Chráňte svoje stránky WordPress pomocou dvojfaktorovej autentifikácie

The Srdcové krvácanie Chyba bola jednou z najhorších bezpečnostných zraniteľností online v nedávnej pamäti, ktorá umožnila útočníkovi čítať časti pamäte servera, ktoré môžu obsahovať súkromné ​​kľúče, overovacie poverenia a iné citlivé údaje. Po Heartbleed je pre vlastníkov stránok WordPress vhodný čas na to, aby skontrolovali svoje bezpečnostné postupy a zaviedli mechanizmy na udržanie svojej stránky a jej používateľov v bezpečí. Dvojfaktorová autentifikácia je jednoducho implementovateľná bezpečnostná stratégia, ktorá hackerom sťažuje život.

Normálnu kombináciu používateľského mena a hesla možno považovať za jednofaktorovú autentifikáciu. Existuje jeden tajný token, ktorý umožní prístup na stránku. Dvojfaktorová autentifikácia pridáva ďalší token, ktorý možno generovať rôznymi spôsobmi: najčastejšie pomocou aplikácie na poskytnutie jednorazového hesla, fyzického tokenu Yubikeyalebo biometrický faktor ako odtlačok prsta.

Najjednoduchšie implementovaný mechanizmus TFA využíva aplikáciu na mobilnom zariadení na vygenerovanie časovo obmedzeného hesla, ktoré sa musí použiť v súlade so štandardným heslom používateľa na získanie prístupu. Funguje to tak, že mobilné zariadenie aj služba majú prístup k zdieľanému tajomstvu. Aplikácie ako Google Authenticator vykonajú výpočet pomocou času a zdieľaného tajomstva, aby vygenerovali kód, ktorý je platný len niekoľko sekúnd. Keďže služba aj aplikácia poznajú zdieľané tajomstvo a čas, vygenerujú rovnaké jednorazové heslo alebo kód. Bez prístupu k zariadeniu (alebo bez znalosti zdieľaného tajomstva) sa hacker nemôže prihlásiť.

Stojí za to premýšľať o tom, či by TFA pomohla používateľom služieb, ktoré boli citlivé na Heartbleed. Je to zložitá téma a odpoveď je „možno“, v závislosti od konkrétnej implementácie, ktorú poskytovateľ TFA použil, a informácií, ktoré hacker získal.

Čítať:  5 spôsobov, ako bezplatne animovať akýkoľvek obrázok pomocou AI

Heartbleed poskytol prístup k 64KB časti pamäte, ktorú používa OpenSSL. Ak by hacker získal z tohto segmentu pamäte kombinácie používateľského mena a hesla, ale nie zdieľané tajomstvo použité na vygenerovanie jednorazového druhého faktora, používateľ by bol v bezpečí. Ak implementácia TFA vedie k tomu, že zdieľané tajomstvo je prítomné v tejto časti pamäte servera, potom by boli výhody TFA anulované. Ak by hacker ukradol súkromný kľúč používaný na šifrovanie pripojení SSL k serveru, musel by vykonať pomerne zložitý útok typu man-in-the-middle namiesto jednoduchého prihlásenia, ale mohol by vidieť všetku komunikáciu medzi server a prehliadače vrátane kombinácií používateľského mena a hesla. Nemohli by však vidieť zdieľané tajomstvo, takže by ich znalosť ostatných prihlasovacích údajov bola zbytočná.

Stručne povedané, v závislosti od konkrétnej implementácie, TFA sťažil život jednotlivcom, ktorí sa pokúsili využiť zraniteľnosť Heartbleed, ale úplne nevyvrátilo riziko.

Implementácia dvojfaktorovej autentifikácie na WordPress

Existuje niekoľko služieb, ktoré poskytujú doplnky na implementáciu dvojfaktorovej autentifikácie na WordPress. Pár z nich tu vyzdvihnem.

Authy

Authy je dvojfaktorová overovacia služba pre WordPress, ktorá funguje podobne ako Google Authenticator (aspoň navonok; pod kapotou nie je identická). Po nainštalovaní doplnku a mobilnej aplikácie, ktorá je k dispozícii pre iOS a Android, musia používatelia WordPress pri prihlásení poskytnúť svoje obvyklé overovacie údaje a token poskytnutý aplikáciou.

Čítať:  Úvod do Git

O Authyho reakcii na Heartbleed si môžete prečítať na ich blog.

Dvojfaktorová autentifikácia Duo

Duo ponúka podobnú službu ako Authy a poskytuje doplnok WordPress a mobilnú aplikáciu, ktorá umožňuje generovanie jednorazových hesiel pre prihlásenie do WordPress. Majú tiež a Posmrtné krvácanie zo srdca ktorý podrobne popisuje potenciálne zraniteľné miesta v ich službách a spôsob ich ochrany pred škodlivými tretími stranami, ktoré získajú prístup ku kľúčom API a zdieľaným tajomstvám.

Aj keď TFA nemusí nutne urobiť vašu stránku WordPress nezraniteľnou voči problémom typu Heartbleed, ak by sa vyskytli v budúcnosti, výrazne ju zníži zraniteľnosť voči väčšine bežných bezpečnostných rizík, ktorým čelí, a rozhodne stojí za to ju implementovať, a to aj napriek mierne nepohodlie, ktoré to môže používateľom spôsobiť.

Nové Publikácie:

ODPORÚČANIE