Die Risiken der gemeinsamen Nutzung von Logins auf WordPress verstehen
Veröffentlicht: 2021-11-03Obwohl es ein großes Sicherheits-No-No ist, kommt die gemeinsame Nutzung von Logins in WordPress häufiger vor, als man denkt. Wie der Begriff schon sagt, ist Login-Sharing die Praxis, dass Benutzer ihre Login-Informationen mit anderen Benutzern teilen. In einer kürzlich durchgeführten Umfrage gaben satte 49 % der Benutzer zu, ihre geschäftlichen Anmeldedaten geteilt zu haben, wobei jüngere Benutzer (16-24 Jahre) ihre Anmeldedaten unbekümmerter teilten als die in der älteren Kohorte (55+ Jahre).
Während Sie vielleicht denken, dass dies auf Ihrer WordPress-Website nicht der Fall ist, neigen viele Administratoren dazu, das Ausmaß der Passwortfreigabe zu unterschätzen. Ohne Kontrollen kann es ziemlich schwierig sein zu verstehen, ob jemand in Ihrem Team seine Logins teilt. Die Leute geben selten zu, Passwörter zu teilen, aber die gemeinsame Nutzung von Logins findet statt und kann zu vielen Problemen und WordPress-Sicherheitsproblemen führen.
Warum teilen Benutzer ihre Logins?
Auch wenn es legitime Gründe geben kann, warum Benutzer Anmeldedaten teilen müssen, sagen uns Best Practices, dass jeder Benutzer sein eigenes Konto haben sollte. Benutzer teilen Anmeldeinformationen aus mehreren Gründen. Der Zugriff auf Social-Media-Konten oder öffentlich zugängliche E-Mail-Adressen, bei denen viele Personen möglicherweise Posts und Handlungsanfragen stellen müssen, ist ein sehr häufiger Grund. Weitere Gründe sind:
Zweckdienlichkeit: Sie haben jetzt Arbeit zu erledigen. Das Einreichen einer Anfrage an den Helpdesk, um ein weiteres Benutzerkonto zu erstellen, würde zu einer Verzögerung führen.
Kosten: Da wir mehr Cloud-basierte Abonnementdienste verwenden, können zusätzliche Kosten für das Hinzufügen weiterer Benutzer anfallen. Das macht Login-Sharing besonders verlockend, wenn der Bedarf nur vorübergehend ist.
Management: Je weniger Konten verwaltet werden müssen, desto einfacher ist die Arbeit aus Management-, Geschäfts- und Betriebssicht.
Die Sicherheitsprobleme, die durch die gemeinsame Nutzung von Anmeldedaten verursacht werden
Für viele ist das Teilen ihres Logins nur eine weitere Sache, die sie bei der Arbeit tun. Auch wenn Benutzer ihre Anmeldungen ohne böse Absicht teilen, birgt die Praxis der Weitergabe von Anmeldeinformationen mehrere damit verbundene Sicherheitsrisiken.
Anmeldeinformationen lecken
Die Weitergabe Ihrer WordPress-Logins an einen vertrauenswürdigen Freund oder Kollegen mag auf den ersten Blick harmlos erscheinen. Sie sollten sich jedoch fragen, ob sie mit Ihren Daten genauso sorgfältig umgehen wie mit ihren eigenen? Auch wenn Sie dasselbe Passwort für mehrere Konten verwenden; Sie bedrohen nicht nur das gemeinsame Konto, sondern möglicherweise alle anderen Konten.
Wenn Sie Ihre Anmeldeinformationen preisgeben, riskieren Sie dementsprechend, dass Ihre Anmeldeinformationen innerhalb und außerhalb des Unternehmens durchsickern.
Fördert die Verwendung schwacher Passwörter
Über 80 % der erfolgreichen Hacking-Versuche nutzen schwache Passwörter aus, indem sie Brute-Force-Angriffe oder gestohlene Zugangsdaten verwenden. Wenn es eine Kultur gibt, Passwörter zu teilen, werden diese Passwörter unweigerlich schwach und leicht zu merken sein.
Missbrauch des Dienstes
Wenn es um WordPress-Sicherheit geht, ist das Prinzip der geringsten Rechte eines der besten Tools, die Administratoren einsetzen können, um ein hohes Maß an Schutz aufrechtzuerhalten. Dies bedeutet, dass das Konto jeder Person bestimmte Berechtigungen hat, um die für den Job erforderlichen Aufgaben auszuführen. Daher sind nicht alle Konten gleich, da nicht alle Rollen in einem Unternehmen gleich sind. Einige Konten haben mehr Privilegien und Zugriff auf mehr Informationen als andere.
Durch die gemeinsame Nutzung der Anmeldung hat jeder, der die Anmeldeinformationen kennt, Zugriff auf alle Privilegien dieses Kontos, unabhängig von der Zugriffsebene, die er haben sollte. Dies kann ihnen möglicherweise den Zugriff auf Funktionen und Daten ermöglichen, auf die sie normalerweise keinen Zugriff haben. Dies kann zu Datenlecks und dem Verstoß gegen Vorschriften wie GDPR, PCI DSS und andere führen.
Verantwortlichkeit der Benutzer
Einzelne Accounts weisen Aktionen die Verantwortung zu, wer was wann getan hat.
Nach dem gleichen Prinzip hat jeder Kassierer eine eigene Kassenschublade, die am Ende der Schicht entfernt wird. Wenn diese Kassenschubladen geteilt würden und es einen Mangel gäbe, wie würden Sie bestimmen, wer dafür verantwortlich ist? In dieser Situation gerät jeder, der Zugang zu dieser Bargeldabhebung hat, unter Verdacht, unabhängig davon, ob es unter ihrer Aufsicht passiert ist oder nicht.
Gleiches gilt für WordPress-Websites. Wie würden Sie feststellen, wer eine Bestellung oder eine Rückerstattung genehmigt oder fälschlicherweise eine Produktliste oder einen Preis geändert hat? Sollte ein Fehler entdeckt werden, wer wird zur Rechenschaft gezogen? Wie würden Sie Ihre Unschuld beweisen?
Was können Sie tun, um die gemeinsame Nutzung von Logins zu stoppen?
Erziehen , ermutigen , durchsetzen .
Falls Sie dies noch nicht getan haben, stellen Sie sicher, dass Sie über eine Richtlinie zur Kennwortverwaltung verfügen, die die gemeinsame Nutzung von Anmeldedaten verhindert. Sie sollten auch sicherstellen, dass das Team Ihre regulatorischen Verpflichtungen kennt und weiß, wie sie alle dazu beitragen können, diese Anforderungen zu erfüllen.
Informieren Sie die Mitarbeiter über die potenziellen Gefahren der Weitergabe ihrer sensiblen Anmeldedaten, nicht nur für das Unternehmen, sondern auch für sich selbst. Angenommen, es gibt Datendiebstahl und die Strafverfolgungsbehörden greifen ein. In diesem Fall werden sie zweifellos untersuchen, wer auf was zugegriffen hat, indem sie Protokolle für Benutzerkonten überprüfen.
Ein Hauptgrund, der Benutzer dazu veranlasst, ihre Konto-Anmeldedaten zu teilen, ist, dass dies einfach und sofort erledigt werden kann, damit die Arbeit erledigt werden kann. Es besteht keine Abhängigkeit von Dritten wie dem Helpdesk oder späteren Verzögerungen.
Optimieren Sie den Kontoverwaltungsprozess und machen Sie ihn gleichzeitig zugänglich und effizient. Möglicherweise möchten Sie auch sicherstellen, dass das Helpdesk-Team die Best Practices für Sicherheit und Vorschriften kennt und befugt ist, sich im gesamten Unternehmen dafür einzusetzen.
Es stehen Ihnen mehrere Technologielösungen zur Verfügung, um Ihre Kennwortrichtlinien durchzusetzen und die gemeinsame Nutzung von Anmeldedaten zu unterbinden. Beispielsweise:
Erzwingen und verwenden Sie starke Passwörter
Ein wesentlicher Nachteil der Weitergabe von Passwörtern besteht darin, dass sie ausnahmslos schwach sind, sodass sie leicht zu merken sind und möglicherweise auf Haftnotizen notiert werden, sodass sie für jeden verfügbar sind, der sie sieht. Indem Sie Benutzer dazu zwingen, sichere Kennwörter zu verwenden, halten Sie sie davon ab, die Anmeldeinformationen weiterzugeben.
Plugins wie WPassword machen den gesamten Prozess supereinfach. Die IT gibt Ihnen die vollständige Kontrolle über die Implementierung und hilft Ihnen dabei, das richtige Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit zu erreichen.
Verwenden Sie Passwort-Manager
Es reicht nicht aus, nur starke Passwörter zu erzwingen. Sie müssen Ihren Benutzern helfen, ihre Passwörter zu verwalten. Implementieren und fördern Sie die Verwendung von Passwortmanagern, damit Ihre Benutzer dies können
ihre schwierigen Passwörter an einem sicheren Ort aufbewahren, ohne sich jedes einzelne merken zu müssen.
Verwenden Sie die Zwei-Faktor-Authentifizierung
Die Zwei-Faktor-Authentifizierung (2FA) fügt eine weitere Sicherheitsebene zu sehr geringen Verwaltungskosten hinzu. Durch 2FA müssen Benutzer eine zweite Authentifizierung über einen sekundären Faktor vornehmen, wobei OTP (One Time Password) eine der am häufigsten verwendeten Methoden ist.
Durch die Implementierung von 2FA und OTP müssen Benutzer, die sich bei ihrem Konto anmelden möchten, Zugriff auf ihr Smartphone oder ihre E-Mail haben, abgesehen davon, dass sie den Benutzernamen und das Passwort kennen. Da OTPs alle 30 Sekunden ablaufen, wird das Teilen von Passwörtern sehr schwierig – was es letztendlich einfacher macht, einfach ein neues Konto anzufordern.
Die Implementierung von 2FA für Ihre WordPress-Website ist einfacher als Sie vielleicht denken. Plugins wie WP 2FA bieten benutzerfreundliche Assistenten und breite Kompatibilitätsoptionen, um den gesamten Prozess zum Kinderspiel zu machen.
Überwachen Sie die Benutzeraktivität
Behalten Sie mit einem Aktivitätsprotokoll-Plugin im Auge, wer auf was auf Ihrer Website zugreift. Ein umfassendes Echtzeit-Aktivitätsprotokoll gibt Ihnen einen vollständigen Überblick über alle Aktionen, die auf Ihren WordPress-Websites durchgeführt werden. Aktivitätsprotokolle sind grundlegend für gute Sicherheitspraktiken und tragen wesentlich dazu bei, Ihre Compliance-Verpflichtungen zu erfüllen.
Was ist, wenn Sie Ihre Anmeldedaten trotzdem teilen müssen?
Wenn Sie Anmeldeinformationen aus irgendeinem Grund teilen müssen, dann:
- Stellen Sie sicher, dass dies nur auf diejenigen beschränkt ist, die wirklich Zugriff benötigen, und dass der Zugriff temporär ist. Wenn die Freigabesitzung beendet ist, setzen Sie das Kennwort zurück.
- Verwenden Sie einen Passwort-Manager, der eine gemeinsam nutzbare Datenbank unterstützt. Die meisten Online-Passwortmanager erlauben dies; Sie können Ihre eigene Datenbank und eine Datenbank mit Anmeldeinformationen haben, die mit anderen Personen geteilt wird.
- Teilen Sie das Passwort mündlich mit oder senden Sie Teile der Anmeldeinformationen über verschiedene Kanäle, z. B. halb per Skype, halb per verschlüsselter E-Mail oder über einen anderen sicheren Messaging-Kanal.
Sehr wichtig; Setzen Sie das Passwort am Ende der Sitzung oder des erforderlichen Zugriffs immer zurück.
Vermeiden Sie die Weitergabe Ihrer Anmeldeinformationen
Zusammenfassend lässt sich sagen, dass das Teilen von Anmeldeinformationen nie eine gute Sache ist. Sie sollten diese Praxis aktiv unterbinden, indem Sie alle Ihre Benutzer auf Ihre Richtlinie aufmerksam machen. Nutzen Sie außerdem die Ihnen zur Verfügung stehenden Tools und Lösungen, die Ihnen bei der Durchsetzung Ihrer Richtlinie helfen können.