Comprendere i rischi della condivisione dell'accesso su WordPress
Pubblicato: 2021-11-03Sebbene sia un grosso problema per la sicurezza, la condivisione dell'accesso su WordPress avviene più spesso di quanto si possa pensare. Come suggerisce il termine, la condivisione dell'accesso è la pratica degli utenti che condividono le proprie informazioni di accesso con altri utenti. In un recente sondaggio, un enorme 49% degli utenti ha ammesso di condividere i propri dati di accesso aziendali, con gli utenti più giovani (16-24 anni) più spensierati nel condividere i propri dati di accesso rispetto a quelli della coorte più anziana (55+ anni).
Anche se potresti pensare che ciò non stia accadendo sul tuo sito Web WordPress, molti amministratori tendono a sottovalutare la portata della condivisione delle password. Senza controlli in atto, può essere piuttosto difficile capire se qualcuno del tuo team condivide i propri accessi. Le persone raramente ammettono di condividere le password, tuttavia la condivisione dell'accesso sta avvenendo e può portare a molti problemi e problemi di sicurezza di WordPress.
Perché gli utenti condividono i loro accessi?
Sebbene possano esserci ragioni legittime per cui gli utenti potrebbero dover condividere i dettagli di accesso, le migliori pratiche ci dicono che ogni utente dovrebbe avere il proprio account. Gli utenti condividono le informazioni di accesso per diversi motivi. L'accesso agli account dei social media o agli indirizzi e-mail pubblici, in cui molte persone potrebbero aver bisogno di pubblicare e fare richieste di azione, è un motivo molto comune. Altri motivi includono:
Opportunità: ora hai del lavoro da fare. L'invio di una richiesta che richiede all'helpdesk di creare un altro account utente causerebbe un ritardo.
Costo: poiché utilizziamo più servizi di abbonamento basati su cloud, potrebbero esserci costi aggiuntivi associati all'aggiunta di più utenti. Ciò rende la condivisione dell'accesso particolarmente allettante se la necessità è solo temporanea.
Management: dal punto di vista gestionale, commerciale e operativo, meno conti da gestire, più facile è il lavoro.
I problemi di sicurezza causati dalla condivisione dell'accesso
Per molti, condividere il proprio login è solo un'altra cosa che fanno al lavoro. Anche se gli utenti condividono i propri accessi senza alcuna cattiva intenzione, la pratica di condividere le credenziali di accesso comporta diversi rischi per la sicurezza associati.
Perdita di credenziali
Dare i tuoi accessi a WordPress a un amico o collega fidato può sembrare innocuo a prima vista. Tuttavia, dovresti chiederti se saranno attenti ai tuoi dettagli come lo sono i loro? Inoltre, se stai utilizzando la stessa password su più account; non stai solo mettendo in pericolo l'account condiviso, ma potenzialmente tutti gli altri account.
Di conseguenza, rinunciare alle tue credenziali rischia di perdere le tue credenziali all'interno e all'esterno dell'azienda.
Incoraggia l'uso di password deboli
Oltre l'80% dei tentativi di hacking riusciti sfruttano password deboli, utilizzando attacchi di forza bruta o credenziali rubate. Se esiste una cultura di condivisione delle password, queste password saranno inevitabilmente deboli e facili da ricordare.
Uso improprio del servizio
Quando si tratta di sicurezza di WordPress, il principio del privilegio minimo è uno dei migliori strumenti che gli amministratori possono utilizzare per mantenere un elevato livello di protezione. Ciò significa che l'account di ogni individuo avrà privilegi specifici per eseguire le attività richieste per il lavoro. Pertanto, non tutti gli account vengono creati uguali, poiché non tutti i ruoli in un'azienda sono uguali. Alcuni account avranno più privilegi e accesso a più informazioni rispetto ad altri.
Attraverso la condivisione dell'accesso, chiunque sia a conoscenza delle credenziali avrà accesso a tutti i privilegi di quell'account, indipendentemente dal livello di accesso che dovrebbe avere. Ciò può potenzialmente consentire loro di accedere a funzioni e dati a cui normalmente potrebbero non avere accesso. Ciò può portare alla fuga di dati e alla violazione di normative come GDPR, PCI DSS e altri.
Responsabilità degli utenti
Gli account individuali assegnano la responsabilità alle azioni, chi ha fatto cosa e quando.
Segue lo stesso principio per cui ogni operatore di cassa ha un singolo cassetto contanti, che viene rimosso al termine del turno. Se questi cassetti di cassa fossero condivisi e ci fosse una carenza, come determinaresti chi è il responsabile? In questa situazione, tutti coloro che hanno accesso a questa estrazione in contanti cadranno in sospetto, indipendentemente dal fatto che sia successo sotto la loro sorveglianza o meno.
Lo stesso vale per i siti Web WordPress. Come stabiliresti chi ha approvato un ordine, un rimborso o ha modificato erroneamente un elenco di prodotti o un prezzo? Se dovesse essere scoperto un errore, chi sarà ritenuto responsabile? Come proveresti la tua innocenza?
Cosa puoi fare per interrompere la condivisione dell'accesso?
Educare , incoraggiare , far rispettare .
Se non l'hai già fatto, assicurati di avere una politica sulla gestione delle password che scoraggi la condivisione dell'accesso. Dovresti anche assicurarti che il team sia a conoscenza dei tuoi obblighi normativi e di come tutti possono svolgere un ruolo nel soddisfare questi requisiti.
Educare il personale sui potenziali pericoli della condivisione dei propri dati di accesso sensibili, non solo per l'azienda ma per se stessi. Supponiamo che ci sia un furto di dati e che vengano coinvolte le forze dell'ordine. In tal caso, esamineranno senza dubbio chi ha avuto accesso a cosa controllando i registri per gli account utente.
Un driver principale che porta gli utenti a condividere i dettagli di accesso del proprio account è che è facile da fare e può essere fatto in questo momento, quindi il lavoro può essere portato a termine. Non si fa affidamento su una terza parte come l'helpdesk o con eventuali ritardi successivi.
Semplifica il processo di gestione dell'account rendendolo accessibile ed efficiente. Potresti anche voler assicurarti che il team dell'helpdesk sia a conoscenza delle migliori pratiche normative e di sicurezza e abbia il potere di sostenerle in tutta l'organizzazione.
Sono disponibili diverse soluzioni tecnologiche per applicare le policy relative alle password e scoraggiare la condivisione dell'accesso. Per esempio:
Applicare e utilizzare password complesse
Uno svantaggio significativo della condivisione delle password è che saranno invariabilmente deboli, quindi sono facili da ricordare e forse annotate su note adesive, rendendole disponibili a chiunque le veda. Imponendo agli utenti di utilizzare password complesse, li scoraggi dal condividere le credenziali.
Plugin come WPassword rendono l'intero processo semplicissimo. L'IT ti offre il controllo completo sull'implementazione, aiutandoti a raggiungere il giusto equilibrio tra sicurezza e usabilità.
Usa i gestori di password
La semplice applicazione di password complesse non è sufficiente. Devi aiutare i tuoi utenti a gestire le loro password. Implementa e incoraggia l'uso di gestori di password, in modo che i tuoi utenti possano farlo
conservare le loro password difficili in un luogo sicuro, senza dover ricordare ognuna di esse.
Usa l'autenticazione a due fattori
L'autenticazione a due fattori (2FA) aggiunge un ulteriore livello di sicurezza a un costo amministrativo molto basso. Attraverso 2FA, gli utenti devono eseguire una seconda autenticazione tramite un fattore secondario, con OTP (One Time Password) che è uno dei metodi più comunemente utilizzati.
Implementando 2FA e OTP, gli utenti che tentano di accedere al proprio account devono avere accesso al proprio smartphone o e-mail, oltre a conoscere il nome utente e la password. Con le OTP che scadono ogni 30 secondi, la condivisione delle password diventa molto difficile, rendendo più semplice la richiesta di un nuovo account.
L'implementazione della 2FA per il tuo sito Web WordPress è più facile di quanto potresti pensare. Plugin come WP 2FA offrono procedure guidate amichevoli e ampie opzioni di compatibilità per rendere l'intero processo un gioco da ragazzi.
Monitora l'attività degli utenti
Tieni d'occhio chi sta accedendo a cosa sul tuo sito Web con un plug-in del registro delle attività. Un registro completo delle attività in tempo reale ti darà una visibilità completa di tutte le azioni eseguite sui tuoi siti Web WordPress. I registri delle attività sono fondamentali per una buona pratica di sicurezza e contribuiranno notevolmente a soddisfare i tuoi obblighi di conformità.
Cosa succede se hai ancora bisogno di condividere i tuoi dati di accesso?
Se hai bisogno di condividere le credenziali per qualsiasi motivo, allora:
- Assicurati che questo sia limitato solo a quelli che richiedono realmente l'accesso e che l'accesso sia temporaneo. Al termine della sessione di condivisione, reimpostare la password.
- Utilizzare un gestore di password che supporti un database condivisibile comune. La maggior parte dei gestori di password online lo consente; puoi avere il tuo database e un database con credenziali condiviso con altre persone.
- Comunica la password verbalmente o invia parti delle credenziali su canali diversi, ad esempio metà tramite Skype, metà tramite e-mail crittografata o qualche altro canale di messaggistica sicuro.
Molto importante; al termine della sessione o dell'accesso richiesto, reimpostare sempre la password.
Evita di condividere le tue informazioni di accesso
In conclusione, condividere le credenziali non è mai una buona cosa. Dovresti scoraggiare attivamente la pratica avvisando tutti i tuoi utenti della tua politica. Inoltre, utilizza gli strumenti e le soluzioni a tua disposizione che possono aiutarti a far rispettare la tua politica.