Parolele sunt sparte. WebAuthn este noul standard pentru autentificare

Recent, iThemes Security Pro a adăugat cheile de acces ca metodă principală de autentificare pentru site-urile WordPress. Această versiune revoluționară este prima de acest gen în spațiul WordPress și este ceva despre care ar trebui să știți. Încă o dată, iThemes Security a demonstrat lider în furnizarea de funcționalități de securitate excepționale utilizatorilor WordPress.

În această postare, vom analiza problema parolei, ce este WebAuthn și de ce veți începe să utilizați această tehnologie peste tot. Dacă sunteți proprietarul unui site WordPress care dorește să îmbunătățească funcționalitatea de conectare și securitate pentru utilizatorii dvs. finali, acum aveți la dispoziție standardul de ultimă oră pentru conectări fără fricțiuni.

Înțelegerea problemei parolei pe care o rezolvă WebAuthn

Viețile noastre online, inclusiv conturile de utilizator utilizate de WordPress, s-au bazat pe accesul cu numele de utilizator și parola. Asta a fost bine pentru o vreme. Dar apoi parolele reutilizate, atacurile de forță brută din dicționar și partajarea datelor de cont încălcate de către actori rău intenționați au făcut sistemul nostru de securitate bazat pe parole ineficient.

De fapt, Raportul Verizon DBIR pentru 2022 raportează că peste 80% dintre încălcări pot fi atribuite acreditărilor furate și a existat o creștere cu 30% a acreditărilor furate ca vector primar de intruziune față de exploatarea vulnerabilităților.

Acreditările se referă la combinația nume de utilizator/parolă. Și datele Verizon ne spun un lucru: parolele sunt sparte. Adăugarea autentificării cu doi factori (2FA) a fost utilă, dar, din păcate, frecarea și complexitatea pe care le adaugă au făcut ca aceasta să fie adoptată doar de 28% dintre utilizatori. Am luat; 2FA adaugă un alt strat de frecare pentru atacatori, dar face și conectarea mai dificilă și pentru utilizatori. Și în cazul 2FA bazat pe SMS, pur și simplu nu este suficient de sigur. Poveștile despre atacurile portului SIM pentru ținte de mare valoare nu sunt obișnuite, dar sunt catastrofale atunci când apar.

Alianța FIDO (Fast Identity Online) a lucrat pentru a remedia aceste probleme, iar WebAuthn este specificația care a rezultat din această activitate.

În această etapă a vieții noastre digitale, parolele sunt sparte. Din fericire, există o modalitate nouă și mai bună de autentificare și aceasta este WebAuthn.

Ce este WebAuthn?

WebAuthn este prescurtarea pentru Web Authentication API. Aceasta este o specificație scrisă de W3C și FIDO, cu participarea Apple, Google, Mozilla, Microsoft, Yubico și alții. API-ul WebAuthn permite serverelor să înregistreze și să autentifice utilizatorii folosind criptografia cu cheie publică în loc de o parolă. Din ianuarie 2019, WebAuthn este acceptat pe Chrome, Firefox, Microsoft Edge și Safari. La momentul scrierii acestui articol, WebAuthn este acceptat de peste 90% dintre dispozitive și browserele acestora.

WebAuthn face parte din cadrul FIDO2, care este un set de tehnologii care permit autentificarea fără parolă între servere, browsere și autentificatoare. WebAuthn a fost standardizat de World Wide Web Consortium.

Acum, că atât de multe dintre dispozitivele noastre folosesc autentificare biometrică, cum ar fi FaceID pe iPhone sau recunoașterea amprentei pe MacBook, Windows Hello și multe altele, avem o nouă metodă de a determina dacă o încercare de conectare este sau nu un utilizator valid. și nu un atac de forță brută.

Cum funcționează WebAuthn?

WebAuthn folosește criptografia cu cheie publică pentru a securiza conexiunile dintre utilizatori și sistemele pe care le folosesc. Folosind WebAuthn, puteți utiliza o singură metodă de autentificare, cum ar fi datele biometrice de pe dispozitivele dvs. sau o YubiKey, pe orice site care acceptă standardul. În acest fel, ca utilizator, nu trebuie să aveți parole pentru fiecare site pe care îl vizitați, ci doar un autentificator puternic care funcționează cu WebAuthn.

Folosind această autentificare puternică în loc de o parolă, putem crea o pereche de chei public-privată pentru un site web. Cheia privată este stocată în siguranță pe dispozitivul dvs. (de exemplu, telefonul sau computerul), iar cheia publică și acreditările generate aleatoriu sunt trimise serverului web pentru stocare. Serverul web și, în cazul iThemes Security Passkeys, site-ul dvs. WordPress, pot folosi cheia publică pentru a verifica identitatea utilizatorului.

Această cheie publică nu este un secret. Ca atare, dacă serverul web sau site-ul WordPress este piratat vreodată, acreditările stocate cu cheia publică sunt inutile pentru un atacator. Pur și simplu, cheia publică nu poate fi folosită fără cheia privată.

Pentru a înțelege cum funcționează de fapt WebAuthn, proiectul FIDO2 are câteva resurse excelente.

WebAuthn schimbă peisajul securității

WebAuthn este într-adevăr revoluționar în lumea securității. Bazele de date nu mai sunt la fel de atractive pentru hackeri, deoarece cheile publice nu le sunt utile. De asemenea, WebAuthn face furtul de acreditări mai dificil.

Și pentru utilizatorii finali, WebAuthn elimină nevoia de a-și aminti mai multe nume de utilizator și parole. Tot ce are nevoie un utilizator de pe un MacBook, de exemplu, este amprenta sa pentru a se conecta la site-ul său activat cu cheile de securitate iThemes.

Apple, care a implementat WebAuthn, observă, de asemenea, că WebAuthn protejează împotriva atacurilor de tip phishing. Un atac de tip phishing care trimite e-mail utilizatorilor cu link-uri către ecrane de conectare false nu ar fi eficient fără parole. Un utilizator care folosește cheile de acces pentru autentificarea contului nu ar avea nici măcar o parolă pe care să o furnizeze unui formular de phishing rău intenționat. Autentificarea este gestionată complet de cheia privată stocată pe dispozitivul lor, comunicând cu cheia publică stocată pe serverul web. WebAuthn face ca atât atacurile de phishing aleatoare, cât și atacurile de tip spearphishing direcționate să fie complet ineficiente.

Jocul de securitate s-a schimbat cu WebAuthn. Deși poate dura ceva timp pentru ca atacurile cu forță brută și furtul de parole să devină mai puțin atractive pentru atacatorii rău intenționați, proprietarii proactivi de site-uri care aleg să implementeze WebAuthn vor fi lideri în a se asigura că site-urile lor nu mai fac parte din joc.

Conectările fără fricțiuni fac clienții mai fericiți

Acești proprietari de site-uri oferă, de asemenea, o funcție suplimentară valoroasă pentru utilizatorii lor, clienții, studenții sau oricine se conectează la site-urile lor WordPress. În loc să solicite protocoale de autentificare multifactor pline de frecare pentru a se asigura că site-ul WordPress rămâne securizat, WebAuthn implementat de iThemes Security permite proprietarilor de site-uri să ofere o autentificare fără frecare și fără parolă, făcând site-ul lor mult mai puțin atractiv pentru hackeri.

Urmează mai multe implementări ale WebAuthn

S-ar putea să vă uitați la cât de schimbătoare este această tehnologie și să vă întrebați de ce mai multe site-uri, servicii și aplicații nu folosesc WebAuthn. Deși această tehnologie este inovatoare, este și foarte nouă. Adăugarea WebAuthn la serviciile vechi va necesita o refactorizare. Dar, așa cum am văzut cu multe tehnologii noi care schimbă peisajul, acesta vine. Necesitatea de a trece dincolo de parole este un factor sigur. Și, pe măsură ce mai mulți utilizatori se confruntă cu capabilități de conectare fără fricțiuni, vom începe să vedem cererile utilizatorilor de a avea conectări fără parolă extinse.

În acest fel, iThemes Security s-a consolidat ca lider în securitatea WordPress, schimbând fața modului în care utilizatorii WordPress se autentifică. iThemes Security Passkeys este prima implementare a WebAuthn în spațiul WordPress și, cu siguranță, va fi standardul în viitor.

Pentru a obține acum cheile de securitate iThemes pentru site-ul dvs. WordPress, veți avea nevoie de iThemes Security Pro. Din fericire, în prezent îl puteți obține la un preț redus. Cu toate acestea, nu veți vedea aceste prețuri mici pentru mult timp. Vânzarea se încheie pe 30 septembrie 2022.

Kathy Zant

Kathy este manager de marketing de produse pentru Kadence la StellarWP și lucrează cu WordPress de peste un deceniu. Are experiență atât tehnică, cât și de marketing și a lucrat cu o serie de mărci în spațiul WordPress. Ea a ajutat numeroase organizații să-și dezvolte afacerile cu WordPress. Ea a ajutat la organizarea WordCamp Phoenix și WCUS. În prezent, locuiește în afara orașului Denton, TX, unde poate fi adesea găsită plimbând golden retrievers sau petrecându-se în hambare de cai.