Hasła są złamane. WebAuthn to nowy standard uwierzytelniania

Opublikowany: 2022-09-22

Niedawno iThemes Security Pro dodał klucze dostępu jako podstawową metodę uwierzytelniania dla witryn WordPress. To przełomowe wydanie jest pierwszym tego rodzaju w przestrzeni WordPress i jest to coś, o czym powinieneś wiedzieć. Po raz kolejny iThemes Security wykazał się liderem w zapewnianiu wyjątkowych funkcji bezpieczeństwa użytkownikom WordPress.

W tym poście omówimy problem z hasłem, czym jest WebAuthn i dlaczego zaczniesz używać tej technologii wszędzie. Jeśli jesteś właścicielem witryny WordPress i chcesz ulepszyć funkcje logowania i bezpieczeństwa dla swoich użytkowników końcowych, masz teraz dostęp do najnowocześniejszego standardu bezproblemowego logowania.

Zrozumienie problemu z hasłem, który rozwiązuje WebAuthn

Nasze życie online, w tym konta użytkowników używane przez WordPress, opierały się na dostępie do nazwy użytkownika i hasła. Przez jakiś czas to było w porządku. Jednak ponowne użycie haseł, słownikowe ataki typu brute force oraz udostępnianie złamanych danych kont przez złośliwych cyberprzestępców sprawiły, że nasz system zabezpieczeń opartych na hasłach stał się nieskuteczny.

W rzeczywistości, raport DBIR firmy Verizon z 2022 r. donosi, że ponad 80% naruszeń można przypisać skradzionym poświadczeniom, a liczba skradzionych danych uwierzytelniających wzrosła o 30% jako główny wektor włamań w porównaniu z wykorzystaniem luk w zabezpieczeniach.

Poświadczenia odnoszą się do kombinacji nazwy użytkownika i hasła. A dane Verizon mówią nam jedno: hasła są łamane. Dodanie uwierzytelniania dwuskładnikowego (2FA) było pomocne, ale niestety, dodane przez niego trudności i złożoność spowodowały, że zostało ono przyjęte tylko przez 28% użytkowników. Rozumiemy; 2FA dodaje kolejną warstwę tarcia dla atakujących, ale utrudnia również logowanie się użytkownikom. A w przypadku 2FA opartego na SMS-ach to po prostu nie jest wystarczająco bezpieczne. Historie ataków na porty SIM na cele o dużej wartości nie są powszechne, ale są katastrofalne, gdy się zdarzają.

Sojusz FIDO (Fast Identity Online) pracuje nad naprawą tych problemów, a WebAuthn to specyfikacja, która wyszła z tej pracy.

Na tym etapie naszego cyfrowego życia hasła są łamane. Na szczęście istnieje nowy i lepszy sposób uwierzytelniania, a jest nim WebAuthn.

Co to jest WebAuthn?

WebAuthn to skrót od Web Authentication API. Jest to specyfikacja napisana przez W3C i FIDO, przy udziale Apple, Google, Mozilla, Microsoft, Yubico i innych. Interfejs API WebAuthn umożliwia serwerom rejestrowanie i uwierzytelnianie użytkowników przy użyciu kryptografii klucza publicznego zamiast hasła. Od stycznia 2019 r. WebAuthn jest obsługiwane w przeglądarkach Chrome, Firefox, Microsoft Edge i Safari. W chwili pisania tego tekstu WebAuthn jest obsługiwane przez ponad 90% urządzeń i ich przeglądarek.

WebAuthn jest częścią struktury FIDO2, która jest zestawem technologii umożliwiających uwierzytelnianie bez hasła między serwerami, przeglądarkami i uwierzytelniającymi. WebAuthn zostało ustandaryzowane przez konsorcjum World Wide Web.

Teraz, gdy tak wiele naszych urządzeń korzysta z uwierzytelniania biometrycznego, takiego jak FaceID na iPhonie lub rozpoznawania odcisków palców na MacBooku, Windows Hello i wielu innych, mamy nową metodę określania, czy próba logowania jest rzeczywiście prawidłowym użytkownikiem. a nie brutalny atak siłowy.

Jak działa WebAuthn?

WebAuthn wykorzystuje kryptografię klucza publicznego do zabezpieczania połączeń między użytkownikami a używanymi przez nich systemami. Korzystając z WebAuthn, możesz użyć jednej metody uwierzytelniania, takiej jak biometria na urządzeniach lub YubiKey, w dowolnej witrynie obsługującej ten standard. W ten sposób, jako użytkownik, nie musisz mieć haseł do każdej odwiedzanej witryny, wystarczy silne uwierzytelnianie, które działa z WebAuthn.

Używając tego silnego uwierzytelniania zamiast hasła, możemy utworzyć parę kluczy prywatny-publiczny dla strony internetowej. Klucz prywatny jest bezpiecznie przechowywany na Twoim urządzeniu (na przykład na telefonie lub komputerze), a klucz publiczny i losowo wygenerowane dane uwierzytelniające są wysyłane na serwer sieciowy w celu przechowywania. Serwer sieciowy, a w przypadku iThemes Security Passkeys, Twoja witryna WordPress, może użyć klucza publicznego do weryfikacji tożsamości użytkownika.

Jak działa WebAuthn

Ten klucz publiczny nie jest tajemnicą. W związku z tym, jeśli serwer WWW lub witryna WordPress zostanie kiedykolwiek zhakowana, dane uwierzytelniające przechowywane za pomocą klucza publicznego są bezużyteczne dla atakującego. Klucz publiczny po prostu nie może być użyty bez klucza prywatnego.

Aby zrozumieć, jak faktycznie działa WebAuthn, projekt FIDO2 ma kilka świetnych zasobów.

WebAuthn zmienia krajobraz bezpieczeństwa

WebAuthn naprawdę jest przełomem w świecie bezpieczeństwa. Bazy danych nie są już tak atrakcyjne dla hakerów, ponieważ klucze publiczne nie są dla nich przydatne. Ponadto WebAuthn utrudnia kradzież poświadczeń.

A dla użytkowników końcowych WebAuthn eliminuje potrzebę zapamiętywania wielu nazw użytkowników i haseł. Na przykład użytkownik MacBooka potrzebuje tylko swojego odcisku palca, aby zalogować się do swojej witryny z włączonymi kluczami bezpieczeństwa iThemes.

Apple, który wdrożył WebAuthn, zauważa również, że WebAuthn chroni przed atakami typu phishing. Atak phishingowy polegający na wysyłaniu użytkownikom wiadomości e-mail z linkami do fałszywych ekranów logowania nie byłby skuteczny bez haseł. Użytkownik używający kluczy dostępu do logowania na konto nie miałby nawet hasła, które mógłby przekazać złośliwemu formularzowi phishingowemu. Uwierzytelnianie jest całkowicie obsługiwane przez klucz prywatny przechowywany na ich urządzeniu komunikującym się z kluczem publicznym przechowywanym na serwerze WWW. WebAuthn skutecznie sprawia, że ​​zarówno losowe ataki typu phishing, jak i ukierunkowane ataki typu spearphishing są całkowicie nieskuteczne.

Gra o bezpieczeństwo zmieniła się wraz z WebAuthn. Chociaż może minąć trochę czasu, zanim ataki typu brute force i kradzież hasła staną się mniej atrakcyjne dla złośliwych napastników, proaktywni właściciele witryn, którzy zdecydują się wdrożyć WebAuthn, będą liderami w zapewnianiu, że ich witryny nie będą już częścią gry.

Bezproblemowe logowanie sprawia, że ​​klienci są szczęśliwsi

Ci właściciele witryn zapewniają również dodatkową cenną funkcję dla swoich użytkowników, klientów, studentów lub każdego, kto loguje się do ich witryn WordPress. Zamiast wymagać protokołów uwierzytelniania wieloskładnikowego wypełnionych tarciem, aby zapewnić bezpieczeństwo witryny WordPress, WebAuthn wdrożony przez iThemes Security pozwala właścicielom witryn zapewnić bezproblemowe logowanie bez hasła, jednocześnie czyniąc ich witrynę znacznie mniej atrakcyjną dla hakerów.

Nadchodzą kolejne wdrożenia WebAuthn

Możesz zobaczyć, jak zmienia życie ta technologia i zastanawiać się, dlaczego więcej witryn, usług i aplikacji nie korzysta z WebAuthn. Chociaż ta technologia jest przełomowa, jest również bardzo nowa. Dodanie WebAuthn do starszych usług będzie wymagało pewnej refaktoryzacji. Ale jak widzieliśmy w przypadku wielu nowych technologii, które zmieniają krajobraz, nadchodzi. Konieczność wyjścia poza hasła to zdecydowany kierowca. A ponieważ coraz więcej użytkowników korzysta z możliwości bezproblemowego logowania, zaczniemy widzieć prośby użytkowników o rozszerzenie logowania bez hasła.

W ten sposób iThemes Security umocnił się jako lider w dziedzinie bezpieczeństwa WordPress, zmieniając oblicze logowania użytkowników WordPress. iThemes Security Passkeys to pierwsza implementacja WebAuthn w przestrzeni WordPressa i z pewnością będzie to standard w przyszłości.

Aby uzyskać teraz klucze bezpieczeństwa iThemes dla swojej witryny WordPress, potrzebujesz iThemes Security Pro. Na szczęście obecnie możesz to dostać po obniżonej cenie. Tych niskich cen nie zobaczysz jednak na długo. Wyprzedaż kończy się 30 września 2022 r.

Uzyskaj klucze bezpieczeństwa iThemes dla swojej witryny