WordPress sitenizi kimlik avına% 100 bağışık hale getirin
Google, 2017’nin başından beri çalışmalarından kaynaklanan çalışmalarından başarılı bir şekilde etkilenen 85.000’den fazla çalışanının olmadığını açıkladıklarında güvenlik sektöründe bir atılım yaptı. Bu, gurur duymak istediğimiz bir tür sihirli sos Müşterimizin WordPress sitesi için. Google’ın başarısının sırrı nedir ve sitem için nasıl bir koruma seviyesi alabilirim, soruyorsunuz? Google’ın merkezini koruyan bir sihirbaz değil. Cevap evrensel 2. faktör (U2F) fiziksel güvenlik ve WordPress’in hazır olduğu ortaya çıkıyor. Öyleyse neden herkes bu düzensiz güvenlik katmanını kullanmıyor?
WordPress güvenliğinde en iyisini istiyorum. Bu yüzden araştırma yaptım ve kendim için anahtarı aldım. Bu oldukça destansı … ama hepsi profesyonel değil. Bu makalede, U2F’yi, fiziksel güvenlik anahtarlarının büyüsü, bir WordPress sitesini kimlik avı, faydalar ve neden herkes için uygun olmayacağına nasıl dayanıklı bir WordPress sitesi hazırlayabileceğinizi göreceğiz. İçerik Listesi:
U2F nedir
U2F güvenlik anahtarı ne yaptı?
Nasıl çalışırlar?
U2F ve WordPress Security
Anahtar güvenliğin zayıf yönleri nelerdir?
U2F vs OTP
Bir akıllı telefonda U2F vs 2FA
Kimin için Yubikeys?
WordPress Security için başka bir çözüm
Evrensel 2. Faktör (U2F) fiziksel güvenliğinin anahtarı nedir? U2F, kullanıcıların çevrimiçi hesaplarına bir güvenlik anahtarı ile anında erişmelerini sağlayan bir kimlik doğrulama standardıdır – müşteri sürücüleri veya yazılım gerektirmez.
Tek yapmanız gereken, protokolü destekleyen çevrimiçi bir hizmetle fiziksel bir cihaz kaydetmektir. Google ve Yubico tarafından yapıldı ve şimdi Fido Alliance tarafından ev sahipliği yapıyor.
Temel olarak, U2F güvenlik anahtarı, flaş sürücüsüne benzeyen fiziksel bir USB anahtarıdır. Hesabınıza yalnızca bağlı olduğunda tuşa dokunarak erişebilirsiniz. Son kullanıcı olarak, 2 faktör kimlik doğrulaması için özel bir cihaz gibi hissediyor. Cep telefonu ve kimlik doğrulayıcı uygulaması kullanmak yerine fiziksel bir anahtar taşırsınız. U2F güvenlik anahtarları tarafından korunan nedir? U2F Güvenlik Anahtarları Çeşitli hack ve saldırı türlerinden koruma: Oturumların korsanlığı, ortadaki adam, kötü amaçlı yazılım saldırıları ve özellikle kimlik avı (kimlik bilgilerinizi paylaşmak için sizi aldatmak amacıyla yasal hesabı taklit eden siteler veya e-postalar) Hiç kimlik avı çabalarının kurbanı oldunuz mu … bunun için çok akıllı olduğunu mu düşünüyorsunuz? Bu rapora göre, tüketicilerin yüzde doksan -yedikleri kimlik avı e -postalarını doğru bir şekilde tanımlayamıyor. Yüzde doksan yedi mi?! Yubikey gibi fiziksel bir anahtarla, giriş bilgileriniz taklitçi giriş ekranı tarafından alınamaz çünkü yalnızca kayıtlı sitede çalışır. Gerçek düşünerek kandırılmış olsanız bile, kimlik doğrulama sahte sitelerde başarısız olacaktır. Bu, kimlik avı saldırılarının hacmindeki ve karmaşıklığındaki artışı büyük ölçüde azaltır ve hesap alıcılarını durdurur.
U2F güvenlik anahtarı nasıl çalışır?
U2F için basit işlem Güvenlik anahtarınızı ayarladıktan sonra, yapmanız gereken tek şey bilgisayarınızı takmak (veya telefona dokunun!) Ve düğmeye basmaktır. Hayır, yani – teknik olarak, nasıl çalışır? Bu yazı için, teknik detaylarda kaybolmak istemiyorum, ancak yüksek düzeyde, güvenlik anahtarı Web sayfaları için tarayıcı API’sı olarak sağlanan iki komutu destekliyor:
Kayıt – Güvenlik Anahtarınız yeni bir asimetrik anahtar çifti üretir ve genel anahtarı geri yükler. Sunucu, bu genel anahtarı fiziksel kilit ve kullanıcı hesabınızla ilişkilendirir. Ootivation – Giriş yaptığınızda, güvenlik anahtarınız USB çubuklarını ve fiziksel varlığınızı test edecektir. Doğrulanırsa, hesabınızın kilidini açmak için kişisel kilitler gönderilir.
Kulağa karmaşık geliyor, ama bunlar neredeyse anında oluyor.
Daha fazla ayrıntı arıyorsanız Google bu makaleyi yayınladı. Daha fazla teknolojiyi anlayan insanlar için, Yubikeys’in tam spesifikasyonları fidoalliance.org adresinde bulunabilir. U2F ve WordPress Security Sitemde denemek istiyorum. Bu yüzden kendi Yubikey’imi aldım. Bunu görmek bir deney ve ben süper teknik değilim, manuel ayarlara saldırmaya hazır değilim. WordPress.org adresinde ücretsiz bir eklenti seçeneği arıyorum. Arama oldukça hızlı bir şekilde sona erdi. Şu anda WordPress için çok fazla seçenek veya bilgi yok, bu yüzden en popüler ücretsiz seçenekleri, iki faktörü seçiyorum. Şimdi yeni anahtarım ve eklenti ile donatılmış “Bu çok zor olmamalı”.
Peki, WordPress ile U2F ve fiziksel güvenlik anahtarlarını nasıl kullanıyorsunuz?
Kullanıcı açın -> Profil sayfanız
Aşağı kaydır. Bazı yeni özellikler göreceksiniz. Hesap yönetimi altında, şu anda mevcut iki faktör seçeneği olmalıdır.
Fido U2F’yi etkinleştirin ve bir astar olarak ayarlayın
Güvenlik tuşuna gidin ve yeni Anahtar Kayıt düğmesine basın
FIDO U2F güvenlik tuşunuzu takın ve üzerindeki daire düğmesine dokunun
Sayfanın yenilenmesini bekleyin ve profili güncelleyin
U2F hazırlayarak WordPress güvenliğini artırın
Kulağa oldukça kolay geliyor. Ama 5. adımda tuzağa düşmeye devam ettim! Bu talimat, kilit varsayımlarınız kaydedildiğinde başlar. Bu karmaşık değildir, ancak bu beni tökezler. Yani, WordPress için U2F ayarları için bu benim “Noobs Kılavuzu”: Anahtarınız olduktan sonra, ilk adım Google’a kaydolmaktır
U2F’yi WordPress’e ayarlamak için yönetici olarak girmelisiniz
U2F destekli bir tarayıcı kullanın (Google Chrome tarafından önerilir. En son sürüme sahip olduğunuzdan emin olun.)
U2F HTTPS bağlantısı gerektirir
HTTP aracılığıyla yeni bir güvenlik anahtarı ekleyemezsiniz
Güvenlik anahtarlarının girişinin zayıf yönleri ve engelleri nelerdir? Uygulanması oldukça kolay olmasına rağmen, bazı zayıflıklar vardır. Bu güvenlik düzeyi ücretsiz değildir ve sitenize erişmesi gereken herkese güvenlik anahtarları sağlar – özellikle büyük ekipler için. Anahtar 20 $ ‘dan 50 $’ a kadar değişmektedir. Ayrıca, anahtarlarının kaybolması, hasar görmesi veya çalınması durumunda her kullanıcının yedek anahtarları saklamanız önerilir. 20 tuşa ihtiyaç duyacak bir takım 10 çalıştırırsanız. Cha-Ching.
Maliyet bir bariyer haline gelmezse, bir sonraki zorluk, güvenlik anahtarının yaygın olarak kabul edilmemesidir. Kullanım, diğer sistemler için güvenlik anahtarı ayarlarının artmasına rağmen ağrılı ve uzun bir süreç olabilir. İyi haber şu ki, her şey Google, Facebook veya Twitter’da güvenlik anahtarlarını geliştiriyor ve hazırlıyor. Ekip veya geliştirme temsilcisi için dikkate alınması gereken başka bir şey yönetimdir. Daha karmaşık çalışan ve müşteri yönlendirme süreçleri yapmanın anahtarı. Bu aynı zamanda hazırlık ve iyileşme için doğru kişiyi bulmak anlamına gelir. Merhaba Orta Yönetici. Belki de en açık engel, sitenize güvenlik anahtarları olmadan erişemezsiniz. Bu, sitenizin güvenliği için iyidir, ancak konfor için kötü olabilir. İşe yeni geldiğinizi ve anahtarınızı evde bıraktığını fark et. Tek kullanımlık şifreyi dikte etmek için birini arayamazsınız – çünkü şifre kaşık yoktur! Bu, birkaç saat sürüş anlamına gelebilir, bu da bir günde U2F’den OTP’den OTP’yi kullanarak “çaldığınız” tüm ekstra saniyeleri ortadan kaldıracaktır. Son olarak, WordPress istemcilerinize güvenlik anahtarları gönderin, açıkça potansiyel bir sorun olabilir.
Öyleyse, neden cep telefonumda bir kerelik pasodlar (OTP) veya 2FA kullanmıyorsunuz? Bu geçerli bir seçenektir, ancak bazı zayıflıklar vardır. U2F vs OTP Tek seferlik Passcodes (OTP), bir kez kullanılan ve kısa mesaj yoluyla gönderilen veya ayrı fiziksel cihazlarda yapılmış kısa bir sayısal koddur. Sıradan şifrelerden daha güvenli olmasına rağmen, OTP mükemmel değildir:
Kimlik avı ve ortadaki adam saldırılarına karşı savunmasızdırlar
Her web sitesine dongle getirmelisiniz/Sandipesians SMS dokunulabilir
Kısacası, bu%100 bir koruma planı değildir. Başka bir güvenlik katmanı sunmasına rağmen, birisi e-posta hesabınıza veya mesajınıza kimlik avı erişimi yaparsa, yine de WordPress arka ucunuza (veya istemcinize) OTP koduyla erişebilir. Bir akıllı telefonda 2FA’nın nesi var? Google Authenticator gibi akıllı telefonunuzda 2FA uygulamasını kullanıyorsanız, bu soruyu sorabilirsiniz. Kısa cevap: 2FA’da yanlış bir şey yok, gerçekte, doğru düzenlenirse harika bir güvenlik katmanı sunuyor. Bu, OTP seçeneğini devre dışı bırakmak gibi şeylerle daha güçlü hale getirilebilir. 2FA daha esnektir, ancak kurtarma seçeneğini konfor adına bırakırsanız, sizi yanlış güvenlik duygusu ile bırakabilir. Akıllı telefonlara kıyasla U2F güvenlik anahtarlarının avantajları:
Uygulama mantığını kötü amaçlı yazılımdan korumak, genel objektif bilgi işlem platformunda yapmak zordur
Pil bittiğinde veya hizmet olmadığında telefona ulaşılamayabilir
Çoğu akıllı telefondan farklı olarak, Yubikeys su geçirmez ve yağmurda öpmene izin verir
Yubikeyler gibi fiziksel güvenliğin anahtarı kim?Çoğu WordPress kullanıcısı için, cep telefonunuzda Google Authenticator ile 2FA savunucuları fazlasıyla yeterlidir.Özel güvenlik anahtarları, kimlik avı ve ortadaki insan saldırılarına karşı özel koruma sunar ve düzenledikten ve alıştıktan sonra tartışmasız ve kullanımı daha kolay ve daha kolay, ancak yüzleşelim, Joe Sıradan gerçekten Yubikey’e ihtiyaç duymayabilir.Bu nedenle, ajansı yüksek profilli müşteri sitesinde birkaç yöneticiyle çalıştırırsanız, ekibiniz için fiziksel anahtarı düşünmenin zamanı gelmiş olabilir.Google’ın U2F vaka çalışması, “kimlik avı yasağı bölgesi” olmanın yanı sıra
ayrıca hızlandırılmış çalışan verimliliğine, telefon kimlik doğrulamasına kıyasla daha düşük desteğe ve hatta daha düşük sahiplik maliyetlerine dikkat ederler. Fiziksel kilitlerin faydaları, anahtar kullanan çalışanların/müşteri sayısıyla ve her kullanıcıdan başlayan günlük oturumların sayısıyla çoğalır. WordPress U2F’nin güvenliği için daha iyi bir çözüm, gelecekteki bir teknoloji olabilir ve popülerliği hızla gelişmektedir. Ancak şimdilik, küçük veya orta ölçekli ajanslar için en azından 2FA’nın yerini almamak için yeterli faydalar sağlamıyor gibi görünüyor. Fiziksel anahtar müşteriniz için pratik veya biraz aşırı geliyorsa, Defender WordPress sitenizi güvence altına almak için en iyi seçimdir. Bir katlanı güvenlik tweak, iyi şifre uygulaması, Auth 2 faktörün kombinasyonu, belirli kullanıcıların rolü, otomatik bulut rezervleri ve serbest uzman desteğinin temizlenmesi için iki zorla faktörümüzün kimlik doğrulaması ile birlikte yeterlidir. Ne düşünüyorsun? Cep telefonunuzla ilgili kimlik avı riski, WordPress ajansınız için fiziksel anahtarları düşünmenizi sağlıyor mu? Siz ve müşterileriniz için güvenlik ne kadar önemli? 2FA ve U2F’de nerede duruyorsunuz? Bir güvenlik anahtarı satın almayı düşünecek misiniz?
Etiket:
WordPress Güvenliği
güvenlik
İki faktör kimlik doğrulaması
U2F
