Nota di rilascio: crittografia aggiunta ai codici a due fattori in iThemes Security Pro
Pubblicato: 2022-10-21Con l'ultima versione di iThemes Security Pro, abbiamo aggiunto la crittografia per proteggere i codici di autenticazione a due fattori (2FA) utilizzati per l'autenticazione di accesso a più fattori. Per assicurarti che il tuo sito stia utilizzando questa nuova funzionalità, esegui l'upgrade a iThemes Security Pro versione 7.2.2 nella dashboard del plug-in wp-admin.
Come per qualsiasi nuova funzionalità, siamo certi che ci debbano essere domande sulla nuova funzionalità e sul perché l'abbiamo aggiunta. In questo post, descriviamo in dettaglio quali modifiche abbiamo apportato, perché abbiamo scelto di aggiungere funzionalità di sicurezza aggiuntive all'autenticazione a due fattori e alcune riflessioni sullo stato attuale della sicurezza dell'accesso a WordPress nel suo insieme.
Cosa comporta questa modifica nell'archiviazione del codice di autenticazione a due fattori?
iThemes Security supporta tre tipi di metodi di autenticazione a due fattori: app mobili, e-mail e codici di backup. Ognuno di loro funziona in modo leggermente diverso.
Quando utilizzi Email 2FA, iThemes Security genera un codice casuale di otto cifre e te lo invia via email. Memorizziamo quello che viene chiamato "hash" di questo codice casuale nel database di WordPress. Un hash ci consente di verificare se ci hai fornito lo stesso codice a otto cifre che abbiamo memorizzato nel database.
Tuttavia, iThemes Security non può "decodificare" l'hash nel codice casuale originale di otto cifre. Questo è il motivo per cui se chiedi a iThemes Security di "inviare nuovamente" l'e-mail 2FA, generiamo un nuovo codice casuale invece di inviarti nuovamente lo stesso codice 2FA che abbiamo inviato nella prima e-mail.
Questo è simile a come WordPress può verificare se la tua password è corretta. Ma se dimentichi la tua password devi crearne una nuova, WordPress non può inviarti la tua password attuale.
Mobile Two-Factor è diverso. Un nuovo codice viene visualizzato nella tua app mobile ogni 30 secondi. Ciò significa che iThemes Security sta salvando ogni nuovo codice nel database? No, invece iThemes Security utilizza il concetto di “segreto condiviso”.
Quando configuri Mobile Two-Factor in iThemes Security, ti mostriamo un codice QR che contiene una chiave segreta univoca per il tuo account. La scansione del codice QR nella tua app Two-Factor copia la chiave segreta sul tuo telefono.
Quando accedi utilizzando la tua app mobile, iThemes Security e il tuo telefono generano ciascuno un codice a sei cifre basato sulla chiave "segreto condiviso". Se i codici corrispondono, sei dentro!
A differenza di Two-Factor basato su e-mail in cui abbiamo solo bisogno di archiviare un hash, ciò significa che dobbiamo archiviare la chiave segreta dell'app mobile in un modo che ci dia accesso al testo in chiaro.
La stragrande maggioranza dei plug-in e dei servizi di autenticazione a due fattori per WordPress memorizza chiavi segrete a due fattori nel database di WordPress e iThemes Security non è diverso. Questi codici devono essere archiviati in modo che quando un utente inserisce i propri codici 2FA dalla propria app di autenticazione sul proprio telefono o dispositivo, il plug-in di sicurezza possa abbinare questi codici per autenticare l'utente che tenta di accedere.
La memorizzazione di questi codici nel database è stato il modo più sicuro per farlo, poiché tutte le informazioni memorizzate nel database sono accessibili solo da un utente del database e dalla relativa password. Queste credenziali sono memorizzate nel tuo file wp-config.php di WordPress e ciò consente al tuo sito WordPress di accedere alle informazioni in questo database.
Sebbene ci siano alcuni servizi che utilizzano un approccio basato sul file system per i codici 2FA, iThemes Security e la maggior parte degli altri principali servizi di autenticazione a due fattori hanno optato per il metodo di archiviazione del database più sicuro.
Per ulteriore sicurezza, abbiamo aggiunto la crittografia a questi codici archiviati nel database di WordPress di un sito. Nel caso in cui il database sia in qualche modo compromesso da un'altra vulnerabilità, questa crittografia aggiunta aggiunge un ulteriore livello di sicurezza per proteggere il sito WordPress da qualsiasi numero di attacchi basati sull'accesso che potrebbero essere combinati con altre vulnerabilità.
Perché abbiamo scelto di aggiungere questa funzione
Se un sito Web WordPress è adeguatamente protetto, la probabilità che i codici di autenticazione a due fattori vengano esposti è bassa. Tuttavia, nel caso in cui sia presente una vulnerabilità a livello di servizio del provider di hosting in cui l'accesso al database è compromesso o se è presente una vulnerabilità zero-day sfruttata attivamente in un plug-in o in un tema, è possibile utilizzare codici di autenticazione a due fattori non crittografati in combinazione con un'altra vulnerabilità .
In iThemes, la sicurezza dei siti Web WordPress dei nostri clienti è di fondamentale importanza per la nostra attività. Pertanto, quando viene alla nostra attenzione anche uno scenario di vulnerabilità edge-case, la nostra prima risposta e priorità è la sicurezza di quei siti.
Il nostro obiettivo è rendere il tuo sito WordPress sicuro in ogni momento, in modo che qualsiasi aspetto del tuo sito, dai tuoi file e database alle tue procedure di accesso, sia protetto da malintenzionati. Una difesa efficace dagli attacchi richiede che tutti gli aspetti di WordPress siano adeguatamente protetti.
Che cos'è l'autenticazione a due fattori?
L'autenticazione a due fattori (2FA) è un tipo di autenticazione a più fattori (MFA) che rafforza la sicurezza dell'accesso richiedendo due metodi di verifica per autenticare la tua identità su un sistema, in questo caso un sito WordPress. Questi fattori possono includere qualcosa che conosci, come il tuo nome utente o e-mail e la tua password, insieme a qualcosa che hai, come l'accesso al tuo dispositivo con un'applicazione di autenticazione per autenticarti o determinare che sei chi sei. Le app di autenticazione come Google Authenticator generano una password monouso basata sul tempo che cambia minuto per minuto.
Le password non sono sufficienti
L'autenticazione a due fattori è sempre più importante poiché attacchi di phishing, attacchi di ingegneria sociale, attacchi di forza bruta alle password e problemi di riutilizzo delle password hanno fatto sì che l'autenticazione della sola password non sia più sufficiente.
È a causa di problemi come questo che innovatori come iThemes Security hanno aggiunto passkey per accessi veramente senza password utilizzando l'autenticazione biometrica e la crittografia a chiave privata/pubblica per creare protocolli di autenticazione più sofisticati per proteggere i sistemi mission-critical. Le password sono rotte, quindi iThemes Security Pro è stato il primo plug-in di sicurezza di WordPress a consentire l'autenticazione senza password con chiavi di accesso.
Con le passkey, la memorizzazione dei codici di autenticazione a due fattori non è un problema poiché la crittografia della chiave privata/pubblica rende obsolete sia le password che la 2FA.
Se il tuo sito Web WordPress è davvero mission-critical per la tua azienda o organizzazione, l'utilizzo di iThemes Security dimostra il tuo impegno nel proteggere tale risorsa. Assicurati di offrire accessi senza password senza attriti e funzionalità di autenticazione a due fattori crittografate per dimostrare alle parti interessate l'impegno della tua organizzazione per implementazioni di siti Web attente alla sicurezza.
Se non stai ancora utilizzando iThemes Security Pro, puoi ottenere la versione Pro del miglior plugin per la sicurezza di WordPress disponibile acquistandolo tramite il link sottostante.
Il miglior plugin di sicurezza per WordPress per proteggere e proteggere WordPress
WordPress attualmente alimenta oltre il 40% di tutti i siti Web, quindi è diventato un facile bersaglio per gli hacker con intenzioni dannose. Il plug-in iThemes Security Pro elimina le congetture dalla sicurezza di WordPress per rendere facile proteggere e proteggere il tuo sito Web WordPress. È come avere un esperto di sicurezza a tempo pieno nel personale che monitora e protegge costantemente il tuo sito WordPress per te.
Grazie a Calvin Alkan per averci segnalato il problema in modo responsabile .