-technicznie, jak to działa?

W tym poście nie chcę zgubić się w szczegółach technicznych, ale na wysokim poziomie Klucze Bezpieczeństwa obsługują dwa polecenia, które są dostarczane do stron internetowych jako interfejsy API przeglądarki:

  • Rejestracja – klucz bezpieczeństwa generuje nową asymetryczną parę kluczy i zwraca klucz publiczny. Serwer kojarzy ten klucz publiczny z Twoim fizycznym kluczem i kontem użytkownika.
  • Uwierzytelnianie – po przejściu do logowania klucz bezpieczeństwa przetestuje pamięć USB i fizyczną obecność. Jeśli zostanie to zweryfikowane, klucz prywatny zostanie wysłany w celu odblokowania konta.

Brzmi skomplikowanie, ale to wszystko dzieje się niemal natychmiast.

Jeśli szukasz więcej szczegółów Google opublikował ten artykuł. Dla bardziej zaawansowanych technologicznie ludzi, pełne specyfikacje YubiKeys można znaleźć na fidoalliance.org.

Bezpieczeństwo U2F i WordPress

Chciałem Spróbować na mojej stronie. Więc kupiłem własny YubiKey.

Widząc, że był to eksperyment i nie jestem super techniczny, nie byłem gotowy do ataku na konfigurację ręczną. Szukałem darmowej opcji pluginu na WordPress.org poszukiwania zakończyły się dość szybko. Obecnie nie ma zbyt wielu opcji ani informacji dla WordPressa, więc wybrałem najpopularniejszą darmową opcję, dwuskładnikową.

Teraz uzbrojony w mój nowy klucz i plugin myślałem, “to nie powinno być zbyt trudne”.

Jak więc korzystać z U2F i fizycznych kluczy bezpieczeństwa w WordPress?

  1. Przejdź do strony Użytkownika – > Twój profil
  2. Przewiń w dół. Zobaczysz kilka nowych funkcji. W ramach zarządzania kontem powinny być dostępne opcje dwuskładnikowe.
  3. Włącz FIDO U2F i ustaw jako podstawowy
  4. Przewiń w dół do klawiszy zabezpieczeń i naciśnij przycisk Zarejestruj Nowy klawisz
  5. Podłącz swój klucz bezpieczeństwa FIDO U2F i naciśnij przycisk kółko na nim
  6. Poczekaj na odświeżenie strony i kliknij Aktualizuj profil
Enhance WordPress security by setting up U2F
Zwiększ bezpieczeństwo WordPressa, konfigurując U2F

Brzmi łatwo. Ale utknąłem w kroku 5! Te instrukcje zaczynają się od założenia, że twój klucz jest zarejestrowany.

To nie jest skomplikowane, ale się potknąłem. Oto mój “przewodnik po noobach” do konfiguracji U2F dla WordPress:

  1. Gdy już masz klucz w ręku, pierwszym krokiem jest rejestracja w Google
  2. Aby skonfigurować U2F na WordPress, musisz być zalogowany jako administrator
  3. Użyj przeglądarki z obsługą U2F (zalecane jest Google Chrome. Upewnij się, że masz najnowszą wersję.)
  4. U2F wymaga połączenia HTTPS
  5. Nie można dodawać nowych kluczy bezpieczeństwa przez HTTP

Jakie są wady i bariery wejścia kluczy bezpieczeństwa?

Chociaż jest to dość łatwe do wdrożenia, były pewne wady.

Ten poziom bezpieczeństwa nie jest bezpłatny, a zapewnienie kluczy bezpieczeństwa wszystkim, którzy potrzebują dostępu do witryny, może być kosztowne – szczególnie dla dużych zespołów. Klucze różnią się ceną od 20 do 50 USD. Ponadto zaleca się przechowywanie klucza zapasowego dla każdego użytkownika na wypadek zgubienia, uszkodzenia lub kradzieży klucza. Jeśli prowadzisz zespół składający się z 10 osób, który wymagałby 20 kluczy. Cha-ching.

Jeśli koszt nie jest wygórowany, kolejnym wyzwaniem jest to, że klucze bezpieczeństwa nadal nie są powszechnie stosowane. Podczas gdy użycie zwiększyło konfigurowanie kluczy bezpieczeństwa dla innych systemów może być bolesnym i długotrwałym procesem. Dobrą wiadomością jest to, że rzeczy się poprawiają i konfigurowanie kluczy bezpieczeństwa w Google, Facebook lub Twitter jest dość proste.

Inną rzeczą do rozważenia dla zespołów lub Agencji Rozwoju jest zarządzanie. Klucze tworzą bardziej skomplikowany proces wdrażania pracowników i klientów. Oznacza to również znalezienie osoby punktowej do konfiguracji i odzyskiwania. Witam menedżerów średniego szczebla.

Być może najbardziej oczywistą przeszkodą jest brak dostępu do witryny bez klucza bezpieczeństwa. Jest to dobre dla bezpieczeństwa witryny, ale może być złe dla wygody. Załóżmy, że właśnie przyjechałeś do pracy i zdałeś sobie sprawę, że zostawiłeś klucz w domu. Nie można zadzwonić do kogoś, kto dyktuje jednorazowe hasło-bo nie ma łyżka hasło! Może to oznaczać jeszcze kilka godzin jazdy, co zniweczy wszystkie dodatkowe sekundy, które “ukradłeś”, używając U2F nad OTP w ciągu jednego dnia.

Wreszcie, przekazywanie kluczy bezpieczeństwa klientom WordPress może oczywiście stanowić potencjalny problem.

Dlaczego więc nie skorzystać z jednorazowych kodów dostępu (OTP) lub 2FA w moim telefonie? Są to ważne opcje, ale są pewne wady.

U2F vs OTP

Jednorazowe kody dostępu (OTP) to krótkie kody numeryczne, które są jednorazowego użytku i są wysyłane za pośrednictwem wiadomości tekstowych lub generowane na osobnym urządzeniu fizycznym. Chociaż są one bezpieczniejsze niż zwykłe hasła, OTP nie są idealne:

  • Są podatni na phishing i ataki typu man-in-the-middle
  • Musisz nosić przy sobie klucz sprzętowy dla każdej strony internetowej/hasła
  • Wiadomości SMS można przechwytywać

Krótko mówiąc, nie jest to 100% plan ochrony. Chociaż oferuje kolejną warstwę bezpieczeństwa, jeśli ktoś phishes dostęp do konta e-mail lub wiadomości, nadal może uzyskać dostęp do twojego (lub Twoich klientów) zaplecza WordPress z kodem OTP.

Co jest nie tak z 2FA na smartfonach?

Jeśli korzystasz z aplikacji 2FA na smartfonie, takiej jak Google Authenticator, możesz zadać to pytanie. Krótka odpowiedź: nie ma nic złego w 2FA, w rzeczywistości oferuje świetną warstwę bezpieczeństwa, jeśli jest prawidłowo skonfigurowana. Może to być silniejsze dzięki takim czynnościom, jak wyłączenie opcji OTP – mniej wygodne, ale bezpieczniejsze.

2FA jest bardziej elastyczny, ale jeśli zostawisz opcje odzyskiwania w imię wygody, może to pozostawić fałszywe poczucie bezpieczeństwa.

Zalety kluczy bezpieczeństwa U2F w porównaniu ze smartfonami:

  • Ochrona logiki aplikacji przed złośliwym oprogramowaniem jest trudna na platformie obliczeniowej ogólnego przeznaczenia
  • Telefon może nie być dostępny w sytuacjach, gdy bateria się wyczerpie lub gdy nie ma usługi
  • W przeciwieństwie do większości smartfonów, YubiKeys są wodoodporne i pozwolą Ci całować się w deszczu

Dla Kogo Są Fizyczne Klucze Bezpieczeństwa, Takie Jak YubiKeys?

Dla większości użytkowników WordPress, Defenders 2FA z Google Authenticator na telefonie jest więcej niż wystarczające. Dedykowane klucze bezpieczeństwa oferują dedykowaną ochronę przed phishingiem i atakami typu man-in-the-middle i są prawdopodobnie szybsze i łatwiejsze w użyciu, gdy je skonfigurujesz i przyzwyczaisz się do nich, ale spójrzmy prawdzie w oczy, zwykły Joe prawdopodobnie nie potrzebuje YubiKey.

Mimo to, jeśli prowadzisz agencję z wieloma administratorami w witrynach klientów o wysokim profilu, może nadszedł czas, aby rozważyć fizyczne klucze dla swojego zespołu.

Własne studium przypadku Google U2F wykazało, że oprócz tego, że stają się” strefą bez phishingu”, zauważyli również przyspieszoną wydajność pracowników, mniejsze wsparcie w porównaniu z uwierzytelnianiem telefonu, a nawet niższy koszt posiadania.

Korzyści z fizycznych kluczy mnożą się przez liczbę pracowników / klientów korzystających z kluczy i liczbę codziennych sesji, które każdy użytkownik rozpoczyna.

Lepsze rozwiązania dla bezpieczeństwa WordPress

U2F jest najprawdopodobniej technologią przyszłości i szybko zyskuje na popularności. Ale na razie wydaje się, że nie zapewnia wystarczających korzyści małym lub średnim agencjom, przynajmniej nie za zastąpienie dobrze skonfigurowanego 2FA.

Jeśli fizyczne klucze wydają się niepraktyczne lub nieco nadmierne dla Twoich klientów, Defender jest najlepszym rozwiązaniem do zabezpieczenia witryn WordPress. Połączenie poprawek zabezpieczeń jednym kliknięciem, dobrych praktyk dotyczących haseł, dwuskładnikowej autoryzacji wraz z wymuszonym uwierzytelnianiem dwuskładnikowym dla określonych ról użytkowników, automatycznych kopii zapasowych w chmurze i bezpłatnego czyszczenia pomocy ekspertów to więcej niż wystarczające.

Co o tym myślisz? Czy ryzyko phishingu związane z Twoim telefonem rozważa fizyczne klucze dla Twojej agencji WordPress?

Jak ważne jest bezpieczeństwo dla Ciebie i Twoich klientów? Gdzie stoisz na 2FA i U2F? Czy rozważysz zakup kluczy bezpieczeństwa? 

Tagi:

You May Also Like

Jak naprawić nieprawidłowy błąd JSON w WordPress (Przewodnik dla początkujących)

W artykule: Co powoduje błąd “nieprawidłowa odpowiedź JSON” w WordPress?1. Sprawdź adresy…

Jak naprawić błąd krytyczny w WordPress (krok po kroku)

W artykule: Co To jest błąd krytyczny w WordPress?Co powoduje krytyczny błąd…

Jak zmienić kolor linku w WordPress (poradnik dla początkujących)

W artykule: Dlaczego Linki Są Ważne?Jak dodawać linki w postach i stronach…

9 Najlepsze Darmowe Wtyczki WordPress Author Bio Box

W artykule: 1. Simple Author Box2. Branda3. Autor postu WP4. Author Bio…