Nota de la versión: Cifrado agregado a códigos de dos factores en iThemes Security Pro
Publicado: 2022-10-21Con la última versión de iThemes Security Pro, hemos agregado encriptación para proteger los códigos de autenticación de dos factores (2FA) utilizados para la autenticación de inicio de sesión de múltiples factores. Para asegurarse de que su sitio esté utilizando esta nueva funcionalidad, actualice a iThemes Security Pro versión 7.2.2 en su panel de control del complemento wp-admin.
Al igual que con cualquier característica nueva, estamos seguros de que debe haber preguntas sobre la nueva característica y por qué la hemos agregado. En esta publicación, detallamos qué cambio hemos realizado, por qué hemos elegido agregar funciones de seguridad adicionales a la autenticación de dos factores y algunas ideas sobre el estado actual de la seguridad de inicio de sesión de WordPress en general.
¿Qué implica este cambio en el almacenamiento del código de autenticación de dos factores?
iThemes Security admite tres tipos de métodos de autenticación de dos factores: aplicaciones móviles, correo electrónico y códigos de respaldo. Cada uno de ellos funciona un poco diferente.
Cuando usa Email 2FA, iThemes Security genera un código aleatorio de ocho dígitos y se lo envía por correo electrónico. Almacenamos lo que se llama un "hash" de este código aleatorio en la base de datos de WordPress. Un hash nos permite verificar si nos diste el mismo código de ocho dígitos que almacenamos en la base de datos.
Sin embargo, iThemes Security no puede "decodificar" el hash en el código aleatorio original de ocho dígitos. Es por eso que si le pide a iThemes Security que "Reenvíe" el correo electrónico 2FA, generamos un nuevo código aleatorio en lugar de reenviarle el mismo código 2FA que le enviamos en el primer correo electrónico.
Esto es similar a cómo WordPress puede verificar si su contraseña es correcta. Pero si olvida su contraseña, debe crear una nueva, WordPress no puede enviarle su contraseña actual.
Mobile Two-Factor es diferente. Aparece un nuevo código en su aplicación móvil cada 30 segundos. ¿Eso significa que iThemes Security está guardando cada código nuevo en la base de datos? No, en su lugar, iThemes Security utiliza el concepto de "secreto compartido".
Cuando configura Mobile Two-Factor en iThemes Security, le mostramos un código QR que contiene una clave secreta única para su cuenta. Escanear el código QR en su aplicación Two-Factor copia la clave secreta a su teléfono.
Cuando inicia sesión con su aplicación móvil, iThemes Security y su teléfono generan cada uno un código de seis dígitos basado en la clave "secreta compartida". Si los códigos coinciden, ¡estás dentro!
A diferencia de Two-Factor basado en correo electrónico, donde solo necesitamos almacenar un hash, esto significa que debemos almacenar la clave secreta de la aplicación móvil de una manera que nos dé acceso al texto sin formato.
La gran mayoría de los complementos y servicios de autenticación de dos factores para WordPress almacenan claves secretas de dos factores en la base de datos de WordPress, y iThemes Security no es diferente. Estos códigos deben almacenarse para que cuando un usuario ingrese sus códigos 2FA desde su aplicación de autenticación en su teléfono o dispositivo, el complemento de seguridad pueda hacer coincidir estos códigos para autenticar al usuario que intenta iniciar sesión.
El almacenamiento de estos códigos en la base de datos ha sido la forma más segura de hacerlo, ya que solo un usuario de la base de datos y su contraseña pueden acceder a cualquier información almacenada en la base de datos. Estas credenciales se almacenan en su archivo wp-config.php de WordPress, y esto permite que su sitio de WordPress acceda a la información en esta base de datos.
Si bien hay algunos servicios que utilizan un enfoque basado en el sistema de archivos para los códigos 2FA, iThemes Security y la mayoría de los otros servicios principales de autenticación de dos factores han optado por el método de almacenamiento de base de datos más seguro.
Para mayor seguridad, hemos agregado cifrado a estos códigos almacenados en la base de datos de WordPress de un sitio. En el caso de que la base de datos se vea comprometida de alguna manera por otra vulnerabilidad, este cifrado adicional agrega otra capa de seguridad para proteger el sitio de WordPress de cualquier cantidad de ataques basados en inicio de sesión que podrían combinarse con otras vulnerabilidades.
Por qué elegimos agregar esta característica
Si un sitio web de WordPress está adecuadamente protegido, la probabilidad de que se expongan los códigos de autenticación de dos factores es baja. Sin embargo, en el caso de que exista una vulnerabilidad de nivel de servicio del proveedor de alojamiento donde el acceso a la base de datos se vea comprometido o si hay una vulnerabilidad de día cero explotada activamente en un complemento o tema, los códigos de autenticación de dos factores sin cifrar podrían usarse en combinación con otra vulnerabilidad. .
En iThemes, la seguridad de los sitios web de WordPress de nuestros clientes es de vital importancia para nuestro negocio. Como tal, cuando nos llama la atención incluso un escenario de vulnerabilidad de caso extremo, nuestra primera respuesta y prioridad es la seguridad de esos sitios.
Nuestro objetivo es hacer que su sitio de WordPress sea seguro en cada momento, de modo que cualquier aspecto de su sitio, desde sus archivos y base de datos hasta sus procedimientos de inicio de sesión, esté protegido contra atacantes maliciosos. La defensa efectiva contra ataques requiere que todos los aspectos de WordPress estén adecuadamente protegidos.
¿Qué es la autenticación de dos factores?
La autenticación de dos factores (2FA) es un tipo de autenticación de múltiples factores (MFA) que fortalece la seguridad de acceso al requerir dos métodos de verificación para autenticar su identidad en un sistema, en este caso un sitio de WordPress. Estos factores pueden incluir algo que conoce, como su nombre de usuario o correo electrónico y su contraseña, junto con algo que tiene, como el acceso a su dispositivo con una aplicación de autenticación para autenticarlo o determinar que usted es quien es. Las aplicaciones de autenticación como Google Authenticator generan una contraseña única basada en el tiempo que cambia minuto a minuto.
Las contraseñas no son suficientes
La autenticación de dos factores es cada vez más importante ya que los ataques de phishing, los ataques de ingeniería social, los ataques de fuerza bruta de contraseñas y los problemas de reutilización de contraseñas han significado que la autenticación de una sola contraseña simplemente ya no es suficiente.
Debido a problemas como este, los innovadores como iThemes Security han agregado claves de acceso para inicios de sesión verdaderamente sin contraseña utilizando autenticación biométrica y criptografía de clave privada/pública para crear protocolos de autenticación más sofisticados para proteger los sistemas de misión crítica. Las contraseñas se rompen, por lo que iThemes Security Pro fue el primer complemento de seguridad de WordPress que permitió la autenticación sin contraseña con claves de paso.
Con las claves de acceso, el almacenamiento de códigos de autenticación de dos factores no es un problema, ya que la criptografía de clave privada/pública hace que tanto las contraseñas como la 2FA queden obsoletas.
Si su sitio web de WordPress realmente es de misión crítica para su empresa u organización, el uso de iThemes Security demuestra su compromiso de proteger ese activo. Asegúrese de ofrecer inicios de sesión sin contraseña sin fricciones y capacidades de autenticación encriptada de dos factores para demostrar a sus partes interesadas el compromiso de su organización con las implementaciones de sitios web conscientes de la seguridad.
Si aún no está utilizando iThemes Security Pro, puede obtener la versión Pro del mejor complemento de seguridad de WordPress disponible mediante la compra a través del siguiente enlace.
El mejor complemento de seguridad de WordPress para asegurar y proteger WordPress
Actualmente, WordPress funciona en más del 40% de todos los sitios web, por lo que se ha convertido en un objetivo fácil para los piratas informáticos con intenciones maliciosas. El complemento iThemes Security Pro elimina las conjeturas de la seguridad de WordPress para que sea más fácil asegurar y proteger su sitio web de WordPress. Es como tener un experto en seguridad a tiempo completo en el personal que supervisa y protege constantemente su sitio de WordPress por usted.
Gracias a Calvin Alkan por revelarnos el problema de manera responsable .