Comprendre les risques du partage de connexion sur WordPress
Publié: 2021-11-03Bien qu'il s'agisse d'un gros problème de sécurité, le partage de connexion sur WordPress se produit plus souvent qu'on ne le pense. Comme le terme l'indique, le partage de connexion est la pratique selon laquelle les utilisateurs partagent leurs informations de connexion avec d'autres utilisateurs. Dans une enquête récente, 49 % des utilisateurs ont admis avoir partagé leurs informations de connexion professionnelles, les utilisateurs plus jeunes (16-24 ans) étant plus insouciants à partager leurs informations de connexion que ceux de la cohorte plus âgée (55 ans et plus).
Bien que vous puissiez penser que cela ne se produit pas sur votre site Web WordPress, de nombreux administrateurs ont tendance à sous-estimer l'ampleur du partage de mot de passe. Sans contrôles en place, il peut être assez difficile de comprendre si quelqu'un de votre équipe partage ses identifiants. Les gens admettent rarement partager des mots de passe, mais le partage de connexion se produit et peut entraîner de nombreux problèmes et des problèmes de sécurité WordPress.
Pourquoi les utilisateurs partagent-ils leurs identifiants ?
Bien qu'il puisse y avoir des raisons légitimes pour lesquelles les utilisateurs peuvent avoir besoin de partager des informations de connexion, les meilleures pratiques nous indiquent que chaque utilisateur doit avoir son propre compte. Les utilisateurs partagent des informations de connexion pour plusieurs raisons. L'accès à des comptes de médias sociaux ou à des adresses e-mail publiques, où de nombreuses personnes peuvent avoir besoin de publier et de faire des demandes d'action, est une raison très courante. D'autres raisons incluent:
Opportunité : Vous avez du travail à faire maintenant. Soumettre une demande demandant au service d'assistance de créer un autre compte utilisateur entraînerait un retard.
Coût : à mesure que nous utilisons davantage de services d'abonnement basés sur le cloud, l'ajout d'utilisateurs supplémentaires peut entraîner des coûts supplémentaires. Cela rend le partage de connexion particulièrement tentant si le besoin n'est que temporaire.
Gestion : du point de vue de la gestion, des affaires et des opérations, moins il y a de comptes à gérer, plus le travail est facile.
Les problèmes de sécurité causés par le partage de connexion
Pour beaucoup, partager leur identifiant n'est qu'une autre chose qu'ils font au travail. Même si les utilisateurs partagent leurs identifiants sans aucune mauvaise intention, la pratique consistant à partager les identifiants de connexion comporte plusieurs risques de sécurité associés.
Fuite d'informations d'identification
Donner vos identifiants WordPress à un ami ou un collègue de confiance peut sembler anodin à première vue. Cependant, vous devriez vous demander s'ils seront aussi attentifs à vos coordonnées qu'ils le sont eux-mêmes ? Aussi, si vous utilisez le même mot de passe sur plusieurs comptes ; non seulement vous menacez le compte partagé, mais potentiellement tous les autres comptes.
Par conséquent, l'abandon de vos informations d'identification risque de faire fuiter vos informations d'identification à l'intérieur et à l'extérieur de l'entreprise.
Encourage l'utilisation de mots de passe faibles
Plus de 80 % des tentatives de piratage réussies exploitent des mots de passe faibles, en utilisant des attaques par force brute ou des identifiants volés. S'il existe une culture du partage des mots de passe, ces mots de passe seront inévitablement faibles et faciles à retenir.
Abus de service
En ce qui concerne la sécurité de WordPress, le principe du moindre privilège est l'un des meilleurs outils que les administrateurs peuvent utiliser pour maintenir un niveau de protection élevé. Cela signifie que le compte de chaque individu aura des privilèges spécifiques pour effectuer les tâches requises pour le travail. En tant que tel, tous les comptes ne sont pas créés égaux, car tous les rôles dans une entreprise ne sont pas égaux. Certains comptes auront plus de privilèges et auront accès à plus d'informations que d'autres.
Grâce au partage de connexion, toute personne connaissant les informations d'identification aura accès à tous les privilèges de ce compte, quel que soit le niveau d'accès qu'elle devrait avoir. Cela peut potentiellement leur permettre d'accéder à des fonctions et à des données auxquelles ils n'ont normalement pas accès. Cela peut entraîner des fuites de données et la violation de réglementations telles que GDPR, PCI DSS et autres.
Responsabilité des utilisateurs
Les comptes individuels attribuent la responsabilité aux actions, qui a fait quoi et quand.
Il suit le même principe pour lequel chaque opérateur de caisse dispose d'un tiroir-caisse individuel, qui est retiré à la fin de son quart de travail. Si ces tiroirs-caisses étaient partagés et qu'il y avait un manque à gagner, comment détermineriez-vous qui est responsable ? Dans cette situation, tous ceux qui ont accès à ce tirage en espèces tomberont sous le coup des soupçons, que cela se soit produit sous leur surveillance ou non.
Il en va de même pour les sites Web WordPress. Comment détermineriez-vous qui a approuvé une commande, un remboursement ou modifié par erreur une liste de produits ou un prix ? Si une erreur est découverte, qui sera tenu pour responsable ? Comment prouveriez-vous votre innocence ?
Que pouvez-vous faire pour arrêter le partage de connexion ?
Éduquer , encourager , appliquer .
Si vous ne l'avez pas déjà fait, assurez-vous d'avoir une politique de gestion des mots de passe qui décourage le partage de connexion. Vous devez également vous assurer que l'équipe est au courant de vos obligations réglementaires et de la manière dont elles peuvent toutes jouer un rôle pour répondre à ces exigences.
Éduquez le personnel sur les dangers potentiels du partage de leurs informations de connexion sensibles, non seulement pour l'entreprise mais pour eux-mêmes. Supposons qu'il y ait vol de données et que les forces de l'ordre s'en mêlent. Dans ce cas, ils regarderont sans aucun doute qui a accédé à quoi en vérifiant les journaux des comptes d'utilisateurs.
Un facteur principal qui amène les utilisateurs à partager les informations de connexion de leur compte est que c'est facile à faire et peut être fait dès maintenant, de sorte que le travail peut être fait. Il n'y a pas de recours à un tiers tel que le service d'assistance ou à tout retard ultérieur.
Rationalisez le processus de gestion des comptes tout en le rendant accessible et efficace. Vous pouvez également vous assurer que l'équipe du service d'assistance est au courant des meilleures pratiques en matière de sécurité et de réglementation et qu'elle est habilitée à les défendre dans toute l'organisation.
Il existe plusieurs solutions technologiques à votre disposition pour appliquer vos politiques de mot de passe et décourager le partage de connexion. Par example:
Appliquer et utiliser des mots de passe forts
Un inconvénient important du partage de mots de passe est qu'ils seront invariablement faibles, ils sont donc faciles à mémoriser et peuvent être écrits sur des notes autocollantes, ce qui les rend accessibles à tous ceux qui les voient. En obligeant les utilisateurs à utiliser des mots de passe forts, vous les découragez de partager les informations d'identification.
Des plugins tels que WPassword rendent l'ensemble du processus super facile. L'informatique vous donne un contrôle total sur la mise en œuvre, vous aidant à trouver le juste équilibre entre sécurité et convivialité.
Utiliser les gestionnaires de mots de passe
Il ne suffit pas d'appliquer des mots de passe forts. Vous devez aider vos utilisateurs à gérer leurs mots de passe. Implémentez et encouragez l'utilisation de gestionnaires de mots de passe, afin que vos utilisateurs puissent
stocker leurs mots de passe difficiles dans un endroit sûr, sans avoir à se souvenir de chacun d'eux.
Utiliser l'authentification à deux facteurs
L'authentification à deux facteurs (2FA) ajoute une autre couche de sécurité à un coût administratif très faible. Grâce à 2FA, les utilisateurs doivent entreprendre une deuxième authentification via un facteur secondaire, OTP (One Time Password) étant l'une des méthodes les plus couramment utilisées.
En mettant en œuvre 2FA et OTP, les utilisateurs essayant de se connecter à leur compte doivent avoir accès à leur smartphone ou à leur e-mail, en plus de connaître le nom d'utilisateur et le mot de passe. Les OTP expirant toutes les 30 secondes, le partage de mots de passe devient très difficile, ce qui facilite finalement la simple demande d'un nouveau compte.
La mise en œuvre de 2FA pour votre site Web WordPress est plus simple que vous ne le pensez. Des plugins tels que WP 2FA offrent des assistants conviviaux et de nombreuses options de compatibilité pour rendre l'ensemble du processus un jeu d'enfant.
Surveiller l'activité des utilisateurs
Gardez un œil sur qui accède à quoi sur votre site Web avec un plug-in de journal d'activité. Un journal d'activité complet en temps réel vous donnera une visibilité complète de toutes les actions effectuées sur vos sites Web WordPress. Les journaux d'activité sont essentiels à de bonnes pratiques de sécurité et contribueront grandement à respecter vos obligations de conformité.
Et si vous avez encore besoin de partager vos informations de connexion ?
Si vous avez besoin de partager des informations d'identification pour une raison quelconque, alors :
- Assurez-vous que cela est limité à ceux qui nécessitent vraiment un accès et que l'accès est temporaire. Une fois la session de partage terminée, réinitialisez le mot de passe.
- Utilisez un gestionnaire de mots de passe qui prend en charge une base de données commune partageable. La plupart des gestionnaires de mots de passe en ligne le permettent ; vous pouvez avoir votre propre base de données et une base de données avec des informations d'identification partagées avec d'autres personnes.
- Communiquez le mot de passe verbalement ou envoyez des parties des informations d'identification sur différents canaux, tels que la moitié par Skype, la moitié par e-mail crypté ou un autre canal de messagerie sécurisé.
Très important; à la fin de la session ou de l'accès requis, réinitialisez toujours le mot de passe.
Évitez de partager vos informations de connexion
En conclusion, partager des informations d'identification n'est jamais une bonne chose. Vous devez activement décourager cette pratique en alertant tous vos utilisateurs de votre politique. De plus, utilisez les outils et les solutions à votre disposition qui peuvent vous aider à faire respecter votre politique.