了解在 WordPress 上登錄共享的風險
已發表: 2021-11-03雖然這是一個很大的安全禁忌,但 WordPress 上的登錄共享發生的頻率比人們想像的要多。 正如術語所暗示的,登錄共享是用戶與其他用戶共享其登錄信息的做法。 在最近的一項調查中,高達 49% 的用戶承認分享了他們的企業登錄詳細信息,年輕用戶(16-24 歲)比年長用戶(55 歲以上)更無憂無慮地分享他們的登錄詳細信息。
雖然您可能認為這不會發生在您的 WordPress 網站上,但許多管理員往往低估了密碼共享的規模。 如果沒有適當的控制,要了解團隊中是否有人共享他們的登錄信息可能會非常具有挑戰性。 人們很少承認共享密碼,但登錄共享正在發生,並可能導致許多問題和 WordPress 安全問題。
為什麼用戶共享他們的登錄信息?
雖然用戶可能需要共享登錄詳細信息可能有正當理由,但最佳實踐告訴我們每個用戶都應該擁有自己的帳戶。 用戶共享登錄信息有幾個原因。 訪問社交媒體帳戶或面向公眾的電子郵件地址(許多人可能需要在其中發布和執行操作請求)是一個非常常見的原因。 其他原因包括:
權宜之計:你現在有工作要做。 提交請求幫助台創建另一個用戶帳戶會導致延遲。
成本:隨著我們使用更多基於雲的訂閱服務,增加更多用戶可能會產生額外的相關成本。 如果需要只是暫時的,這使得登錄共享特別誘人。
管理:從管理、業務和運營的角度來看,管理的賬戶越少,工作就越容易。
登錄共享帶來的安全問題
對於許多人來說,分享他們的登錄信息只是他們在工作中所做的另一件事。 即使用戶在沒有任何惡意的情況下共享他們的登錄信息,共享登錄憑據的做法也存在一些相關的安全風險。
憑證洩露
乍一看,將您的 WordPress 登錄信息提供給值得信賴的朋友或同事似乎無傷大雅。 但是,您應該問自己,他們是否會像對待他們自己一樣謹慎對待您的詳細信息? 此外,如果您在多個帳戶上使用相同的密碼; 您不僅使共享帳戶受到威脅,而且還可能使所有其他帳戶受到威脅。
因此,放棄您的憑證可能會導致您的憑證在企業內外洩漏。
鼓勵使用弱密碼
超過 80% 的成功黑客攻擊嘗試利用弱密碼、暴力攻擊或竊取憑據。 如果存在共享密碼的文化,這些密碼將不可避免地脆弱且易於記憶。
濫用服務
談到 WordPress 安全性,最小權限原則是管理員可以用來維持高水平保護的最佳工具之一。 這意味著每個人的帳戶都將具有執行工作所需任務的特定權限。 因此,並非所有帳戶都是平等的,因為並非企業中的所有角色都是平等的。 一些帳戶將比其他帳戶擁有更多特權和訪問更多信息。
通過登錄共享,知道憑據的每個人都可以訪問該帳戶的所有權限,無論他們應具有的訪問級別如何。 這可能允許他們訪問他們通常無法訪問的功能和數據。 這可能導致數據洩露和違反 GDPR、PCI DSS 等法規。
用戶責任
個人賬戶將責任分配給行動,誰做了什麼,什麼時候做的。
它遵循相同的原則,為什麼每個結賬操作員都有一個單獨的現金抽屜,當他們的輪班結束時將其移除。 如果這些錢箱是共享的,並且出現短缺,您將如何確定誰負責? 在這種情況下,任何有機會獲得此現金提款的人都會受到懷疑,無論是否發生在他們的手錶上。
這同樣適用於 WordPress 網站。 您將如何確定誰批准了訂單、退款或錯誤地修改了產品列表或價格? 如果發現錯誤,誰來承擔責任? 你將如何證明你的清白?
您可以做些什麼來停止登錄共享?
教育、鼓勵、執行。
如果您還沒有這樣做,請確保您有一個不鼓勵登錄共享的密碼管理策略。 您還應該確保團隊了解您的監管義務以及他們如何在滿足這些要求方面發揮作用。
教育員工分享他們敏感的登錄詳細信息的潛在危險,不僅對企業而且對他們自己。 假設存在數據盜竊並且執法部門參與其中。 在這種情況下,他們無疑會通過檢查用戶帳戶的日誌來查看誰訪問了哪些內容。
引導用戶分享他們的帳戶登錄詳細信息的一個主要驅動因素是它很容易做到並且可以立即完成,因此可以完成工作。 不依賴第三方,如幫助台或任何後續延遲。
簡化帳戶管理流程,同時使其易於訪問和高效。 您可能還希望確保幫助台團隊了解安全和監管最佳實踐,並有權在整個組織中支持它們。
您可以使用多種技術解決方案來強制執行密碼策略並阻止登錄共享。 例如:
強制執行和使用強密碼
共享密碼的一個顯著缺點是它們總是很弱,因此它們很容易記住並且可能寫在便籤上,讓任何看到它們的人都可以使用它們。 通過強制用戶使用強密碼,您可以阻止他們共享憑據。
WPassword 等插件使整個過程變得超級簡單。 IT 讓您可以完全控制實施,幫助您在安全性和可用性之間取得適當的平衡。
使用密碼管理器
僅僅執行強密碼是不夠的。 您需要幫助您的用戶管理他們的密碼。 實施並鼓勵使用密碼管理器,以便您的用戶可以
將難以記住的密碼存儲在安全的地方,而不必記住每個密碼。
使用雙重身份驗證
雙因素身份驗證 (2FA) 以非常低的管理成本增加了另一層安全性。 通過2FA,用戶需要通過次要因素進行二次認證,其中OTP(一次性密碼)是比較常用的方法之一。
通過實施 2FA 和 OTP,嘗試登錄其帳戶的用戶除了知道用戶名和密碼外,還需要訪問他們的智能手機或電子郵件。 隨著 OTP 每 30 秒到期,共享密碼變得非常困難——最終使請求新帳戶變得更加容易。
為您的 WordPress 網站實施 2FA 比您想像的要容易。 WP 2FA 等插件提供友好的嚮導和廣泛的兼容性選項,使整個過程變得輕而易舉。
監控用戶活動
使用活動日誌插件密切關注誰在訪問您網站上的內容。 全面的實時活動日誌將使您全面了解在您的 WordPress 網站上執行的所有操作。 活動日誌是良好安全實踐的基礎,將大大有助於履行您的合規義務。
如果您仍需要分享您的登錄詳細信息怎麼辦?
如果您出於任何原因確實需要共享憑據,則:
- 確保這僅限於那些真正需要訪問並且訪問是臨時的。 共享會話結束後,重置密碼。
- 使用支持通用共享數據庫的密碼管理器。 大多數在線密碼管理器都允許這樣做; 您可以擁有自己的數據庫和具有與其他人共享的憑據的數據庫。
- 口頭傳達密碼,或通過不同渠道發送部分憑據,例如一半通過 Skype、一半通過加密電子郵件或其他一些安全消息傳遞渠道。
很重要; 在會話結束或需要訪問時,始終重置密碼。
避免共享您的登錄信息
總之,共享憑據從來都不是一件好事。 您應該通過提醒所有用戶注意您的策略來積極阻止這種做法。 此外,利用您可用的工具和解決方案來幫助您執行您的政策。