密码已损坏。 WebAuthn 是认证的新标准

已发表: 2022-09-22

最近,iThemes Security Pro 添加了密码作为 WordPress 网站的主要身份验证方法。 这个开创性的版本是 WordPress 领域中的第一个此类版本,您应该了解它。 iThemes Security 在为 WordPress 用户提供卓越的安全功能方面再次表现出领先地位。

在这篇文章中,我们将回顾密码问题,WebAuthn 是什么,以及为什么你会开始在任何地方使用这项技术。 如果您是 WordPress 网站所有者,希望为您的最终用户改进登录和安全功能,那么您现在可以使用最先进的无摩擦登录标准。

了解 WebAuthn 解决的密码问题

我们的在线生活,包括 WordPress 使用的用户帐户,都是基于用户名和密码访问。 这有一段时间很好。 但随后重复使用密码、字典暴力攻击以及恶意行为者共享泄露的帐户数据使我们的基于密码的安全系统失效。

事实上,Verizon 的 2022 年 DBIR 报告报告称,超过 80% 的违规行为可归因于凭据被盗,与漏洞利用相比,作为主要入侵媒介的被盗凭据增加了 30%

凭据是指用户名/密码组合。 Verizon 的数据告诉我们一件事:密码被破解了。 添加双因素身份验证 (2FA) 很有帮助,但不幸的是,它增加的摩擦和复杂性意味着它只被 28% 的用户采用。 我们懂了; 2FA 为攻击者增加了另一层摩擦,但它也使用户更难登录。 对于基于 SMS 的 2FA,它还不够安全。 针对高价值目标的 SIM 端口攻击的故事并不常见,但一旦发生,它们就是灾难性的。

FIDO(快速身份在线)联盟一直在努力解决这些问题,而 WebAuthn 就是从这项工作中产生的规范。

在我们数字生活的这个阶段,密码被破解了。 值得庆幸的是,有一种新的更好的身份验证方式,那就是 WebAuthn。

什么是 WebAuthn?

WebAuthn 是 Web 身份验证 API 的缩写。 这是由 W3C 和 FIDO 编写的规范,Apple、Google、Mozilla、Microsoft、Yubico 等参与其中。 WebAuthn API 允许服务器使用公钥加密而不是密码来注册和验证用户。 自 2019 年 1 月起,Chrome、Firefox、Microsoft Edge 和 Safari 支持 WebAuthn。 在撰写本文时,超过 90% 的设备及其浏览器都支持 WebAuthn。

WebAuthn 是 FIDO2 框架的一部分,该框架是一组技术,可在服务器、浏览器和身份验证器之间实现无密码身份验证。 WebAuthn 由万维网联盟标准化。

既然我们的许多设备都使用生物识别身份验证,例如 iPhone 上的 FaceID,或者 MacBook、Windows Hello 和许多其他设备上的指纹识别,我们有了一种新方法来确定登录尝试是否实际上是有效用户而不是蛮力攻击。

WebAuthn 是如何工作的?

WebAuthn 使用公钥加密来保护用户和他们使用的系统之间的连接。 使用 WebAuthn,您可以在任何支持该标准的网站上使用单一身份验证方法,例如设备上的生物识别或 YubiKey。 这样,作为用户,您不需要为您访问的每个站点设置密码,只需一个与 WebAuthn 配合使用的强身份验证器即可。

使用这种强身份验证而不是密码,我们可以为网站创建一个私钥-公钥对。 私钥安全地存储在您的设备(例如,您的手机或计算机)上,而公钥和随机生成的凭证被发送到 Web 服务器进行存储。 网络服务器以及在 iThemes 安全密码的情况下,您的 WordPress 站点,可以使用公钥来验证用户的身份。

WebAuthn 的工作原理

这个公钥不是秘密。 因此,如果 Web 服务器或 WordPress 站点被黑客入侵,与公钥一起存储的凭据对攻击者来说毫无用处。 没有私钥就无法使用公钥。

要了解 WebAuthn 的实际工作原理,FIDO2 项目有一些很好的资源。

WebAuthn 改变了安全格局

WebAuthn 在安全领域确实是开创性的。 数据库不再对黑客有吸引力,因为公钥对他们没有用处。 同样,WebAuthn 使凭据盗窃变得更加困难。

对于最终用户,WebAuthn 消除了记住多个用户名和密码的需要。 例如,使用 MacBook 的用户只需要指纹即可登录使用 iThemes 安全密钥启用的网站。

实施了 WebAuthn 的 Apple 还指出,WebAuthn 可以防止网络钓鱼攻击。 如果没有密码,通过电子邮件向用户发送虚假登录屏幕链接的网络钓鱼攻击将无效。 使用密码登录帐户的用户甚至没有密码来提供给恶意网络钓鱼表单。 身份验证完全由存储在其设备上的私钥与存储在 Web 服务器上的公钥进行通信来处理。 WebAuthn 有效地使随机网络钓鱼攻击和有针对性的鱼叉式网络钓鱼攻击完全无效。

WebAuthn 改变了安全游戏。 虽然暴力攻击和密码盗窃可能需要一些时间才能对恶意攻击者的吸引力降低,但选择实施 WebAuthn 的积极主动的网站所有者将成为确保他们的网站不再是游戏的一部分的领导者。

无摩擦登录让客户更快乐

这些网站所有者还为他们的用户、客户、学生或登录其 WordPress 网站的任何人提供了额外的有价值的功能。 iThemes Security 实施的 WebAuthn 无需使用充满摩擦的多因素身份验证协议来确保 WordPress 网站的安全,而是允许网站所有者提供无摩擦的无密码登录,同时使他们的网站对黑客的吸引力大大降低。

WebAuthn 的更多实现即将到来

您可能会看到这项技术如何改变生活,并想知道为什么更多的网站、服务和应用程序没有使用 WebAuthn。 虽然这项技术是开创性的,但它也是非常新的。 将 WebAuthn 添加到遗留服务将需要一些重构。 但正如我们已经看到许多改变格局的新技术一样,它即将到来。 超越密码的需求是一个明确的驱动因素。 而且,随着越来越多的用户体验到无摩擦登录功能,我们将开始看到用户请求扩展无密码登录。

通过这种方式,iThemes Security 巩固了自己作为 WordPress 安全领导者的地位,改变了 WordPress 用户登录方式的面貌。 iThemes Security Passkeys 是 WordPress 空间中 WebAuthn 的第一个实现,它肯定会成为未来的标准。

要立即为您的 WordPress 站点获取 iThemes 安全密钥,您需要 iThemes Security Pro。 幸运的是,您目前可以以折扣价获得此产品。 但是,您不会长时间看到这些低价。 销售将于 2022 年 9 月 30 日结束。

为您的站点获取 iThemes 安全密钥