Informacja o wydaniu: Dodano szyfrowanie do kodów dwuskładnikowych w iThemes Security Pro

W najnowszej wersji iThemes Security Pro dodaliśmy szyfrowanie, aby chronić kody uwierzytelniania dwuskładnikowego (2FA) używane do uwierzytelniania logowania wieloskładnikowego. Aby upewnić się, że Twoja witryna korzysta z tej nowej funkcji, uaktualnij do iThemes Security Pro w wersji 7.2.2 na pulpicie wtyczki wp-admin.

Jak w przypadku każdej nowej funkcji, jesteśmy pewni, że muszą pojawić się pytania dotyczące nowej funkcji i powodów jej dodania. W tym poście szczegółowo opisujemy, jakie zmiany wprowadziliśmy, dlaczego zdecydowaliśmy się dodać dodatkowe funkcje bezpieczeństwa do uwierzytelniania dwuskładnikowego oraz kilka przemyśleń na temat obecnego stanu bezpieczeństwa logowania do WordPressa jako całości.

Co pociąga za sobą ta zmiana w przechowywaniu kodów uwierzytelniania dwuskładnikowego?

iThemes Security obsługuje trzy typy dwuskładnikowych metod uwierzytelniania: aplikacje mobilne, poczta e-mail i kody zapasowe. Każdy z nich funkcjonuje trochę inaczej.

Kiedy używasz Email 2FA, iThemes Security generuje losowy ośmiocyfrowy kod i wysyła go do Ciebie e-mailem. Przechowujemy tak zwany „hasz” tego losowego kodu w bazie danych WordPress. Hash pozwala nam zweryfikować, czy podałeś nam ten sam ośmiocyfrowy kod, który zapisaliśmy w bazie danych.

Jednak iThemes Security nie może „odkodować” skrótu z powrotem do oryginalnego ośmiocyfrowego kodu losowego. Dlatego jeśli poprosisz iThemes Security o „ponowne wysłanie” wiadomości e-mail 2FA, wygenerujemy nowy losowy kod zamiast ponownie wysłać ten sam kod 2FA, który wysłaliśmy w pierwszym e-mailu.

Jest to podobne do sposobu, w jaki WordPress może zweryfikować, czy Twoje hasło jest poprawne. Ale jeśli zapomnisz hasła, musisz utworzyć nowe, WordPress nie może wysłać Ci bieżącego hasła.

Mobile Two-Factor jest inny. Nowy kod pojawia się w Twojej aplikacji mobilnej co 30 sekund. Czy to oznacza, że ​​iThemes Security zapisuje każdy nowy kod w bazie danych? Nie, zamiast tego iThemes Security wykorzystuje koncepcję „wspólnego sekretu”.

Po skonfigurowaniu Mobile Two-Factor w iThemes Security pokazujemy kod QR, który zawiera tajny klucz unikalny dla Twojego konta. Zeskanowanie kodu QR w aplikacji Two-Factor kopiuje tajny klucz do telefonu.

Kiedy logujesz się za pomocą aplikacji mobilnej, iThemes Security i Twój telefon generują sześciocyfrowy kod oparty na kluczu „shared secret”. Jeśli kody pasują, jesteś w!

W przeciwieństwie do dwuskładnikowej opartej na wiadomości e-mail, w której wystarczy przechowywać hash, oznacza to, że musimy przechowywać tajny klucz aplikacji mobilnej w sposób, który zapewnia nam dostęp do zwykłego tekstu.

Zdecydowana większość wtyczek i usług uwierzytelniania dwuskładnikowego dla WordPress przechowuje dwuskładnikowe tajne klucze w bazie danych WordPress, a iThemes Security nie różni się od nich. Kody te muszą być przechowywane, aby po wprowadzeniu przez użytkownika kodów 2FA z aplikacji uwierzytelniającej na telefonie lub urządzeniu wtyczka bezpieczeństwa mogła dopasować te kody w celu uwierzytelnienia użytkownika próbującego się zalogować.

Przechowywanie tych kodów w bazie danych jest najbezpieczniejszym sposobem, ponieważ wszelkie informacje przechowywane w bazie danych są dostępne tylko dla użytkownika bazy danych i jego hasła. Te poświadczenia są przechowywane w pliku WordPress wp-config.php, co pozwala witrynie WordPress na dostęp do informacji w tej bazie danych.

Chociaż istnieje kilka usług, które wykorzystują podejście oparte na systemie plików dla kodów 2FA, iThemes Security i większość innych głównych usług uwierzytelniania dwuskładnikowego wybrały bezpieczniejszą metodę przechowywania bazy danych.

Dla dodatkowego bezpieczeństwa dodaliśmy szyfrowanie do tych kodów przechowywanych w bazie danych WordPress witryny. W przypadku, gdy baza danych zostanie w jakiś sposób naruszona przez inną lukę, to dodane szyfrowanie dodaje kolejną warstwę bezpieczeństwa, aby chronić witrynę WordPress przed dowolną liczbą ataków opartych na logowaniu, które można połączyć z innymi lukami.

Dlaczego zdecydowaliśmy się dodać tę funkcję

Jeśli witryna WordPress jest odpowiednio zabezpieczona, prawdopodobieństwo ujawnienia dwuskładnikowych kodów uwierzytelniających jest niskie. Jednak w przypadku luki na poziomie usług dostawcy hostingu, w której dostęp do bazy danych jest zagrożony lub w przypadku aktywnego wykorzystania luki dnia zerowego we wtyczce lub motywie, nieszyfrowane kody uwierzytelniania dwuskładnikowego mogą być używane w połączeniu z inną luką .

W iThemes bezpieczeństwo witryn WordPress naszych klientów ma kluczowe znaczenie dla naszej działalności. W związku z tym, gdy zwrócimy naszą uwagę nawet na skrajny scenariusz luki w zabezpieczeniach, naszą pierwszą reakcją i priorytetem jest bezpieczeństwo tych witryn.

Naszym celem jest zapewnienie bezpieczeństwa Twojej witryny WordPress na każdym etapie, tak aby każdy aspekt Twojej witryny, od plików i bazy danych po procedury logowania, był chroniony przed złośliwymi atakami. Skuteczna obrona przed atakiem wymaga odpowiedniego zabezpieczenia wszystkich aspektów WordPressa.

Co to jest uwierzytelnianie dwuetapowe?

Uwierzytelnianie dwuskładnikowe (2FA) to rodzaj uwierzytelniania wieloskładnikowego (MFA), który wzmacnia bezpieczeństwo dostępu, wymagając dwóch metod weryfikacji w celu uwierzytelnienia Twojej tożsamości w systemie, w tym przypadku w witrynie WordPress. Czynniki te mogą obejmować informacje, które znasz, takie jak nazwa użytkownika lub adres e-mail i hasło, a także coś, co masz, na przykład dostęp do urządzenia za pomocą aplikacji uwierzytelniającej, aby Cię uwierzytelnić lub ustalić, kim jesteś. Aplikacje uwierzytelniające, takie jak Google Authenticator, generują jednorazowe hasło czasowe, które zmienia się z minuty na minutę.

Hasła to za mało

Uwierzytelnianie dwuskładnikowe ma coraz większe znaczenie, ponieważ ataki typu phishing, ataki socjotechniczne, ataki typu brute force i problemy z ponownym użyciem haseł oznaczają, że uwierzytelnianie za pomocą tylko jednego hasła po prostu nie wystarcza.

Z powodu takich problemów innowatorzy, tacy jak iThemes Security, dodali hasła umożliwiające logowanie bez hasła przy użyciu uwierzytelniania biometrycznego i kryptografii klucza prywatnego/publicznego, aby stworzyć bardziej wyrafinowane protokoły uwierzytelniania w celu ochrony systemów o znaczeniu krytycznym. Hasła są łamane, więc iThemes Security Pro był pierwszą wtyczką bezpieczeństwa WordPress, która umożliwia uwierzytelnianie bez hasła za pomocą haseł.

W przypadku kluczy dostępu przechowywanie kodów uwierzytelniania dwuskładnikowego nie stanowi problemu, ponieważ kryptografia klucza prywatnego/publicznego sprawia, że ​​zarówno hasła, jak i funkcja 2FA są przestarzałe.

Jeśli Twoja witryna WordPress naprawdę ma kluczowe znaczenie dla Twojej firmy lub organizacji, korzystanie z iThemes Security pokazuje Twoje zaangażowanie w zabezpieczenie tego zasobu. Upewnij się, że oferujesz bezproblemowe logowanie bez hasła i szyfrowane funkcje uwierzytelniania dwuskładnikowego, aby zademonstrować swoim interesariuszom zaangażowanie Twojej organizacji w implementacje witryn internetowych z dbałością o bezpieczeństwo.

Jeśli jeszcze nie korzystasz z iThemes Security Pro, możesz pobrać wersję Pro najlepszej dostępnej wtyczki bezpieczeństwa WordPress, kupując za pośrednictwem poniższego linku.

Najlepsza wtyczka bezpieczeństwa WordPress do zabezpieczania i ochrony WordPressa

WordPress obsługuje obecnie ponad 40% wszystkich stron internetowych, więc stał się łatwym celem dla hakerów o złych zamiarach. Wtyczka iThemes Security Pro eliminuje zgadywanie z zabezpieczeń WordPress, aby ułatwić zabezpieczenie i ochronę witryny WordPress. To tak, jakby zatrudniać pełnoetatowego eksperta ds. bezpieczeństwa, który stale monitoruje i chroni Twoją witrynę WordPress.

Uzyskaj iThemes Security Pro

Dziękuję Calvinowi Alkanowi za odpowiedzialne ujawnienie nam problemu .