了解在 WordPress 上登录共享的风险

已发表: 2021-11-03

虽然这是一个很大的安全禁忌,但 WordPress 上的登录共享发生的频率比人们想象的要多。 正如术语所暗示的,登录共享是用户与其他用户共享其登录信息的做法。 在最近的一项调查中,高达 49% 的用户承认分享了他们的企业登录详细信息,年轻用户(16-24 岁)比年长用户(55 岁以上)更无忧无虑地分享他们的登录详细信息。

虽然您可能认为这不会发生在您的 WordPress 网站上,但许多管理员往往低估了密码共享的规模。 如果没有适当的控制,要了解团队中是否有人共享他们的登录信息可能会非常具有挑战性。 人们很少承认共享密码,但登录共享正在发生,并可能导致许多问题和 WordPress 安全问题。

为什么用户共享他们的登录信息?

虽然用户可能需要共享登录详细信息可能有正当理由,但最佳实践告诉我们每个用户都应该拥有自己的帐户。 用户共享登录信息有几个原因。 访问社交媒体帐户或面向公众的电子邮件地址(许多人可能需要在其中发布和执行操作请求)是一个非常常见的原因。 其他原因包括:

权宜之计:你现在有工作要做。 提交请求帮助台创建另一个用户帐户会导致延迟。

成本:随着我们使用更多基于云的订阅服务,增加更多用户可能会产生额外的相关成本。 如果需要只是暂时的,这使得登录共享特别诱人。

管理:从管理、业务和运营的角度来看,管理的账户越少,工作就越容易。

登录共享带来的安全问题

对于许多人来说,分享他们的登录信息只是他们在工作中所做的另一件事。 即使用户在没有任何恶意的情况下共享他们的登录信息,共享登录凭据的做法也存在一些相关的安全风险。

凭证泄露

乍一看,将您的 WordPress 登录信息提供给值得信赖的朋友或同事似乎无伤大雅。 但是,您应该问自己,他们是否会像对待他们自己一样谨慎对待您的详细信息? 此外,如果您在多个帐户上使用相同的密码; 您不仅使共享帐户受到威胁,而且还可能使所有其他帐户受到威胁。

因此,放弃您的凭证可能会导致您的凭证在企业内外泄漏。

鼓励使用弱密码

超过 80% 的成功黑客攻击尝试利用弱密码、暴力攻击或窃取凭据。 如果存在共享密码的文化,这些密码将不可避免地脆弱且易于记忆。

滥用服务

谈到 WordPress 安全性,最小权限原则是管理员可以用来维持高水平保护的最佳工具之一。 这意味着每个人的帐户都将具有执行工作所需任务的特定权限。 因此,并非所有帐户都是平等的,因为并非企业中的所有角色都是平等的。 一些帐户将比其他帐户拥有更多特权和访问更多信息。

通过登录共享,知道凭据的每个人都可以访问该帐户的所有权限,无论他们应具有的访问级别如何。 这可能允许他们访问他们通常无法访问的功能和数据。 这可能导致数据泄露和违反 GDPR、PCI DSS 等法规。

用户责任

个人账户将责任分配给行动,谁做了什么,什么时候做的。

它遵循相同的原则,为什么每个结账操作员都有一个单独的现金抽屉,当他们的轮班结束时将其移除。 如果这些钱箱是共享的,并且出现短缺,您将如何确定谁负责? 在这种情况下,任何有机会获得此现金提款的人都会受到怀疑,无论是否发生在他们的手表上。

这同样适用于 WordPress 网站。 您将如何确定谁批准了订单、退款或错误地修改了产品列表或价格? 如果发现错误,谁来承担责任? 你将如何证明你的清白?

您可以做些什么来停止登录共享?

教育鼓励执行

如果您还没有这样做,请确保您有一个不鼓励登录共享的密码管理策略。 您还应该确保团队了解您的监管义务以及他们如何在满足这些要求方面发挥作用。

教育员工分享他们敏感的登录详细信息的潜在危险,不仅对企业而且对他们自己。 假设存在数据盗窃并且执法部门参与其中。 在这种情况下,他们无疑会通过检查用户帐户的日志来查看谁访问了哪些内容。

引导用户分享他们的帐户登录详细信息的一个主要驱动因素是它很容易做到并且可以立即完成,因此可以完成工作。 不依赖第三方,如帮助台或任何后续延迟。

简化帐户管理流程,同时使其易于访问和高效。 您可能还希望确保帮助台团队了解安全和监管最佳实践,并有权在整个组织中支持它们。

您可以使用多种技术解决方案来强制执行密码策略并阻止登录共享。 例如:

强制执行和使用强密码

共享密码的一个显着缺点是它们总是很弱,因此它们很容易记住并且可能写在便签上,让任何看到它们的人都可以使用它们。 通过强制用户使用强密码,您可以阻止他们共享凭据。

WPassword 等插件使整个过程变得超级简单。 IT 让您可以完全控制实施,帮助您在安全性和可用性之间取得适当的平衡。

使用密码管理器

仅仅执行强密码是不够的。 您需要帮助您的用户管理他们的密码。 实施并鼓励使用密码管理器,以便您的用户可以
将难以记住的密码存储在安全的地方,而不必记住每个密码。

使用双重身份验证

双因素身份验证 (2FA) 以非常低的管理成本增加了另一层安全性。 通过2FA,用户需要通过次要因素进行二次认证,其中OTP(一次性密码)是比较常用的方法之一。

通过实施 2FA 和 OTP,尝试登录其帐户的用户除了知道用户名和密码外,还需要访问他们的智能手机或电子邮件。 随着 OTP 每 30 秒到期,共享密码变得非常困难——最终使请求新帐户变得更加容易。

为您的 WordPress 网站实施 2FA 比您想象的要容易。 WP 2FA 等插件提供友好的向导和广泛的兼容性选项,使整个过程变得轻而易举。

监控用户活动

使用活动日志插件密切关注谁在访问您网站上的内容。 全面的实时活动日志将使您全面了解在您的 WordPress 网站上执行的所有操作。 活动日志是良好安全实践的基础,将大大有助于履行您的合规义务。

如果您仍需要分享您的登录详细信息怎么办?

如果您出于任何原因确实需要共享凭据,则:

  1. 确保这仅限于那些真正需要访问并且访问是临时的。 共享会话结束后,重置密码。
  2. 使用支持通用共享数据库的密码管理器。 大多数在线密码管理器都允许这样做; 您可以拥有自己的数据库和具有与其他人共享的凭据的数据库。
  3. 口头传达密码,或通过不同渠道发送部分凭据,例如一半通过 Skype、一半通过加密电子邮件或其他一些安全消息传递渠道。

很重要; 在会话结束或需要访问时,始终重置密码。

避免共享您的登录信息

总之,共享凭据从来都不是一件好事。 您应该通过提醒所有用户注意您的策略来积极阻止这种做法。 此外,利用您可用的工具和解决方案来帮助您执行您的政策。