Memahami risiko berbagi login di WordPress
Diterbitkan: 2021-11-03Meskipun ini adalah keamanan besar tidak-tidak, berbagi login di WordPress terjadi lebih sering daripada yang diperkirakan. Seperti istilah yang disarankan, berbagi login adalah praktik pengguna berbagi informasi login mereka dengan pengguna lain. Dalam survei baru-baru ini, 49% pengguna mengaku membagikan detail login bisnis mereka, dengan pengguna yang lebih muda (16-24 tahun) lebih bebas membagikan detail login mereka daripada mereka yang berada di kelompok yang lebih tua (55+ tahun).
Meskipun Anda mungkin berpikir bahwa ini tidak terjadi di situs WordPress Anda, banyak administrator cenderung meremehkan skala berbagi kata sandi. Tanpa kontrol, akan sangat sulit untuk memahami jika ada orang di tim Anda yang membagikan info masuk mereka. Orang jarang mengakui berbagi kata sandi, namun berbagi login terjadi dan dapat menyebabkan banyak masalah dan masalah keamanan WordPress.
Mengapa pengguna membagikan login mereka?
Meskipun mungkin ada alasan yang sah mengapa pengguna mungkin perlu membagikan detail login, praktik terbaik memberi tahu kami bahwa setiap pengguna harus memiliki akun mereka sendiri. Pengguna berbagi informasi login karena beberapa alasan. Mengakses akun media sosial atau alamat email publik, di mana banyak orang mungkin perlu memposting dan melakukan permintaan tindakan, adalah alasan yang sangat umum. Alasan lain termasuk:
Kegunaan: Anda memiliki pekerjaan yang harus diselesaikan sekarang. Mengirimkan permintaan yang meminta helpdesk untuk membuat akun pengguna lain akan menyebabkan penundaan.
Biaya: Karena kami menggunakan lebih banyak layanan berlangganan berbasis cloud, mungkin ada biaya tambahan terkait untuk menambahkan lebih banyak pengguna. Ini membuat berbagi login sangat menggoda jika kebutuhannya hanya sementara.
Manajemen: dari sudut pandang manajemen, bisnis, dan operasi, semakin sedikit akun yang dikelola, semakin mudah pekerjaannya.
Masalah keamanan yang disebabkan oleh berbagi login
Bagi banyak orang, membagikan login mereka hanyalah hal lain yang mereka lakukan di tempat kerja. Meskipun pengguna membagikan login mereka tanpa niat buruk, praktik berbagi kredensial login memiliki beberapa risiko keamanan terkait.
Kebocoran kredensial
Memberikan login WordPress Anda ke teman atau kolega tepercaya mungkin tampak tidak berbahaya pada pandangan pertama. Namun, Anda harus bertanya pada diri sendiri apakah mereka akan berhati-hati dengan detail Anda seperti mereka sendiri? Juga, jika Anda menggunakan kata sandi yang sama di beberapa akun; Anda tidak hanya menempatkan akun bersama di bawah ancaman tetapi berpotensi semua akun lainnya.
Oleh karena itu, menyerahkan kredensial Anda berisiko bocornya kredensial Anda di dalam dan di luar bisnis.
Mendorong penggunaan kata sandi yang lemah
Lebih dari 80% upaya peretasan yang berhasil mengeksploitasi kata sandi yang lemah, menggunakan serangan brute force atau kredensial yang dicuri. Jika ada budaya berbagi kata sandi, kata sandi ini pasti akan lemah dan mudah diingat.
Penyalahgunaan layanan
Dalam hal keamanan WordPress, prinsip hak istimewa paling rendah adalah salah satu alat terbaik yang dapat digunakan administrator untuk mempertahankan tingkat perlindungan yang tinggi. Ini berarti bahwa setiap akun individu akan memiliki hak khusus untuk melakukan tugas yang diperlukan untuk pekerjaan itu. Dengan demikian, tidak semua akun dibuat sama, karena tidak semua peran dalam bisnis sama. Beberapa akun akan memiliki lebih banyak hak istimewa dan akses ke lebih banyak informasi daripada yang lain.
Melalui berbagi login, setiap orang yang mengetahui kredensial akan memiliki akses ke semua hak istimewa akun tersebut, terlepas dari tingkat akses yang seharusnya mereka miliki. Ini berpotensi memungkinkan mereka mengakses fungsi dan data yang biasanya tidak dapat mereka akses. Hal ini dapat menyebabkan kebocoran data dan pelanggaran peraturan seperti GDPR, PCI DSS, dan lainnya.
Akuntabilitas pengguna
Akun individu menetapkan tanggung jawab untuk tindakan, siapa yang melakukan apa, dan kapan.
Ini mengikuti prinsip yang sama mengapa setiap operator kasir memiliki laci kas individu, yang dihapus ketika shift mereka berakhir. Jika laci kas ini digunakan bersama dan ada kekurangan, bagaimana Anda menentukan siapa yang bertanggung jawab? Dalam situasi ini, setiap orang yang memiliki akses ke penarikan tunai ini akan dicurigai, terlepas dari apakah itu terjadi pada jam tangan mereka atau tidak.
Hal yang sama berlaku untuk situs WordPress. Bagaimana Anda menentukan siapa yang menyetujui pesanan, pengembalian dana, atau salah memodifikasi daftar produk atau harga? Jika kesalahan ditemukan, siapa yang akan dimintai pertanggungjawaban? Bagaimana Anda membuktikan bahwa Anda tidak bersalah?
Apa yang dapat Anda lakukan untuk menghentikan berbagi login?
Mendidik , Mendorong , Menegakkan .
Jika Anda belum melakukannya, pastikan bahwa Anda memiliki kebijakan tentang pengelolaan kata sandi yang melarang berbagi login. Anda juga harus memastikan bahwa tim mengetahui kewajiban regulasi Anda dan bagaimana mereka semua dapat berperan dalam memenuhi persyaratan ini.
Mendidik staf tentang potensi bahaya membagikan detail login sensitif mereka, tidak hanya untuk bisnis tetapi juga untuk diri mereka sendiri. Misalkan ada pencurian data dan penegak hukum terlibat. Dalam hal ini, mereka pasti akan melihat siapa yang mengakses apa dengan memeriksa log untuk akun pengguna.
Penggerak utama yang mengarahkan pengguna untuk membagikan detail login akun mereka adalah bahwa hal itu mudah dilakukan dan dapat dilakukan sekarang, sehingga pekerjaan dapat diselesaikan. Tidak ada ketergantungan pada pihak ketiga seperti helpdesk atau dengan penundaan berikutnya.
Sederhanakan proses pengelolaan akun sekaligus membuatnya dapat diakses dan efisien. Anda mungkin juga ingin memastikan bahwa tim helpdesk mengetahui praktik terbaik keamanan dan peraturan dan diberdayakan untuk memperjuangkannya di seluruh organisasi.
Ada beberapa solusi teknologi yang tersedia bagi Anda untuk menerapkan kebijakan kata sandi Anda dan untuk mencegah berbagi login. Sebagai contoh:
Terapkan dan gunakan kata sandi yang kuat
Kelemahan signifikan dari berbagi kata sandi adalah bahwa kata sandi akan selalu lemah, sehingga mudah diingat dan mungkin ditulis pada catatan tempel, membuatnya tersedia bagi siapa saja yang melihatnya. Dengan memaksa pengguna untuk menggunakan kata sandi yang kuat, Anda mencegah mereka membagikan kredensial.
Plugin seperti WPassword membuat seluruh proses menjadi sangat mudah. TI memberi Anda kendali penuh atas implementasi, membantu Anda mencapai keseimbangan yang tepat antara keamanan dan kegunaan.
Gunakan pengelola kata sandi
Menerapkan kata sandi yang kuat saja tidak cukup. Anda perlu membantu pengguna Anda untuk mengelola kata sandi mereka. Terapkan dan dorong penggunaan pengelola kata sandi, sehingga pengguna Anda dapat
menyimpan kata sandi sulit mereka di tempat yang aman, tanpa harus mengingatnya satu per satu.
Gunakan otentikasi dua faktor
Otentikasi dua faktor (2FA) menambahkan lapisan keamanan lain dengan biaya administrasi yang sangat rendah. Melalui 2FA, pengguna perlu melakukan otentikasi kedua melalui faktor sekunder, dengan OTP (One Time Password) menjadi salah satu metode yang lebih umum digunakan.
Dengan menerapkan 2FA dan OTP, pengguna yang mencoba masuk ke akun mereka harus memiliki akses ke ponsel cerdas atau email mereka, selain mengetahui nama pengguna dan kata sandi. Dengan OTP kedaluwarsa setiap 30 detik, berbagi kata sandi menjadi sangat sulit – pada akhirnya membuatnya lebih mudah untuk meminta akun baru.
Menerapkan 2FA untuk situs WordPress Anda lebih mudah dari yang Anda kira. Plugin seperti WP 2FA menawarkan wizard yang ramah dan opsi kompatibilitas yang luas untuk membuat seluruh proses menjadi mudah.
Pantau aktivitas pengguna
Awasi siapa yang mengakses apa yang ada di situs web Anda dengan plugin log aktivitas. Log aktivitas real-time yang komprehensif akan memberi Anda visibilitas lengkap dari semua tindakan yang dilakukan di situs web WordPress Anda. Log aktivitas sangat penting untuk praktik keamanan yang baik dan akan sangat membantu dalam memenuhi kewajiban kepatuhan Anda.
Bagaimana jika Anda masih perlu membagikan detail login Anda?
Jika Anda perlu membagikan kredensial karena alasan apa pun, maka:
- Pastikan bahwa ini terbatas hanya untuk mereka yang benar-benar membutuhkan akses dan akses tersebut bersifat sementara. Saat sesi berbagi selesai, setel ulang kata sandi.
- Gunakan pengelola kata sandi yang mendukung database umum yang dapat dibagikan. Sebagian besar pengelola kata sandi online mengizinkan ini; Anda dapat memiliki database Anda sendiri dan database dengan kredensial yang dibagikan dengan orang lain.
- Komunikasikan kata sandi secara lisan, atau kirim sebagian kredensial melalui saluran yang berbeda, seperti setengah melalui Skype, setengah dengan email terenkripsi, atau saluran pesan aman lainnya.
Sangat penting; di akhir sesi atau akses yang diperlukan, selalu atur ulang kata sandi.
Hindari membagikan informasi login Anda
Kesimpulannya, berbagi kredensial bukanlah hal yang baik. Anda harus secara aktif mencegah praktik tersebut dengan mengingatkan semua pengguna tentang kebijakan Anda. Selanjutnya, manfaatkan alat dan solusi yang tersedia untuk Anda yang dapat membantu Anda menegakkan kebijakan Anda.