Понимание рисков совместного доступа к логину в WordPress

Несмотря на то, что это большая проблема с безопасностью, совместное использование логина в WordPress происходит чаще, чем можно подумать. Как следует из самого термина, совместное использование логина — это практика, когда пользователи делятся своей регистрационной информацией с другими пользователями. В недавнем опросе колоссальные 49% пользователей признались, что делились своими учетными данными для входа в бизнес, при этом молодые пользователи (16–24 года) более беззаботно делились своими регистрационными данными, чем представители старшей когорты (55 лет и старше).

Хотя вы можете подумать, что этого не происходит на вашем веб-сайте WordPress, многие администраторы склонны недооценивать масштабы совместного использования паролей. Без контроля может быть довольно сложно понять, делится ли кто-либо из вашей команды своими логинами. Люди редко признаются в совместном использовании паролей, однако совместное использование логинов происходит и может привести ко многим проблемам и проблемам безопасности WordPress.

Почему пользователи делятся своими логинами?

Хотя могут быть законные причины, по которым пользователям может потребоваться делиться данными для входа, лучшие практики говорят нам, что у каждого пользователя должна быть собственная учетная запись. Пользователи делятся информацией для входа по нескольким причинам. Очень распространенной причиной является доступ к учетным записям в социальных сетях или общедоступным адресам электронной почты, где многим людям может потребоваться публиковать сообщения и выполнять запросы о действиях. Другие причины включают в себя:

Целесообразность: у вас есть работа, которую нужно сделать сейчас. Отправка запроса в службу поддержки на создание другой учетной записи пользователя приведет к задержке.

Стоимость: поскольку мы используем больше облачных сервисов подписки, добавление большего количества пользователей может повлечь за собой дополнительные расходы. Это делает совместное использование логина особенно заманчивым, если потребность носит временный характер.

Управление: с точки зрения управления, бизнеса и операций, чем меньше счетов в управлении, тем легче работа.

Проблемы безопасности, вызванные совместным использованием логина

Для многих обмен своим логином — это просто еще одно занятие, которое они делают на работе. Несмотря на то, что пользователи делятся своими логинами без злого умысла, практика совместного использования учетных данных для входа сопряжена с рядом рисков безопасности.

Утечка учетных данных

Предоставление ваших логинов WordPress надежному другу или коллеге на первый взгляд может показаться безобидным. Тем не менее, вы должны спросить себя, будут ли они так же осторожны с вашими данными, как и со своими? Кроме того, если вы используете один и тот же пароль для нескольких учетных записей; вы ставите под угрозу не только общую учетную запись, но и потенциально все остальные учетные записи.

Соответственно, отказ от ваших учетных данных может привести к утечке ваших учетных данных внутри и за пределами бизнеса.

Поощряет использование слабых паролей

Более 80% успешных попыток взлома основаны на слабых паролях, с использованием грубой силы или украденных учетных данных. Если существует культура обмена паролями, эти пароли неизбежно будут слабыми и легко запоминающимися.

Злоупотребление услугами

Когда дело доходит до безопасности WordPress, принцип наименьших привилегий — один из лучших инструментов, которые администраторы могут использовать для поддержания высокого уровня защиты. Это означает, что учетная запись каждого человека будет иметь определенные привилегии для выполнения задач, необходимых для работы. Таким образом, не все учетные записи одинаковы, как и не все роли в бизнесе. Некоторые учетные записи будут иметь больше привилегий и доступ к большему количеству информации, чем другие.

Благодаря совместному использованию логина каждый, кто знает учетные данные, будет иметь доступ ко всем привилегиям этой учетной записи, независимо от уровня доступа, который у них должен быть. Это потенциально может позволить им получить доступ к функциям и данным, к которым у них обычно нет доступа. Это может привести к утечке данных и нарушению таких правил, как GDPR, PCI DSS и других.

Ответственность пользователей

Индивидуальные учетные записи назначают ответственность за действия, кто что сделал и когда.

По тому же принципу каждый кассир имеет отдельный кассовый ящик, который убирается по окончании смены. Если бы эти денежные ящики были общими и возник дефицит, как бы вы определили, кто несет ответственность? В этой ситуации под подозрение попадут все, кто имеет доступ к этому розыгрышу, вне зависимости от того, произошло это на их часах или нет.

То же самое относится и к веб-сайтам WordPress. Как бы вы определили, кто утвердил заказ, возмещение или ошибочно изменил список товаров или цену? Если ошибка будет обнаружена, кто будет нести ответственность? Как бы вы доказали свою невиновность?

Что вы можете сделать, чтобы прекратить совместное использование логина?

Воспитывать , поощрять , заставлять .

Если вы еще этого не сделали, убедитесь, что у вас есть политика управления паролями, которая препятствует совместному использованию входа в систему. Вы также должны убедиться, что команда знает о ваших нормативных обязательствах и о том, как они все могут сыграть роль в соблюдении этих требований.

Информируйте сотрудников о потенциальных опасностях раскрытия конфиденциальных данных для входа не только для бизнеса, но и для них самих. Предположим, произошла кража данных и в дело вмешались правоохранительные органы. В этом случае они, несомненно, будут смотреть, кто к чему обращался, проверяя журналы на наличие учетных записей пользователей.

Основной движущей силой, которая побуждает пользователей делиться данными для входа в свою учетную запись, является то, что это легко сделать и можно сделать прямо сейчас, поэтому работа может быть выполнена. Нет никакой зависимости от третьей стороны, такой как служба поддержки, или каких-либо последующих задержек.

Оптимизируйте процесс управления учетными записями, сделав его доступным и эффективным. Вы также можете убедиться, что команда службы поддержки осведомлена о передовых методах обеспечения безопасности и нормативно-правовой базы и уполномочена отстаивать их во всей организации.

Вам доступно несколько технологических решений, позволяющих обеспечить соблюдение политик паролей и предотвратить совместное использование логинов. Например:

Применяйте и используйте надежные пароли

Существенным недостатком совместного использования паролей является то, что они всегда будут слабыми, поэтому их легко запомнить и, возможно, записать на стикерах, что сделает их доступными для всех, кто их увидит. Принуждая пользователей использовать надежные пароли, вы отговариваете их от совместного использования учетных данных.

Плагины, такие как WPassword, значительно упрощают весь процесс. ИТ-отдел дает вам полный контроль над реализацией, помогая достичь правильного баланса между безопасностью и удобством использования.

Используйте менеджеры паролей

Простого применения надежных паролей недостаточно. Вы должны помочь своим пользователям управлять своими паролями. Внедряйте и поощряйте использование менеджеров паролей, чтобы ваши пользователи могли
храните свои сложные пароли в надежном месте, не запоминая каждый из них.

Используйте двухфакторную аутентификацию

Двухфакторная аутентификация (2FA) добавляет еще один уровень безопасности при очень низких административных затратах. Через 2FA пользователям необходимо пройти вторую аутентификацию с помощью вторичного фактора, причем OTP (одноразовый пароль) является одним из наиболее часто используемых методов.

Внедряя 2FA и OTP, пользователи, пытающиеся войти в свою учетную запись, должны иметь доступ к своему смартфону или электронной почте, помимо знания имени пользователя и пароля. Поскольку срок действия OTP истекает каждые 30 секунд, обмен паролями становится очень сложным, что в конечном итоге упрощает простой запрос новой учетной записи.

Внедрить 2FA для вашего сайта WordPress проще, чем вы думаете. Плагины, такие как WP 2FA, предлагают удобные мастера и широкие возможности совместимости, чтобы упростить весь процесс.

Отслеживайте активность пользователей

Следите за тем, кто и к чему обращается на вашем веб-сайте с помощью плагина журнала активности. Подробный журнал активности в режиме реального времени даст вам полную информацию обо всех действиях, выполняемых на ваших веб-сайтах WordPress. Журналы действий имеют основополагающее значение для хорошей практики безопасности и будут иметь большое значение для выполнения ваших обязательств по соответствию.

Что делать, если вам все еще нужно поделиться своими данными для входа?

Если вам по какой-либо причине необходимо поделиться учетными данными, то:

1. Убедитесь, что это ограничено только теми, которым действительно требуется доступ, и что доступ является временным. После завершения сеанса обмена сбросьте пароль.
2. Используйте менеджер паролей, который поддерживает общую общедоступную базу данных. Большинство онлайн-менеджеров паролей позволяют это; у вас может быть собственная база данных и база данных с учетными данными, которыми могут пользоваться другие люди.
3. Сообщите пароль в устной форме или отправьте части учетных данных по разным каналам, например, половину по Skype, половину по зашифрованной электронной почте или по другому защищенному каналу обмена сообщениями.

Очень важно; в конце сеанса или требуемого доступа всегда сбрасывайте пароль.

Не сообщайте данные для входа

В заключение, обмен учетными данными никогда не бывает хорошим. Вы должны активно препятствовать этой практике, предупреждая всех своих пользователей о вашей политике. Кроме того, используйте доступные вам инструменты и решения, которые помогут вам обеспечить соблюдение вашей политики.