Autenticação de dois fatores e WordPress

Publicados: 2022-08-26

A autenticação de dois fatores (2FA) é uma medida de segurança que solicita que um usuário forneça uma informação que somente ele conhece antes de fazer login em um serviço.

Você pode ver 2FA sob vários nomes, como autenticação multifator (MFA), autenticação de fator duplo ou verificação em duas etapas. O 2FA é amplamente usado especialmente em situações em que a segurança é especialmente importante, como para bancos online.

O significado do 2FA

Você pode ter ouvido falar de um tipo de ataque online chamado ataque de 'força bruta'. Estes são muito comuns e envolvem um bot automatizado que tenta adivinhar o nome de usuário e a senha de um usuário em um site. Tentativas repetidas de login são feitas até que o acesso seja obtido. Esses tipos de ataques são relativamente fáceis de mitigar, bloqueando o acesso a uma página de login quando são feitas tentativas repetidas e malsucedidas.

Mas o que acontece se o bot 'tiver sorte' e conseguir fazer o login antes que um número predefinido de tentativas malsucedidas seja alcançado? Ou, mais provavelmente, como os logins maliciosos em sites e aplicativos podem ser impedidos por usuários que roubaram credenciais de login? O último é um problema específico, com apenas um dia sem que uma empresa de alto perfil relate uma violação de dados que pode ou não ter comprometido alguns dos dados de seus clientes.

Uma maneira mais robusta de garantir que você e somente você possa fazer login em um site/aplicativo/conta é usando um sistema chamado Autenticação de dois fatores.

Como funciona a autenticação de dois fatores?

A autenticação de dois fatores funciona exigindo que o usuário insira não apenas seu nome de usuário e senha no login, mas também uma segunda informação que é gerada separadamente e que varia continuamente. Isso normalmente está na forma de um código de 6 dígitos enviado via SMS para o celular do usuário. A ideia por trás disso é que apenas o usuário genuíno terá acesso a este dispositivo, frustrando as tentativas de login realizadas por força bruta ou como resultado de uma violação de dados que revele nomes de usuário e senhas.

Desde o início do 2FA, os aplicativos de autenticação se tornaram mais predominantes. Em vez de usar mensagens SMS para enviar códigos de acesso únicos aos usuários, um aplicativo instalado nos dispositivos do usuário gera códigos aleatórios. Isso é reconhecido como ainda mais seguro como método de autenticação, pois elimina a possibilidade de uma mensagem SMS ser interceptada ou um número de celular ser clonado ou falsificado.

Opções do aplicativo de autenticação

Existem muitos aplicativos excelentes de autenticação de dois fatores que podem ser usados ​​para gerar os códigos de login necessários.

Se você possui um dispositivo Android, pode escolher entre Google Authenticator, Microsoft Authenticator, Twilio Authy, Cisco Duo Mobile, FreeOTP e muito mais.

No iOS 15, alguns dos aplicativos mais populares são Google Authenticator, Twilio Authy, OTP auth, Step Two, Microsoft Authenticator, FreeOTP e o autenticador integrado do iOS.

No Windows, você pode usar os aplicativos autenticadores WinAuth e Twilio Authy, entre outros.

No macOS, algumas das opções são Step Two, autenticação OTP (somente na versão paga) e Twilio Authy.

Autenticação de dois fatores em seu site WordPress

Não são apenas os sites bancários que podem se beneficiar do 2FA… seu próprio site WordPress também pode! Os hackers adoram segmentar praticamente qualquer CMS e o WordPress não é exceção. Usar o provedor de hospedagem certo e garantir que seu site seja mantido atualizado pode ajudar bastante a frustrar qualquer tentativa de invasão. Adicionar 2FA ao seu site WordPress torna ainda mais difícil para usuários não autorizados acessarem seu site.

Hospede seu site com a Pressidium

GARANTIA DE DEVOLUÇÃO DO DINHEIRO DE 60 DIAS

VEJA NOSSOS PLANOS

Por ser o WordPress, você encontrará excelentes plugins que podem ajudá-lo a configurar o 2FA de maneira rápida e fácil. Vamos dar uma olhada em alguns.

O plug-in WP 2FA

Autenticação de dois fatores, plugin WordPress: O plugin WP 2FA

O plugin WP 2FA – Autenticação de dois fatores é uma solução popular. Depois de instalar e ativar o plugin WP 2FA, você verá esta tela:

Autenticação de dois fatores, plugin WordPress: O assistente de plugin WP 2FA

Siga o assistente, ele irá orientá-lo na configuração de todas as opções necessárias e muito mais:

  • Os principais métodos 2FA que você permitirá que os usuários escolham.
  • As opções sobre se você deseja forçar o 2FA em todos ou alguns usuários ou funções.
  • O período de carência durante o qual os usuários terão que configurar o 2FA.
  • A configuração da autenticação 2FA.

Pule o assistente e você pode encontrar todas essas configurações no menu do plugin e na seção extra que é adicionada na parte inferior da tela de administração do seu perfil (em Usuários > Perfil).

Autenticação de dois fatores, plugin WordPress: As configurações de administração do plugin WP 2FA

O plug-in também permite que você escolha se deseja que todos os dados relacionados ao 2FA sejam excluídos do banco de dados após a desinstalação do plug-in.

O plug-in de dois fatores

O plugin Two-Factor desenvolvido por Plugin Contributors é um plugin fácil de usar que é rápido de configurar.

Ele adiciona uma seção em Usuários > Seu Perfil, onde você pode habilitar os métodos de autenticação e selecionar qual será o principal. Existem configurações disponíveis para códigos de autenticação de e-mail, senha única baseada em tempo (TOTP), chaves de segurança FIDO U2F e códigos de verificação de backup.

As opções de plug-in de dois fatores

O plug-in também oferece uma lista de ganchos de ação e filtro que podem ser úteis para os desenvolvedores.

O plug-in do Google Authenticator

O plug-in Google Authenticator é outro plug-in 2FA popular que pode ser utilizado para aprimorar a segurança do seu site WordPress. Este plug-in totalmente gratuito oferece uma ampla variedade de opções de autenticação de dois fatores, incluindo SMS e, claro, usando o aplicativo Google Authenticator. Muito pouco tempo ou esforço é necessário para obter essa configuração. Ao ativar o plug-in, você verá algumas opções na tela que podem ser configuradas em Configurações > Google Authenticator.

As configurações do Google Authenticator

Basta escolher as funções às quais o 2FA será aplicado e salvar as configurações. Bem fácil.

2FA – O Painel do Pressidium

Para ajudar ainda mais a proteger seus sites WordPress, você pode optar por ativar o 2FA para o seu login no Dashboard. Confira nosso artigo da KB sobre esse recurso.

Autenticação de dois fatores Pressidium

Conclusão

Para sites importantes, o 2FA deve agora ser considerado obrigatório. Se você recebeu a opção de adicionar 2FA a qualquer uma de suas contas, mas optou por não fazer isso, pode valer a pena pensar novamente! Para sites WordPress, habilitar o login 2FA é muito fácil. Com pouco a perder, por que não tornar ainda mais difícil para um hacker arruinar seu dia (bem, pelo menos seu site!).