04.02.21
aggiornato al 22.08.22
Marten Gülink
0 commenti
Indice dei contenuti
2FA WordPress e Raidboxes

Cos'è l'autenticazione a due fattori e come puoi usarla su Raidboxes ?

Ora puoi proteggere il tuo account Raidboxes con l'autenticazione a due fattori (2FA). Questo articolo spiega perché la 2FA è una misura di sicurezza così efficace per WordPress, per il tuo accesso a Raidboxes Dashboard o ad altri punti di accesso e come funziona l'autenticazione a due fattori. 

L'incubo dei login non autorizzati

Naturalmente, dato che le nostre vite si svolgono sempre di più online, sarebbe un incubo assoluto se qualcuno dovesse avere accesso a uno o addirittura a tutti i tuoi account. Immaginate se un'azienda di cui vi fidate con le vostre informazioni finanziarie o personali venisse tiolata o se una fuga di dati diventasse pubblica. Fortunatamente, non sono solo i criminali online ad essere diventati più intraprendenti - anche la sicurezza informatica per proteggersi dagli aggressori sta migliorando. E l'ultima novità in fatto di sicurezza include l'autenticazione a due fattori (2FA).

In qualità di host WordPress, il tema della sicurezza è particolarmente importante per noi e lavoriamo costantemente per integrare nuove funzionalità di sicurezza. Per rendere Raidboxes Dashboard ancora più sicuro, ora i nostri clienti possono usufruire dell'autenticazione a due fattori. 

Cos'è la 2FA e perché è così importante?

Per spiegare al meglio perché l'autenticazione a due fattori è così importante per la sicurezza dei dati oggi, permettimi di definire innanzitutto cosa non è la 2FA.

Prima di tutto, la 2FA non è una password, almeno non in senso stretto. Se ti rivolgi agli esperti, probabilmente ti diranno: "I tempi in cui una password era sufficiente a impedire l'accesso non autorizzato al tuo sito web sono ormai lontani, se mai ha funzionato bene".

Il motivo? Errore umano.

La disattenzione nell'assegnazione della password

Una recente analisi ha esaminato oltre 1,4 miliardi di password violate e ha scoperto che molte di esse sono sorprendentemente semplici. Molte persone sono state addirittura così poco attente da utilizzare "11111", "12345" o la cara vecchia "password". Chiunque utilizzi una password di questo tipo non dovrebbe sorprendersi degli account violati. Se vuoi sapere esattamente quali sono le password più utilizzate e quanto tempo ci vuole per decifrarle, dai un'occhiata alla"Top 200 delle password più comuni dell'anno 2020" di Nordpass. 

Un altro problema che non possiamo dimenticare sono le password riciclate. Con decine di app, account, siti web e dispositivi che richiedono credenziali da noi, è ovviamente noioso ricordare password uniche per ogni accesso. Ma se usi la stessa password per più - o addirittura per tutti - i tuoi account, stai correndo un grosso rischio. Perché se si rompe uno dei tuoi account, si ha automaticamente accesso a tutti gli altri. 

La tua introduzione alla 2FA

A prima vista, l'autenticazione a due fattori sembra un tipico processo di login. Per accedere a un sito web o a un'app, ti verrà chiesto di inserire il tuo nome utente e la tua password. Ma questo è solo il primo passo. Dopodiché, ti verrà chiesta un'altra informazione, oltre al tuo nome utente e alla tua password. La maggior parte delle volte, queste informazioni aggiuntive provengono da una di queste categorie:

  • Conoscenza personale: Oltre alla password, ti verranno chieste altre informazioni che solo tu conosci: ad esempio, un PIN, le risposte a "domande segrete" precedentemente risposte o un modello di sblocco sul display del cellulare. 
  • Informazioni del mondo reale: ti vengono chieste informazioni che solo tu puoi recuperare - per esempio, un codice sensibile al tempo inviato al tuo indirizzo e-mail o via SMS. 
  • Informazioni biometriche: Per esempio, ti può essere chiesto di fornire un'impronta digitale, una scansione della retina o un'impronta vocale.

L'autenticazione a due fattori significa che nessuna singola password è sufficiente agli hacker per craccare il tuo login. Quindi, se perdi il tuo telefono o la tua password viene rubata, 2FA significa che i criminali informatici non possono accedere ai tuoi dati senza conoscere, ad esempio, il nome del tuo primo animale domestico o la strada in cui sei cresciuto.

Autenticazione a due fattori e sicurezza WordPress

C'è un motivo per cui di solito sono le grandi aziende ad essere attaccate dagli hacker: È lì che risiede la maggior parte dei dati. WordPress rappresenta il 64% del mercato CMS, rendendolo un ambiente in cui una violazione della sicurezza può consegnare un sacco di dati.

Sapevi che quasi il 40 per cento di tutti i siti web girano su WordPress ? Sono un sacco di siti web che gli hacker possono sondare alla ricerca di vulnerabilità.

Un'altra ragione per cui WordPress attrae gli hacker è la popolarità del sistema di gestione dei contenuti. Poiché WordPress è così facile da usare, è possibile ottenere il tuo sito web attivo e funzionante senza molta esperienza precedente. Quindi ci sono un bel po' di utenti relativamente inesperti WordPress là fuori i cui siti web non sono adeguatamente protetti, non aggiornati, e quindi forniscono backdoor per gli attaccanti.

Come creare password forti

Prima di tutto, devi usare password forti. Ma come si fa a trovare una buona password che si possa ricordare? Il caporedattore di How-To Geek Chris Hoffmann ha un ottimo suggerimento per te:

"Potreste trovare più facile ricordare una frase come 'La prima casa in cui ho vissuto era 613 Fake Street. L'affitto era di 400 dollari al mese". Puoi trasformare questa frase in una password usando le prime cifre di ogni parola, quindi la tua password diventerebbe TfhIeliw613FS.Rw$4pm. Questa è una password forte a 21 cifre. Certo, una vera password casuale potrebbe includere qualche numero e simbolo in più e lettere maiuscole strapazzate, ma non è affatto male.

Tuttavia, le tue password non devono essere solo sicure, ma anche uniche. Con un numero corrispondente di conti, la tua memoria sarà messa alla prova. Ma non preoccuparti: esistono molti gestori di password che non solo gestiscono le tue password, ma generano anche password uniche e complesse per ogni nuovo account. Ma anche in questo caso le password hanno una capacità limitata di proteggere il tuo lavoro e i tuoi dati. Torniamo quindi all'autenticazione a due fattori.

Come funziona l'autenticazione a due fattori?

Token hardware 

Questa è la forma originale di 2FA, dove si riceve un portachiavi che genera un nuovo codice ogni 30 secondi. Quando si vuole accedere al sito web corrispondente, si controlla il codice attuale e lo si inserisce. Un'altra forma è una chiave USB che inserisce automaticamente un codice 2FA nel computer quando è collegata.

Queste opzioni hardware sono migliori rispetto all'assenza di 2FA, ma purtroppo non sono molto meglio. Perché sono facili da perdere, costosi da produrre e distribuire per le aziende e sicuramente non impossibili da hackerare.

SMS e Voice 2FA 

Con questo tipo di autenticazione a due fattori, accedi con il tuo nome e la tua password e poi ricevi un SMS o un messaggio vocale con un codice di accesso unico (OTP). Per completare l'accesso è necessario inserire il codice di accesso. Questo tipo di 2FA è molto utilizzato, anche se non è ancora la soluzione ideale. Nel 2017, ad esempio, un gruppo di hacker white-hat è riuscito a "dirottare" un portafoglio Bitcoin intercettando gli SMS 2FA.

Gettoni software

La forma di 2FA di gran lunga più diffusa oggi è l'utilizzo di una password unica a tempo (TOTP) generata da un programma software, chiamato anche "soft token".

Con questo metodo di autenticazione a due fattori, si scarica prima un'applicazione 2FA gratuita - sul tuo smartphone o computer. Una volta installata, questa applicazione funzionerà con qualsiasi sito web che supporta l'autenticazione TOTP. Una volta che hai abilitato 2FA via TOTP per uno dei tuoi login, accedi semplicemente con il tuo nome utente e la tua password. Ti verrà quindi richiesto di inserire un codice che verrà inviato all'app che hai installato. Questo codice di solito scade dopo 60 secondi. 

Poiché il codice viene generato e visualizzato sullo stesso dispositivo, non c'è la possibilità che gli hacker lo intercettino. Inoltre, queste app funzionano anche offline. In questo modo non dipenderai dalla rete mobile, come nel caso del 2FA via SMS. 

Notifiche Push 2FA

Un'altra versione sempre più comune di 2FA sono le notifiche push. Il modo in cui funzionano è che si ottiene una notifica da siti web e applicazioni quando c'è un tentativo di accesso. È sufficiente confermare o rifiutare con un clic, e voilà, si accede senza password o token aggiuntivi.

Tuttavia, questa versione di 2FA funziona solo se tu e il sito web avete una connessione diretta e sicura.

Quale applicazione 2FA puoi utilizzare?

Ci sono innumerevoli app che puoi usare per l'autenticazione TOTP descritta sopra. Per chiarire un po' la giungla, vi ho portato due esempi:

Se usate Android, per esempio, l'app andOTP è una buona scelta. Offre la possibilità di impostare una password per aprire l'applicazione e di creare e criptare i backup. Per esempio, ogni volta che aggiungete o rimuovete un nuovo servizio, potete fare un backup criptato sul vostro cloud privato, così non avrete problemi quando cambierete il vostro dispositivo mobile. L'integrazione con 1Password o altri gestori di password funziona anche con andOTP senza problemi.

Poiché andOTP non è disponibile per iOS, Twilio Authy è una buona scelta per gli utenti Apple. I vantaggi: Authy offre un servizio di backup in iCloud o tramite Google Drive ed è regolarmente sottoposto a test di sicurezza intensivi.

Inoltre, è possibile generare codici TOTP con la maggior parte dei gestori di password. Se usi 1Password, per esempio, questa guida passo dopo passo ti aiuterà. 

Autenticazione a due fattori per Raidboxes

D'ora in poi potrai attivare l'autenticazione a due fattori per un account Raidboxes oltre al normale login. Se il 2FA è attivo, devi inserire un altro codice oltre alla password quando accedi a RB-Dashboard . Puoi scegliere di farti inviare questo codice via e-mail, SMS o tramite un'app di autenticazione. 

L'utilizzo della funzione 2FA è gratuito e facoltativo per tutti i clienti di Raidboxes . Tuttavia, ti consigliamo vivamente di attivare questa protezione aggiuntiva. Dopotutto, una persona che accede al tuo account Raidboxes senza autorizzazione non solo avrebbe accesso ai tuoi dati, ma anche a quelli dei tuoi clienti, ad esempio se gestisci le pagine dei clienti come amministratore.

2FA via app, mail o SMS

L'autenticazione a due fattori è possibile su Raidboxes attraverso tre metodi:

  • App: per utilizzare la nostra funzione 2FA, puoi utilizzare qualsiasi app di autenticazione che supporti TOTP. Ad esempio, ti consigliamo andOTP (per Android) o Authy (per iOS).
  • E-mail: Se vuoi utilizzare la 2FA via e-mail, riceverai i codici di autenticazione all'indirizzo e-mail con cui sei registrato su Raidboxes .
  • SMS: Se hai almeno un contratto a pagamento, puoi anche usare 2FA via SMS. (Il numero di cellulare che fornisci non viene memorizzato nel nostro sistema. Non possiamo quindi vedere quale numero usi per la 2FA).
autenticazione a due fattori

Dopo aver attivato l'autenticazione a due fattori per il tuo account Raidboxes (ti spieghiamo come farlo in questo articolo di aiuto), dovrai inserire un codice aggiuntivo al momento dell'accesso, che ti verrà inviato tramite il metodo che hai selezionato.

È inoltre necessario inserire un codice 2FA per disattivare la funzione. Se dovessi mai bloccarti dal tuo account, contatta semplicemente il nostro supporto tramite la live chat. 

A chi si applica il 2FA su Raidboxes?

Puoi attivare l'autenticazione a due fattori con pochi clic nelle impostazioni del tuo account. Tieni presente che la protezione 2FA di Raidboxes si applica solo all'account per il quale l'hai attivata, non ai singoli box o ai loro amministratori.

Tuttavia, per proteggere al meglio i tuoi dati (e quelli della tua azienda), consigliamo vivamente a tutti gli utenti di proteggere il proprio accesso a Raidboxes con il sistema 2FA.

E che dire di 2FA per WordPress ?

A questo punto vorremmo sottolineare che la nostra funzione 2FA si applica solo al tuo account Raidboxes e non al tuo accesso a WordPress. Tuttavia, esistono molti plugin 2FA per WordPress che puoi utilizzare per proteggere il tuo accesso a WordPress.

Cos'è l'autenticazione a due fattori e come puoi usarla su Raidboxes ?
Google Authenticator WordPress Plugin in WP Plugin Directory

Tra questi, ad esempio, il plugin"Google Authenticator - WordPress Two Factor Authentication" con oltre 20.000 installazioni attive. Oppure"Two Factor Authentication" - anch'esso con oltre 20.000 utenti - dai creatori del popolare plugin di backup "UpdraftPlus". Puoi trovare facilmente altri plugin 2FA nella Directory ufficiale dei plugin di WordPress o nel tuo sito Dashboard alla voce Plugin > Installa

La nostra conclusione

Siamo orgogliosi di annunciare che Raidboxes Dashboard è ora ancora più sicuro per i nostri utenti grazie all'autenticazione a due fattori. Anche se per noi l'attivazione della 2FA non è obbligatoria, speriamo che i vantaggi citati ti abbiano convinto. Infatti, richiedendo in aggiunta un codice 2FA, il tuo account ottiene un ulteriore livello di sicurezza e ti assicuri che i tuoi dati (e quelli dei tuoi clienti) siano ancora più protetti da accessi non autorizzati.

Siamo lieti di ricevere il tuo contributo!

Se hai altre domande sull'autenticazione a due fattori o sull'utilizzo della funzione 2FA di Raidboxes, lasciaci un commento o contattaci nella nostra live chat!



Ti è piaciuto l'articolo?

Con la tua valutazione ci aiuti a migliorare ancora di più i nostri contenuti. Grazie!

Marten Gülink

Come sviluppatore web di Raidboxes , Marten lavora sempre a nuove funzionalità per i nostri clienti. Su "wp unboxed" ha ottenuto punti anche grazie alla sua conoscenza dello sviluppo web, di WordPress e del nostro Dashboard. Nel tempo libero, si diverte anche con il self-hosting e con le ultime tendenze di internet.

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati da *.