密碼已損壞。 WebAuthn 是認證的新標準

已發表: 2022-09-22

最近,iThemes Security Pro 添加了密碼作為 WordPress 網站的主要身份驗證方法。 這個開創性的版本是 WordPress 領域中的第一個此類版本,您應該了解它。 iThemes Security 在為 WordPress 用戶提供卓越的安全功能方面再次表現出領先地位。

在這篇文章中,我們將回顧密碼問題,WebAuthn 是什麼,以及為什麼你會開始在任何地方使用這項技術。 如果您是 WordPress 網站所有者,希望為您的最終用戶改進登錄和安全功能,那麼您現在可以使用最先進的無摩擦登錄標準。

了解 WebAuthn 解決的密碼問題

我們的在線生活,包括 WordPress 使用的用戶帳戶,都是基於用戶名和密碼訪問。 這有一段時間很好。 但隨後重複使用密碼、字典暴力攻擊以及惡意行為者共享洩露的帳戶數據使我們的基於密碼的安全系統失效。

事實上,Verizon 的 2022 年 DBIR 報告報告稱,超過 80% 的違規行為可歸因於憑據被盜,與漏洞利用相比,作為主要入侵媒介的被盜憑據增加了 30%

憑據是指用戶名/密碼組合。 Verizon 的數據告訴我們一件事:密碼被破解了。 添加雙因素身份驗證 (2FA) 很有幫助,但不幸的是,它增加的摩擦和復雜性意味著它只被 28% 的用戶採用。 我們懂了; 2FA 為攻擊者增加了另一層摩擦,但它也使用戶更難登錄。 對於基於 SMS 的 2FA,它還不夠安全。 針對高價值目標的 SIM 端口攻擊的故事並不常見,但一旦發生,它們就是災難性的。

FIDO(快速身份在線)聯盟一直在努力解決這些問題,而 WebAuthn 就是從這項工作中產生的規範。

在我們數字生活的這個階段,密碼被破解了。 值得慶幸的是,有一種新的更好的身份驗證方式,那就是 WebAuthn。

什麼是 WebAuthn?

WebAuthn 是 Web 身份驗證 API 的縮寫。 這是由 W3C 和 FIDO 編寫的規範,Apple、Google、Mozilla、Microsoft、Yubico 等參與其中。 WebAuthn API 允許服務器使用公鑰加密而不是密碼來註冊和驗證用戶。 自 2019 年 1 月起,Chrome、Firefox、Microsoft Edge 和 Safari 支持 WebAuthn。 在撰寫本文時,超過 90% 的設備及其瀏覽器都支持 WebAuthn。

WebAuthn 是 FIDO2 框架的一部分,該框架是一組技術,可在服務器、瀏覽器和身份驗證器之間實現無密碼身份驗證。 WebAuthn 由萬維網聯盟標準化。

既然我們的許多設備都使用生物識別身份驗證,例如 iPhone 上的 FaceID,或者 MacBook、Windows Hello 和許多其他設備上的指紋識別,我們有了一種新方法來確定登錄嘗試是否實際上是有效用戶而不是蠻力攻擊。

WebAuthn 是如何工作的?

WebAuthn 使用公鑰加密來保護用戶和他們使用的系統之間的連接。 使用 WebAuthn,您可以在任何支持該標準的網站上使用單一身份驗證方法,例如設備上的生物識別或 YubiKey。 這樣,作為用戶,您不需要為您訪問的每個站點設置密碼,只需一個與 WebAuthn 配合使用的強身份驗證器即可。

使用這種強身份驗證而不是密碼,我們可以為網站創建一個私鑰-公鑰對。 私鑰安全地存儲在您的設備(例如,您的手機或計算機)上,而公鑰和隨機生成的憑證被發送到 Web 服務器進行存儲。 網絡服務器以及在 iThemes 安全密碼的情況下,您的 WordPress 站點,可以使用公鑰來驗證用戶的身份。

WebAuthn 的工作原理

這個公鑰不是秘密。 因此,如果 Web 服務器或 WordPress 站點被黑客入侵,與公鑰一起存儲的憑據對攻擊者來說毫無用處。 沒有私鑰就無法使用公鑰。

要了解 WebAuthn 的實際工作原理,FIDO2 項目有一些很好的資源。

WebAuthn 改變了安全格局

WebAuthn 在安全領域確實是開創性的。 數據庫不再對黑客有吸引力,因為公鑰對他們沒有用處。 同樣,WebAuthn 使憑據盜竊變得更加困難。

對於最終用戶,WebAuthn 消除了記住多個用戶名和密碼的需要。 例如,使用 MacBook 的用戶只需要指紋即可登錄使用 iThemes 安全密鑰啟用的網站。

實施了 WebAuthn 的 Apple 還指出,WebAuthn 可以防止網絡釣魚攻擊。 如果沒有密碼,通過電子郵件向用戶發送虛假登錄屏幕鏈接的網絡釣魚攻擊將無效。 使用密碼登錄帳戶的用戶甚至沒有密碼來提供給惡意網絡釣魚表單。 身份驗證完全由存儲在其設備上的私鑰與存儲在 Web 服務器上的公鑰進行通信來處理。 WebAuthn 有效地使隨機網絡釣魚攻擊和有針對性的魚叉式網絡釣魚攻擊完全無效。

WebAuthn 改變了安全遊戲。 雖然暴力攻擊和密碼盜竊可能需要一些時間才能對惡意攻擊者的吸引力降低,但選擇實施 WebAuthn 的積極主動的網站所有者將成為確保他們的網站不再是遊戲的一部分的領導者。

無摩擦登錄讓客戶更快樂

這些網站所有者還為他們的用戶、客戶、學生或登錄其 WordPress 網站的任何人提供了額外的有價值的功能。 iThemes Security 實施的 WebAuthn 無需使用充滿摩擦的多因素身份驗證協議來確保 WordPress 網站的安全,而是允許網站所有者提供無摩擦的無密碼登錄,同時使他們的網站對黑客的吸引力大大降低。

WebAuthn 的更多實現即將到來

您可能會看到這項技術如何改變生活,並想知道為什麼更多的網站、服務和應用程序沒有使用 WebAuthn。 雖然這項技術是開創性的,但它也是非常新的。 將 WebAuthn 添加到遺​​留服務將需要一些重構。 但正如我們已經看到許多改變格局的新技術一樣,它即將到來。 超越密碼的需求是一個明確的驅動因素。 而且,隨著越來越多的用戶體驗到無摩擦登錄功能,我們將開始看到用戶請求擴展無密碼登錄。

通過這種方式,iThemes Security 鞏固了自己作為 WordPress 安全領導者的地位,改變了 WordPress 用戶登錄方式的面貌。 iThemes Security Passkeys 是 WordPress 空間中 WebAuthn 的第一個實現,它肯定會成為未來的標準。

要立即為您的 WordPress 站點獲取 iThemes 安全密鑰,您需要 iThemes Security Pro。 幸運的是,您目前可以以折扣價獲得此產品。 但是,您不會長時間看到這些低價。 銷售將於 2022 年 9 月 30 日結束。

為您的站點獲取 iThemes 安全密鑰