Note de version : chiffrement ajouté aux codes à deux facteurs dans iThemes Security Pro
Publié: 2022-10-21Avec la dernière version d'iThemes Security Pro, nous avons ajouté un cryptage pour protéger les codes d'authentification à deux facteurs (2FA) utilisés pour l'authentification de connexion à plusieurs facteurs. Pour vous assurer que votre site utilise cette nouvelle fonctionnalité, effectuez une mise à niveau vers iThemes Security Pro version 7.2.2 dans votre tableau de bord du plug-in wp-admin.
Comme pour toute nouvelle fonctionnalité, nous sommes certains qu'il doit y avoir des questions sur la nouvelle fonctionnalité et pourquoi nous l'avons ajoutée. Dans cet article, nous détaillons les changements que nous avons apportés, pourquoi nous avons choisi d'ajouter des fonctionnalités de sécurité supplémentaires à l'authentification à deux facteurs, et quelques réflexions sur l'état actuel de la sécurité de connexion WordPress dans son ensemble.
Qu'implique ce changement dans le stockage du code d'authentification à deux facteurs ?
iThemes Security prend en charge trois types de méthodes d'authentification à deux facteurs : applications mobiles, e-mail et codes de sauvegarde. Ils fonctionnent chacun un peu différemment.
Lorsque vous utilisez Email 2FA, iThemes Security génère un code aléatoire à huit chiffres et vous l'envoie par e-mail. Nous stockons ce qu'on appelle un "hachage" de ce code aléatoire dans la base de données WordPress. Un hachage nous permet de vérifier si vous nous avez donné le même code à huit chiffres que nous avons stocké dans la base de données.
Cependant, iThemes Security ne peut pas "décoder" le hachage dans le code aléatoire à huit chiffres d'origine. C'est pourquoi si vous demandez à iThemes Security de "Renvoyer" l'e-mail 2FA, nous générons un nouveau code aléatoire au lieu de vous renvoyer le même code 2FA que nous avons envoyé dans le premier e-mail.
Ceci est similaire à la façon dont WordPress peut vérifier si votre mot de passe est correct. Mais si vous oubliez votre mot de passe, vous devez en créer un nouveau, WordPress ne peut pas vous envoyer votre mot de passe actuel.
Mobile Two-Factor est différent. Un nouveau code apparaît dans votre application mobile toutes les 30 secondes. Cela signifie-t-il que iThemes Security enregistre chaque nouveau code dans la base de données ? Non, à la place, iThemes Security utilise le concept de "secret partagé".
Lorsque vous configurez Mobile Two-Factor dans iThemes Security, nous vous montrons un code QR qui contient une clé secrète unique à votre compte. Scanner le code QR dans votre application Two-Factor copie la clé secrète sur votre téléphone.
Lorsque vous vous connectez à l'aide de votre application mobile, iThemes Security et votre téléphone génèrent chacun un code à six chiffres basé sur la clé "secrète partagée". Si les codes correspondent, vous êtes dedans !
Contrairement à Two-Factor basé sur le courrier électronique, où nous n'avons besoin que de stocker un hachage, cela signifie que nous devons stocker la clé secrète de l'application mobile de manière à nous donner accès au texte en clair.
La grande majorité des plugins et services d'authentification à deux facteurs pour WordPress stockent des clés secrètes à deux facteurs dans la base de données WordPress, et iThemes Security n'est pas différent. Ces codes doivent être stockés afin que lorsqu'un utilisateur entre ses codes 2FA à partir de son application d'authentification sur son téléphone ou son appareil, le plug-in de sécurité puisse faire correspondre ces codes pour authentifier l'utilisateur essayant de se connecter.
Le stockage de ces codes dans la base de données a été le moyen le plus sûr de le faire, car toute information stockée dans la base de données n'est accessible qu'à un utilisateur de la base de données et à son mot de passe. Ces informations d'identification sont stockées dans votre fichier WordPress wp-config.php, ce qui permet à votre site WordPress d'accéder aux informations de cette base de données.
Bien que quelques services utilisent une approche basée sur le système de fichiers pour les codes 2FA, iThemes Security et la plupart des autres principaux services d'authentification à deux facteurs ont opté pour la méthode de stockage de base de données plus sécurisée.
Pour plus de sécurité, nous avons ajouté un cryptage à ces codes stockés dans la base de données WordPress d'un site. Dans le cas où la base de données est en quelque sorte compromise par une autre vulnérabilité, ce cryptage supplémentaire ajoute une autre couche de sécurité pour protéger le site WordPress contre un certain nombre d'attaques basées sur la connexion qui pourraient être combinées avec d'autres vulnérabilités.
Pourquoi nous avons choisi d'ajouter cette fonctionnalité
Si un site Web WordPress est correctement sécurisé, la probabilité que les codes d'authentification à deux facteurs soient exposés est faible. Cependant, dans le cas où il existe une vulnérabilité au niveau du service du fournisseur d'hébergement où l'accès à la base de données est compromis ou s'il existe une vulnérabilité zero-day activement exploitée dans un plugin ou un thème, des codes d'authentification à deux facteurs non chiffrés pourraient être utilisés en combinaison avec une autre vulnérabilité. .
Chez iThemes, la sécurité des sites Web WordPress de nos clients est d'une importance cruciale pour notre entreprise. Ainsi, même lorsqu'un scénario de vulnérabilité extrême est porté à notre attention, notre première réponse et priorité est la sécurité de ces sites.
Notre objectif est de sécuriser votre site WordPress à chaque instant, afin que tous les aspects de votre site, de vos fichiers et bases de données à vos procédures de connexion, soient tous protégés contre les attaques malveillantes. Une défense efficace contre les attaques nécessite que tous les aspects de WordPress soient correctement sécurisés.
Qu'est-ce que l'authentification à deux facteurs ?
L'authentification à deux facteurs (2FA) est un type d'authentification multifacteur (MFA) qui renforce la sécurité d'accès en exigeant deux méthodes de vérification pour authentifier votre identité sur un système, en l'occurrence un site WordPress. Ces facteurs peuvent inclure quelque chose que vous connaissez, comme votre nom d'utilisateur ou votre adresse e-mail et votre mot de passe, ainsi que quelque chose que vous avez, comme l'accès à votre appareil avec une application d'authentification pour vous authentifier ou déterminer que vous êtes qui vous êtes. Les applications d'authentification telles que Google Authenticator génèrent un mot de passe à usage unique basé sur le temps qui change minute par minute.
Les mots de passe ne suffisent pas
L'authentification à deux facteurs est de plus en plus importante, car les attaques de phishing, les attaques d'ingénierie sociale, les attaques par force brute de mots de passe et les problèmes de réutilisation des mots de passe signifient que l'authentification par mot de passe unique n'est tout simplement plus suffisante.
C'est en raison de problèmes comme celui-ci que des innovateurs comme iThemes Security ont ajouté des clés d'accès pour des connexions véritablement sans mot de passe en utilisant l'authentification biométrique et la cryptographie à clé privée/publique pour créer des protocoles d'authentification plus sophistiqués afin de protéger les systèmes critiques. Les mots de passe sont cassés, donc iThemes Security Pro a été le premier plugin de sécurité WordPress à permettre une authentification sans mot de passe avec des clés d'accès.
Avec les clés d'accès, le stockage des codes d'authentification à deux facteurs n'est pas un problème car la cryptographie à clé privée/publique rend les mots de passe et 2FA obsolètes.
Si votre site Web WordPress est vraiment essentiel à la mission de votre entreprise ou de votre organisation, l'utilisation d'iThemes Security démontre votre engagement à sécuriser cet actif. Assurez-vous d'offrir des connexions sans mot de passe sans friction et des capacités d'authentification à deux facteurs cryptées pour démontrer à vos parties prenantes l'engagement de votre organisation envers les implémentations de sites Web soucieux de la sécurité.
Si vous n'utilisez pas encore iThemes Security Pro, vous pouvez obtenir la version Pro du meilleur plugin de sécurité WordPress disponible en achetant via le lien ci-dessous.
Le meilleur plugin de sécurité WordPress pour sécuriser et protéger WordPress
WordPress alimente actuellement plus de 40 % de tous les sites Web, il est donc devenu une cible facile pour les pirates ayant des intentions malveillantes. Le plugin iThemes Security Pro élimine les conjectures de la sécurité de WordPress pour faciliter la sécurisation et la protection de votre site Web WordPress. C'est comme avoir un expert en sécurité à plein temps dans le personnel qui surveille et protège constamment votre site WordPress pour vous.
Merci à Calvin Alkan de nous avoir signalé le problème de manière responsable .