Catatan Rilis: Enkripsi Ditambahkan ke Kode Dua Faktor di iThemes Security Pro
Diterbitkan: 2022-10-21Dengan rilis terbaru iThemes Security Pro, kami telah menambahkan enkripsi untuk melindungi kode otentikasi dua faktor (2FA) yang digunakan untuk otentikasi login multi-faktor. Untuk memastikan bahwa situs Anda menggunakan fungsi baru ini, tingkatkan ke iThemes Security Pro versi 7.2.2 di dasbor plugin wp-admin Anda.
Seperti halnya fitur baru, kami yakin pasti ada pertanyaan tentang fitur baru dan mengapa kami menambahkannya. Dalam posting ini, kami merinci perubahan apa yang telah kami buat, mengapa kami memilih untuk menambahkan fitur keamanan tambahan ke otentikasi dua faktor, dan beberapa pemikiran tentang status keamanan login WordPress saat ini secara keseluruhan.
Apa yang dimaksud dengan perubahan dalam penyimpanan kode otentikasi dua faktor ini?
iThemes Security mendukung tiga jenis metode otentikasi Dua Faktor: Aplikasi Seluler, Email, dan Kode Cadangan. Mereka masing-masing berfungsi sedikit berbeda.
Saat Anda menggunakan Email 2FA, iThemes Security menghasilkan kode delapan digit acak dan mengirimkannya melalui email kepada Anda. Kami menyimpan apa yang disebut "hash" dari kode acak ini di database WordPress. Sebuah hash memungkinkan kami memverifikasi apakah Anda memberi kami kode delapan digit yang sama dengan yang kami simpan di database.
Namun, iThemes Security tidak dapat "mendekode" hash kembali ke kode acak delapan digit asli. Inilah sebabnya mengapa jika Anda meminta iThemes Security untuk "Kirim Ulang" email 2FA, kami membuat kode acak baru alih-alih mengirim ulang kode 2FA yang sama seperti yang kami kirim di email pertama.
Ini mirip dengan bagaimana WordPress dapat memverifikasi apakah kata sandi Anda benar. Tetapi jika Anda lupa kata sandi Anda, Anda harus membuat yang baru, WordPress tidak dapat mengirimkan kata sandi Anda saat ini.
Ponsel Dua-Faktor berbeda. Kode baru muncul di Aplikasi Seluler Anda setiap 30 detik. Apakah itu berarti iThemes Security menyimpan setiap kode baru ke database? Tidak, sebaliknya iThemes Security menggunakan konsep "rahasia bersama".
Saat Anda mengatur Mobile Two-Factor di iThemes Security, kami menunjukkan kepada Anda kode QR yang berisi kunci rahasia yang unik untuk akun Anda. Memindai kode QR di aplikasi Dua Faktor Anda menyalin kunci rahasia ke ponsel Anda.
Saat Anda masuk menggunakan Aplikasi Seluler, iThemes Security, dan ponsel Anda masing-masing menghasilkan kode enam digit berdasarkan kunci "rahasia bersama". Jika kodenya cocok, Anda masuk!
Tidak seperti Two-Factor berbasis Email di mana kita hanya perlu menyimpan hash, ini berarti kita harus menyimpan kunci rahasia Aplikasi Seluler dengan cara yang memberi kita akses ke plaintext.
Sebagian besar plugin dan layanan otentikasi dua faktor untuk WordPress menyimpan kunci rahasia dua faktor di database WordPress, dan iThemes Security tidak berbeda. Kode ini harus disimpan sehingga ketika pengguna memasukkan kode 2FA dari aplikasi autentikasi di ponsel atau perangkat, plugin keamanan dapat mencocokkan kode ini untuk mengautentikasi pengguna yang mencoba masuk.
Menyimpan kode-kode ini dalam database telah menjadi cara yang paling aman untuk melakukannya, karena setiap informasi yang disimpan dalam database hanya dapat diakses oleh pengguna database dan kata sandinya. Kredensial ini disimpan di file wp-config.php WordPress Anda, dan ini memungkinkan situs WordPress Anda mengakses informasi dalam database ini.
Meskipun ada beberapa layanan yang menggunakan pendekatan berbasis sistem file untuk kode 2FA, iThemes Security dan sebagian besar layanan otentikasi dua faktor utama lainnya telah memilih metode penyimpanan database yang lebih aman.
Untuk keamanan tambahan, kami telah menambahkan enkripsi ke kode-kode ini yang disimpan di database WordPress situs. Jika database entah bagaimana dikompromikan oleh kerentanan lain, enkripsi tambahan ini menambahkan lapisan keamanan lain untuk melindungi situs WordPress dari sejumlah serangan berbasis login yang dapat dikombinasikan dengan kerentanan lainnya.
Mengapa kami memilih untuk menambahkan fitur ini
Jika situs web WordPress cukup diamankan, kemungkinan kode otentikasi dua faktor terekspos rendah. Namun, jika ada kerentanan tingkat layanan penyedia hosting di mana akses basis data terganggu atau jika ada kerentanan zero-day yang dieksploitasi secara aktif dalam plugin atau tema, kode otentikasi dua faktor yang tidak terenkripsi dapat digunakan dalam kombinasi dengan kerentanan lain. .
Di iThemes, keamanan situs web WordPress pelanggan kami sangat penting bagi bisnis kami. Dengan demikian, bahkan ketika skenario kerentanan edge-case menjadi perhatian kami, respons dan prioritas pertama kami adalah keamanan situs tersebut.
Tujuan kami adalah membuat situs WordPress Anda aman di setiap saat, sehingga setiap aspek situs Anda, dari file dan database hingga prosedur login Anda, semuanya terlindungi dari penyerang jahat. Pertahanan yang efektif dari serangan mengharuskan semua aspek WordPress diamankan secara memadai.
Apa itu Otentikasi Dua Faktor?
Otentikasi dua faktor (2FA) adalah jenis otentikasi multi-faktor (MFA) yang memperkuat keamanan akses dengan memerlukan dua metode verifikasi untuk mengotentikasi identitas Anda pada suatu sistem, dalam hal ini situs WordPress. Faktor-faktor ini dapat mencakup sesuatu yang Anda ketahui, seperti nama pengguna atau email dan kata sandi Anda, bersama dengan sesuatu yang Anda miliki, seperti akses ke perangkat Anda dengan aplikasi otentikasi untuk mengautentikasi Anda atau menentukan bahwa Anda adalah diri Anda sendiri. Aplikasi autentikasi seperti Google Authenticator menghasilkan kata sandi satu kali berbasis waktu yang berubah dari menit ke menit.
Kata sandi tidak cukup
Otentikasi dua faktor semakin penting karena serangan phishing, serangan rekayasa sosial, serangan brute force kata sandi, dan masalah penggunaan kembali kata sandi berarti bahwa otentikasi satu kata sandi saja tidak lagi cukup.
Karena masalah seperti inilah para inovator seperti iThemes Security telah menambahkan kunci sandi untuk login yang benar-benar tanpa kata sandi menggunakan otentikasi biometrik dan kriptografi kunci privat/publik untuk membuat protokol otentikasi yang lebih canggih guna melindungi sistem yang sangat penting. Kata sandi rusak sehingga iThemes Security Pro adalah plugin keamanan WordPress pertama yang memungkinkan otentikasi tanpa kata sandi dengan kunci sandi.
Dengan kunci sandi, penyimpanan kode autentikasi dua faktor tidak menjadi masalah karena kriptografi kunci privat/publik membuat kata sandi dan 2FA menjadi usang.
Jika situs web WordPress Anda benar-benar sangat penting bagi bisnis atau organisasi Anda, menggunakan iThemes Security menunjukkan komitmen Anda untuk mengamankan aset itu. Pastikan Anda menawarkan login tanpa kata sandi bebas gesekan dan kemampuan autentikasi dua faktor terenkripsi untuk menunjukkan kepada pemangku kepentingan Anda komitmen organisasi Anda terhadap implementasi situs web yang sadar keamanan.
Jika Anda belum menggunakan iThemes Security Pro, Anda bisa mendapatkan versi Pro dari plugin keamanan WordPress terbaik yang tersedia dengan membeli melalui tautan di bawah ini.
Plugin Keamanan WordPress Terbaik untuk Mengamankan & Melindungi WordPress
WordPress saat ini menguasai lebih dari 40% dari semua situs web, sehingga menjadi sasaran empuk bagi peretas dengan niat jahat. Plugin iThemes Security Pro menghilangkan dugaan keamanan WordPress untuk memudahkan mengamankan & melindungi situs WordPress Anda. Ini seperti memiliki staf ahli keamanan penuh waktu yang terus-menerus memantau dan melindungi situs WordPress Anda untuk Anda.
Terima kasih kepada Calvin Alkan karena telah mengungkapkan masalah ini secara bertanggung jawab kepada kami .