รหัสผ่านเสีย WebAuthn เป็นมาตรฐานใหม่สำหรับการตรวจสอบสิทธิ์

เผยแพร่แล้ว: 2022-09-22

เมื่อเร็ว ๆ นี้ iThemes Security Pro ได้เพิ่มรหัสผ่านเป็นวิธีการรับรองความถูกต้องหลักสำหรับไซต์ WordPress การเปิดตัวที่แปลกใหม่นี้เป็นรุ่นแรกในพื้นที่ WordPress และเป็นสิ่งที่คุณควรทราบ อีกครั้งที่ iThemes Security ได้แสดงความเป็นผู้นำในการมอบฟังก์ชันความปลอดภัยที่ยอดเยี่ยมให้กับผู้ใช้ WordPress

ในโพสต์นี้ เราจะทบทวนปัญหารหัสผ่าน WebAuthn คืออะไร และทำไมคุณจึงเริ่มใช้เทคโนโลยีนี้ในทุกที่ หากคุณเป็นเจ้าของไซต์ WordPress ที่ต้องการปรับปรุงฟังก์ชันการเข้าสู่ระบบและความปลอดภัยสำหรับผู้ใช้ของคุณ ตอนนี้คุณมีมาตรฐานที่ทันสมัยสำหรับการเข้าสู่ระบบที่ปราศจากแรงเสียดทาน

การทำความเข้าใจปัญหารหัสผ่านที่ WebAuthn แก้ไขได้

ชีวิตออนไลน์ของเรา รวมถึงบัญชีผู้ใช้ที่ใช้โดย WordPress นั้นขึ้นอยู่กับการเข้าถึงชื่อผู้ใช้และรหัสผ่าน นี้เป็นอย่างดีในขณะที่ แต่แล้วรหัสผ่านที่ใช้ซ้ำ การโจมตีด้วยกำลังเดรัจฉานในพจนานุกรม และการแบ่งปันข้อมูลบัญชีที่ละเมิดโดยผู้ประสงค์ร้ายทำให้ระบบความปลอดภัยที่ใช้รหัสผ่านของเราไม่มีประสิทธิภาพ

อันที่จริง รายงาน DBIR ของ Verizon สำหรับปี 2022 รายงานว่า การละเมิดมากกว่า 80% มาจากข้อมูลประจำตัวที่ถูกขโมย และข้อมูลประจำตัวที่ถูกขโมยนั้น เพิ่มขึ้น 30% เป็นเวกเตอร์การบุกรุกหลัก เมื่อเทียบกับการแสวงหาประโยชน์จากช่องโหว่

ข้อมูลประจำตัวหมายถึงการรวมชื่อผู้ใช้/รหัสผ่าน และข้อมูลของ Verizon บอกเราอย่างหนึ่ง: รหัสผ่านใช้งานไม่ได้ การเพิ่มการรับรองความถูกต้องด้วยสองปัจจัย (2FA) นั้นมีประโยชน์ แต่น่าเสียดายที่ความเสียดทานและความซับซ้อนที่เพิ่มเข้าไปนั้นหมายความว่ามีผู้ใช้เพียง 28% เท่านั้นที่นำมาใช้ เราเข้าใจแล้ว 2FA เพิ่มความเสียดทานอีกชั้นหนึ่งสำหรับผู้โจมตี แต่ยังทำให้การเข้าสู่ระบบยากขึ้นสำหรับผู้ใช้เช่นกัน และในกรณีของ 2FA ที่ใช้ SMS นั้นไม่ปลอดภัยเพียงพอ เรื่องราวของการโจมตีพอร์ต SIM สำหรับเป้าหมายที่มีมูลค่าสูงนั้นไม่ใช่เรื่องธรรมดา แต่เป็นหายนะเมื่อเกิดขึ้น

พันธมิตร FIDO (Fast Identity Online) กำลังดำเนินการแก้ไขปัญหาเหล่านี้ และ WebAuthn เป็นข้อกำหนดที่ออกมาจากงานนั้น

ในขั้นตอนนี้ของชีวิตดิจิทัลของเรา รหัสผ่านถูกทำลาย โชคดีที่มีวิธีการรับรองความถูกต้องแบบใหม่และดีกว่า นั่นคือ WebAuthn

WebAuthn คืออะไร

WebAuthn ย่อมาจาก Web Authentication API นี่คือข้อกำหนดที่เขียนโดย W3C และ FIDO โดยมีส่วนร่วมของ Apple, Google, Mozilla, Microsoft, Yubico และอื่นๆ WebAuthn API ช่วยให้เซิร์ฟเวอร์ลงทะเบียนและตรวจสอบผู้ใช้โดยใช้การเข้ารหัสคีย์สาธารณะแทนรหัสผ่าน ตั้งแต่มกราคม 2019 WebAuthn ได้รับการสนับสนุนใน Chrome, Firefox, Microsoft Edge และ Safari ในขณะที่เขียนบทความนี้ WebAuthn ได้รับการสนับสนุนโดยอุปกรณ์และเบราว์เซอร์มากกว่า 90%

WebAuthn เป็นส่วนหนึ่งของเฟรมเวิร์ก FIDO2 ซึ่งเป็นชุดเทคโนโลยีที่เปิดใช้งานการพิสูจน์ตัวตนแบบไม่ต้องใช้รหัสผ่านระหว่างเซิร์ฟเวอร์ เบราว์เซอร์ และผู้ตรวจสอบสิทธิ์ WebAuthn ได้รับมาตรฐานโดย World Wide Web Consortium

ขณะนี้อุปกรณ์ของเราจำนวนมากใช้การรับรองความถูกต้องด้วยไบโอเมตริกซ์ เช่น FaceID บน iPhone หรือการจดจำลายนิ้วมือบน MacBook, Windows Hello และอื่นๆ อีกมากมาย เรามีวิธีการใหม่ในการพิจารณาว่าความพยายามในการเข้าสู่ระบบเป็นผู้ใช้ที่ถูกต้องหรือไม่ และไม่ใช่การโจมตีด้วยกำลังเดรัจฉาน

WebAuthn ทำงานอย่างไร

WebAuthn ใช้การเข้ารหัสคีย์สาธารณะเพื่อความปลอดภัยในการเชื่อมต่อระหว่างผู้ใช้และระบบที่ใช้ เมื่อใช้ WebAuthn คุณจะใช้วิธีการตรวจสอบสิทธิ์เพียงวิธีเดียว เช่น ไบโอเมตริกบนอุปกรณ์ของคุณหรือ YubiKey บนไซต์ใดก็ได้ที่รองรับมาตรฐาน ด้วยวิธีนี้ ในฐานะผู้ใช้ คุณไม่จำเป็นต้องมีรหัสผ่านสำหรับทุกไซต์ที่คุณเยี่ยมชม เพียงแค่มีเครื่องยืนยันตัวตนที่รัดกุมซึ่งทำงานร่วมกับ WebAuthn ได้

การใช้การพิสูจน์ตัวตนที่รัดกุมนี้แทนรหัสผ่าน เราสามารถสร้างคู่คีย์ส่วนตัวและสาธารณะสำหรับเว็บไซต์ได้ คีย์ส่วนตัวจะถูกเก็บไว้อย่างปลอดภัยบนอุปกรณ์ของคุณ (เช่น โทรศัพท์หรือคอมพิวเตอร์) และคีย์สาธารณะและข้อมูลประจำตัวที่สร้างแบบสุ่มจะถูกส่งไปยังเว็บเซิร์ฟเวอร์เพื่อจัดเก็บ เว็บเซิร์ฟเวอร์และในกรณีของ iThemes Security Passkeys ซึ่งเป็นไซต์ WordPress ของคุณ สามารถใช้กุญแจสาธารณะเพื่อยืนยันตัวตนของผู้ใช้ได้

กุญแจสาธารณะนี้ไม่ใช่ความลับ ดังนั้น หากเว็บเซิร์ฟเวอร์หรือไซต์ WordPress ถูกแฮ็ก ข้อมูลประจำตัวที่จัดเก็บด้วยกุญแจสาธารณะจะไม่มีประโยชน์สำหรับผู้โจมตี คีย์สาธารณะไม่สามารถใช้งานได้หากไม่มีคีย์ส่วนตัว

เพื่อให้เข้าใจว่า WebAuthn ทำงานอย่างไร โครงการ FIDO2 มีทรัพยากรที่ยอดเยี่ยม

WebAuthn เปลี่ยนแนวความปลอดภัย

WebAuthn เป็นนวัตกรรมใหม่ในโลกแห่งการรักษาความปลอดภัย ฐานข้อมูลไม่น่าสนใจสำหรับแฮกเกอร์อีกต่อไป เพราะกุญแจสาธารณะไม่มีประโยชน์สำหรับพวกเขา เช่นเดียวกัน WebAuthn ทำให้การขโมยข้อมูลรับรองทำได้ยากขึ้น

และสำหรับผู้ใช้ปลายทาง WebAuthn ไม่จำเป็นต้องจำชื่อผู้ใช้และรหัสผ่านหลายรายการ ตัวอย่างเช่น ผู้ใช้ทุกคนบน MacBook ต้องการลายนิ้วมือเพื่อลงชื่อเข้าใช้ไซต์ที่เปิดใช้งานด้วยรหัสผ่านความปลอดภัยของ iThemes

Apple ซึ่งใช้ WebAuthn ยังตั้งข้อสังเกตว่า WebAuthn ป้องกันการโจมตีแบบฟิชชิง การโจมตีแบบฟิชชิ่งที่ส่งอีเมลถึงผู้ใช้ที่มีลิงก์ไปยังหน้าจอเข้าสู่ระบบปลอมจะไม่มีผลหากไม่มีรหัสผ่าน ผู้ใช้ที่ใช้รหัสผ่านสำหรับการเข้าสู่ระบบบัญชีจะไม่มีแม้แต่รหัสผ่านสำหรับแบบฟอร์มฟิชชิ่งที่เป็นอันตราย การตรวจสอบสิทธิ์ได้รับการจัดการโดยสมบูรณ์โดยคีย์ส่วนตัวที่จัดเก็บไว้ในอุปกรณ์ของตนเพื่อสื่อสารกับคีย์สาธารณะที่จัดเก็บไว้ในเว็บเซิร์ฟเวอร์ WebAuthn แสดงผลทั้งการโจมตีแบบฟิชชิ่งแบบสุ่มและการโจมตีแบบสเปียร์ฟิชชิ่งแบบกำหนดเป้าหมายไม่ได้ผลอย่างสมบูรณ์

เกมความปลอดภัยมีการเปลี่ยนแปลงด้วย WebAuthn แม้ว่าอาจต้องใช้เวลาสักระยะกว่าการโจมตีแบบเดรัจฉานและการขโมยรหัสผ่านจึงจะดึงดูดผู้โจมตีที่ประสงค์ร้ายได้น้อยลง แต่เจ้าของไซต์เชิงรุกที่เลือกใช้ WebAuthn จะเป็นผู้นำในการรับรองว่าไซต์ของพวกเขาจะไม่เป็นส่วนหนึ่งของเกมอีกต่อไป

การเข้าสู่ระบบที่ราบรื่นทำให้ลูกค้ามีความสุขมากขึ้น

เจ้าของไซต์เหล่านี้ยังมอบคุณลักษณะที่มีคุณค่าเพิ่มเติมสำหรับผู้ใช้ ลูกค้า นักเรียน หรือใครก็ตามที่ลงชื่อเข้าใช้ไซต์ WordPress ของตน แทนที่จะต้องใช้โปรโตคอลการตรวจสอบสิทธิ์แบบหลายปัจจัยที่เต็มไปด้วยแรงเสียดทานเพื่อให้แน่ใจว่าไซต์ WordPress ยังคงปลอดภัย WebAuthn ที่ดำเนินการโดย iThemes Security ช่วยให้เจ้าของไซต์สามารถเข้าสู่ระบบแบบไม่ใช้รหัสผ่านได้ในขณะที่ทำให้ไซต์ของตนน่าสนใจน้อยลงสำหรับแฮกเกอร์

การใช้งาน WebAuthn เพิ่มเติมกำลังจะมา

คุณอาจมองว่าเทคโนโลยีนี้เปลี่ยนแปลงชีวิตอย่างไร และสงสัยว่าเหตุใดเว็บไซต์ บริการ และแอปจึงไม่ใช้ WebAuthn มากขึ้น แม้ว่าเทคโนโลยีนี้จะก้าวล้ำ แต่ก็ยังใหม่มาก การเพิ่ม WebAuthn ให้กับบริการเดิมจะต้องมีการปรับโครงสร้างใหม่ แต่อย่างที่เราได้เห็นกับเทคโนโลยีใหม่ๆ มากมายที่เปลี่ยนภูมิทัศน์ มันกำลังจะมา ความจำเป็นในการก้าวข้ามรหัสผ่านคือตัวขับเคลื่อนที่ชัดเจน และเนื่องจากผู้ใช้จำนวนมากขึ้นประสบกับความสามารถในการเข้าสู่ระบบที่ราบรื่น เราจะเริ่มเห็นคำขอของผู้ใช้เพื่อขยายการเข้าสู่ระบบแบบไม่ใช้รหัสผ่าน

ด้วยวิธีนี้ iThemes Security ได้ประสานตัวเองในฐานะผู้นำด้านความปลอดภัยของ WordPress โดยเปลี่ยนโฉมหน้าของการเข้าสู่ระบบของผู้ใช้ WordPress รหัสผ่านความปลอดภัยของ iThemes คือการใช้งาน WebAuthn ครั้งแรกในพื้นที่ WordPress และมันจะเป็นมาตรฐานในอนาคตอย่างแน่นอน

หากต้องการรับ iThemes Security Passkeys สำหรับไซต์ WordPress ของคุณตอนนี้ คุณจะต้องมี iThemes Security Pro โชคดีที่คุณสามารถรับสิ่งนี้ได้ในราคาลดพิเศษ คุณจะไม่เห็นราคาต่ำเหล่านี้เป็นเวลานานอย่างไรก็ตาม การขายสิ้นสุดวันที่ 30 กันยายน 2022

รับรหัสผ่านความปลอดภัยของ iThemes สำหรับเว็บไซต์ของคุณ

Kathy Zant

Kathy เป็นผู้จัดการฝ่ายการตลาดผลิตภัณฑ์ของ Kadence ที่ StellarWP และทำงานกับ WordPress มานานกว่าทศวรรษ เธอมีประสบการณ์ทั้งด้านเทคนิคและการตลาด และเคยร่วมงานกับแบรนด์ต่างๆ มากมายในพื้นที่ WordPress เธอได้ช่วยองค์กรมากมายให้อำนาจธุรกิจของตนกับ WordPress เธอช่วยจัดระเบียบทั้ง WordCamp Phoenix และ WCUS ปัจจุบันเธออาศัยอยู่นอกเมืองเดนตัน รัฐเท็กซัส ที่ซึ่งเธอมักจะพบว่าเธอกำลังเดินสุนัขจำพวกทองหรือห้อยอยู่ในโรงม้า