ทำความเข้าใจกับความเสี่ยงของการแชร์ล็อกอินบน WordPress
เผยแพร่แล้ว: 2021-11-03แม้ว่าจะเป็นการรักษาความปลอดภัยครั้งใหญ่ก็ตาม แต่การแชร์ข้อมูลเข้าสู่ระบบบน WordPress นั้นเกิดขึ้นบ่อยกว่าที่คุณคิด ตามคำกล่าวนี้ การแบ่งปันการเข้าสู่ระบบเป็นแนวทางปฏิบัติของผู้ใช้ที่แบ่งปันข้อมูลการเข้าสู่ระบบของตนกับผู้ใช้รายอื่น ในการสำรวจเมื่อเร็วๆ นี้ ผู้ใช้จำนวน 49% ยอมรับว่าแบ่งปันรายละเอียดการเข้าสู่ระบบธุรกิจของตน โดยที่ผู้ใช้ที่อายุน้อยกว่า (16-24 ปี) ไม่ต้องกังวลเกี่ยวกับการแบ่งปันรายละเอียดการเข้าสู่ระบบมากกว่าผู้ใช้ในกลุ่มที่มีอายุมากกว่า (55 ปีขึ้นไป)
แม้ว่าคุณอาจคิดว่าสิ่งนี้ไม่ได้เกิดขึ้นบนเว็บไซต์ WordPress ของคุณ แต่ผู้ดูแลระบบจำนวนมากมักจะประเมินขนาดการแชร์รหัสผ่านต่ำเกินไป หากไม่มีการควบคุม ก็อาจเป็นเรื่องยากที่จะเข้าใจว่ามีใครในทีมของคุณแชร์ข้อมูลการเข้าสู่ระบบของพวกเขาหรือไม่ ผู้คนไม่ค่อยยอมรับการแชร์รหัสผ่าน แต่การแชร์การเข้าสู่ระบบกำลังเกิดขึ้นและอาจนำไปสู่ปัญหามากมายและปัญหาด้านความปลอดภัยของ WordPress
เหตุใดผู้ใช้จึงแชร์ข้อมูลเข้าสู่ระบบของตน
แม้ว่าอาจมีสาเหตุที่ถูกต้องตามกฎหมายว่าทำไมผู้ใช้อาจต้องแชร์รายละเอียดการเข้าสู่ระบบ แนวทางปฏิบัติที่ดีที่สุดบอกเราว่าผู้ใช้แต่ละคนควรมีบัญชีของตนเอง ผู้ใช้แบ่งปันข้อมูลการเข้าสู่ระบบด้วยเหตุผลหลายประการ การเข้าถึงบัญชีโซเชียลมีเดียหรือที่อยู่อีเมลที่เปิดเผยต่อสาธารณะ ซึ่งหลายคนอาจต้องโพสต์และดำเนินการตามคำขอเป็นเหตุผลทั่วไป เหตุผลอื่นๆ ได้แก่:
Expediency: คุณมีงานที่ต้องทำตอนนี้ การส่งคำขอให้ฝ่ายช่วยเหลือสร้างบัญชีผู้ใช้อื่นจะทำให้เกิดความล่าช้า
ค่าใช้จ่าย: เนื่องจากเราใช้บริการสมัครสมาชิกบนคลาวด์มากขึ้น อาจมีค่าใช้จ่ายเพิ่มเติมที่เกี่ยวข้องในการเพิ่มผู้ใช้มากขึ้น สิ่งนี้ทำให้การแชร์การเข้าสู่ระบบน่าดึงดูดเป็นพิเศษหากจำเป็นเพียงชั่วคราว
การจัดการ: จากมุมมองของการจัดการ ธุรกิจ และการปฏิบัติการ ยิ่งมีบัญชีให้จัดการน้อยลง งานก็จะยิ่งง่ายขึ้น
ปัญหาด้านความปลอดภัยที่เกิดจากการแชร์ล็อกอิน
สำหรับหลายๆ คน การแบ่งปันข้อมูลเข้าสู่ระบบเป็นอีกสิ่งหนึ่งที่พวกเขาทำในที่ทำงาน แม้ว่าผู้ใช้จะแบ่งปันข้อมูลการเข้าสู่ระบบของตนโดยไม่ได้ตั้งใจ แต่การแบ่งปันข้อมูลรับรองการเข้าสู่ระบบก็มีความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้องหลายประการ
ข้อมูลประจำตัวรั่วไหล
การให้ข้อมูลเข้าสู่ระบบ WordPress ของคุณกับเพื่อนหรือเพื่อนร่วมงานที่เชื่อถือได้อาจดูไม่มีพิษมีภัยในแวบแรก อย่างไรก็ตาม คุณควรถามตัวเองว่าพวกเขาจะระมัดระวังรายละเอียดของคุณเหมือนกับของพวกเขาเองหรือไม่? นอกจากนี้ หากคุณใช้รหัสผ่านเดียวกันในหลายบัญชี คุณไม่เพียงแต่ทำให้บัญชีที่แชร์อยู่ภายใต้การคุกคามเท่านั้น แต่อาจรวมถึงบัญชีอื่นๆ ทั้งหมดด้วย
ดังนั้น การสละข้อมูลประจำตัวของคุณเสี่ยงต่อข้อมูลประจำตัวของคุณรั่วไหลภายในและภายนอกธุรกิจ
ส่งเสริมการใช้รหัสผ่านที่ไม่รัดกุม
กว่า 80% ของความพยายามแฮ็คที่ประสบความสำเร็จใช้ประโยชน์จากรหัสผ่านที่อ่อนแอ โดยใช้การโจมตีแบบเดรัจฉานหรือข้อมูลประจำตัวที่ถูกขโมย หากมีวัฒนธรรมการแบ่งปันรหัสผ่าน รหัสผ่านเหล่านี้จะอ่อนแอและจดจำได้ง่ายอย่างหลีกเลี่ยงไม่ได้
การใช้บริการในทางที่ผิด
เมื่อพูดถึงความปลอดภัยของ WordPress หลักการของสิทธิ์ขั้นต่ำคือหนึ่งในเครื่องมือที่ดีที่สุดที่ผู้ดูแลระบบสามารถใช้เพื่อรักษาระดับการป้องกันในระดับสูง ซึ่งหมายความว่าบัญชีของแต่ละคนจะมีสิทธิ์เฉพาะเพื่อทำงานที่จำเป็นสำหรับงาน ด้วยเหตุนี้ บัญชีบางบัญชีจึงไม่ได้ถูกสร้างขึ้นมาเท่ากัน เนื่องจากไม่ใช่ทุกบทบาทในธุรกิจที่เท่าเทียมกัน บางบัญชีจะมีสิทธิ์และเข้าถึงข้อมูลได้มากกว่าบัญชีอื่นๆ
ด้วยการแบ่งปันการเข้าสู่ระบบ ทุกคนที่มีความรู้เกี่ยวกับข้อมูลประจำตัวจะสามารถเข้าถึงสิทธิ์ทั้งหมดของบัญชีนั้นได้ โดยไม่คำนึงถึงระดับการเข้าถึงที่พวกเขาควรมี ซึ่งอาจทำให้พวกเขาเข้าถึงฟังก์ชันและข้อมูลที่พวกเขาอาจไม่สามารถเข้าถึงได้ตามปกติ ซึ่งอาจนำไปสู่การรั่วไหลของข้อมูลและการละเมิดกฎระเบียบ เช่น GDPR, PCI DSS และอื่นๆ
ความรับผิดชอบของผู้ใช้
บัญชีส่วนบุคคลกำหนดความรับผิดชอบในการดำเนินการ ใครทำอะไร และเมื่อใด
เป็นไปตามหลักการเดียวกันที่ว่าทำไมผู้ดำเนินการชำระเงินแต่ละรายมีลิ้นชักเก็บเงินแยกกัน ซึ่งจะถูกลบออกเมื่อกะสิ้นสุด ถ้าลิ้นชักเก็บเงินเหล่านี้ถูกใช้ร่วมกันและขาดดุล คุณจะตัดสินได้อย่างไรว่าใครรับผิดชอบ? ในสถานการณ์นี้ ทุกคนที่มีสิทธิ์เข้าถึงการจับรางวัลนี้จะตกอยู่ภายใต้ความสงสัย ไม่ว่าจะเกิดขึ้นบนนาฬิกาของพวกเขาหรือไม่ก็ตาม
เช่นเดียวกับเว็บไซต์ WordPress คุณจะทราบได้อย่างไรว่าใครเป็นผู้อนุมัติคำสั่งซื้อ การคืนเงิน หรือการแก้ไขรายการสินค้าหรือราคาที่ผิดพลาด หากผิดพลาดประการใด ใครจะรับผิดชอบ? คุณจะพิสูจน์ความบริสุทธิ์ของคุณอย่างไร?
คุณจะทำอย่างไรเพื่อหยุดการแชร์การเข้าสู่ระบบ
ให้ความรู้ ส่งเสริม บังคับ ใช้
หากคุณยังไม่ได้ดำเนินการ ตรวจสอบให้แน่ใจว่าคุณมีนโยบายเกี่ยวกับการจัดการรหัสผ่านที่ไม่สนับสนุนการแบ่งปันการเข้าสู่ระบบ นอกจากนี้ คุณควรตรวจสอบให้แน่ใจว่าทีมรับทราบถึงภาระผูกพันด้านกฎระเบียบของคุณ และวิธีที่พวกเขาทั้งหมดสามารถมีส่วนร่วมในการปฏิบัติตามข้อกำหนดเหล่านี้
ให้ความรู้พนักงานเกี่ยวกับอันตรายที่อาจเกิดขึ้นจากการแบ่งปันรายละเอียดการเข้าสู่ระบบที่ละเอียดอ่อน ไม่เพียงแต่สำหรับธุรกิจแต่สำหรับตนเองด้วย สมมติว่ามีการขโมยข้อมูลและการบังคับใช้กฎหมายเข้ามาเกี่ยวข้อง ในกรณีนั้น พวกเขาจะพิจารณาอย่างไม่ต้องสงสัยว่าใครเข้าถึงอะไรโดยการตรวจสอบบันทึกสำหรับบัญชีผู้ใช้
ปัจจัยหลักที่ทำให้ผู้ใช้แชร์รายละเอียดการเข้าสู่ระบบบัญชีคือทำได้ง่ายและสามารถทำได้ทันที เพื่อให้งานสำเร็จลุล่วง ไม่มีการพึ่งพาบุคคลที่สาม เช่น ฝ่ายช่วยเหลือหรือความล่าช้าใดๆ ที่ตามมา
ปรับปรุงกระบวนการจัดการบัญชีในขณะที่เข้าถึงได้และมีประสิทธิภาพ คุณอาจต้องการตรวจสอบให้แน่ใจว่าทีมโปรแกรมช่วยเหลือตระหนักถึงความปลอดภัยและแนวปฏิบัติที่ดีที่สุดด้านกฎระเบียบ และมีอำนาจที่จะสนับสนุนพวกเขาทั่วทั้งองค์กร
มีโซลูชันเทคโนโลยีมากมายให้คุณบังคับใช้นโยบายรหัสผ่านและกีดกันการแชร์การเข้าสู่ระบบ ตัวอย่างเช่น:
บังคับใช้และใช้รหัสผ่านที่รัดกุม
ข้อเสียที่สำคัญของการแชร์รหัสผ่านคือรหัสผ่านจะอ่อนแอเสมอ ดังนั้นจึงจำง่ายและอาจจดบันทึกช่วยเตือน ทำให้ทุกคนที่เห็นรหัสผ่านสามารถเข้าถึงได้ การบังคับให้ผู้ใช้ใช้รหัสผ่านที่คาดเดายาก คุณกีดกันพวกเขาจากการแบ่งปันข้อมูลประจำตัว
ปลั๊กอินเช่น WPassword ทำให้กระบวนการทั้งหมดง่ายมาก ฝ่ายไอทีช่วยให้คุณควบคุมการใช้งานได้อย่างสมบูรณ์ ช่วยให้คุณได้รับสมดุลที่เหมาะสมระหว่างความปลอดภัยและการใช้งาน
ใช้ตัวจัดการรหัสผ่าน
เพียงแค่บังคับใช้รหัสผ่านที่รัดกุมไม่เพียงพอ คุณต้องช่วยผู้ใช้ของคุณในการจัดการรหัสผ่าน ดำเนินการและสนับสนุนการใช้ตัวจัดการรหัสผ่าน เพื่อให้ผู้ใช้ของคุณสามารถ
เก็บรหัสผ่านที่ยากไว้ในที่ปลอดภัย โดยไม่ต้องจำรหัสผ่านแต่ละอัน
ใช้การรับรองความถูกต้องด้วยสองปัจจัย
การรับรองความถูกต้องด้วยสองปัจจัย (2FA) เพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่งด้วยค่าใช้จ่ายในการบริหารจัดการที่ต่ำมาก ผ่าน 2FA ผู้ใช้จำเป็นต้องทำการตรวจสอบสิทธิ์ครั้งที่สองผ่านปัจจัยรอง โดย OTP (รหัสผ่านครั้งเดียว) เป็นหนึ่งในวิธีการที่ใช้กันทั่วไปมากกว่า
การนำ 2FA และ OTP มาใช้ ผู้ใช้ที่พยายามเข้าสู่ระบบบัญชีของตนจำเป็นต้องเข้าถึงสมาร์ทโฟนหรืออีเมลของตนได้ นอกเหนือจากการรู้ชื่อผู้ใช้และรหัสผ่าน ด้วย OTP ที่หมดอายุทุก ๆ 30 วินาที การแชร์รหัสผ่านกลายเป็นเรื่องยากมาก ในที่สุดก็ทำให้ง่ายต่อการขอบัญชีใหม่
การใช้ 2FA สำหรับเว็บไซต์ WordPress ของคุณง่ายกว่าที่คุณคิด ปลั๊กอินเช่น WP 2FA มีตัวช่วยสร้างที่เป็นมิตรและตัวเลือกความเข้ากันได้ที่หลากหลายเพื่อทำให้กระบวนการทั้งหมดเป็นเรื่องง่าย
ติดตามกิจกรรมของผู้ใช้
จับตาดูว่าใครกำลังเข้าถึงอะไรบนเว็บไซต์ของคุณด้วยปลั๊กอินบันทึกกิจกรรม บันทึกกิจกรรมแบบเรียลไทม์ที่ครอบคลุมจะช่วยให้คุณมองเห็นการดำเนินการทั้งหมดบนเว็บไซต์ WordPress ของคุณได้อย่างสมบูรณ์ บันทึกกิจกรรมเป็นพื้นฐานของหลักปฏิบัติด้านความปลอดภัยที่ดีและจะช่วยปฏิบัติตามภาระหน้าที่ในการปฏิบัติตามข้อกำหนดของคุณได้เป็นอย่างดี
จะเป็นอย่างไรหากคุณยังต้องแบ่งปันรายละเอียดการเข้าสู่ระบบของคุณ
หากคุณต้องการแบ่งปันข้อมูลประจำตัวด้วยเหตุผลใดก็ตาม ให้ทำดังนี้:
- ตรวจสอบให้แน่ใจว่าจำกัดเฉพาะผู้ที่ต้องการการเข้าถึงจริงๆ และการเข้าถึงนั้นเป็นแบบชั่วคราว เมื่อเซสชันการแบ่งปันสิ้นสุดลง ให้รีเซ็ตรหัสผ่าน
- ใช้ตัวจัดการรหัสผ่านที่สนับสนุนฐานข้อมูลที่แชร์ได้ทั่วไป ผู้จัดการรหัสผ่านออนไลน์ส่วนใหญ่อนุญาตสิ่งนี้ คุณสามารถมีฐานข้อมูลของคุณเองและฐานข้อมูลที่มีข้อมูลประจำตัวที่ใช้ร่วมกับบุคคลอื่นได้
- สื่อสารรหัสผ่านด้วยวาจา หรือส่งข้อมูลรับรองบางส่วนผ่านช่องทางต่างๆ เช่น Skype ครึ่งหนึ่ง อีเมลที่เข้ารหัส ครึ่งหนึ่ง หรือช่องทางการส่งข้อความที่ปลอดภัยอื่นๆ
สำคัญมาก; เมื่อสิ้นสุดเซสชันหรือจำเป็นต้องเข้าถึง ให้รีเซ็ตรหัสผ่านเสมอ
หลีกเลี่ยงการแชร์ข้อมูลการเข้าสู่ระบบของคุณ
สรุปได้ว่าการแบ่งปันข้อมูลประจำตัวไม่เคยเป็นสิ่งที่ดี คุณควรกีดกันการปฏิบัติโดยแจ้งเตือนผู้ใช้ทุกคนถึงนโยบายของคุณ นอกจากนี้ ให้ใช้เครื่องมือและโซลูชันที่จะช่วยให้คุณบังคับใช้นโยบายได้