04.02.21
aktualizacja 22.08.22
Marten Gülink
0 komentarzy
Spis treści
2FA WordPress i Raidboxes

Co to jest uwierzytelnianie dwuskładnikowe i jak można go używać w Raidboxes?

Od teraz możesz zabezpieczyć swoje konto Raidboxes za pomocą dwuskładnikowego uwierzytelniania (2FA). W tym artykule wyjaśniamy, dlaczego 2FA jest tak skutecznym środkiem bezpieczeństwa dla WordPressa, Twojego logowania do pulpitu nawigacyjnego Raidboxes lub innych Twoich kont oraz jak działa uwierzytelnianie dwuskładnikowe.  

Koszmar nieautoryzowanych loginów

Oczywiście, jako że nasze życie coraz częściej toczy się w sieci, byłoby absolutnym koszmarem, gdyby ktoś uzyskał dostęp do jednego lub nawet wszystkich twoich kont. Wyobraź sobie, że firma, której powierzyłeś swoje dane finansowe lub osobiste, została zhakowana lub że wyciek danych stał się publiczny. Na szczęście nie tylko przestępcy internetowi stali się bardziej zaradni — cyberbezpieczeństwo chroniące przed napastnikami również się poprawia. Najnowsze rozwiązania w dziedzinie bezpieczeństwa obejmują uwierzytelnianie dwuetapowe (2FA).

Jako hoster WordPressa, temat bezpieczeństwa ma dla nas szczególnie wysoki priorytet i stale pracujemy nad wprowadzaniem nowych funkcji bezpieczeństwa. Aby jeszcze bardziej zabezpieczyć pulpit Raidboxes, nasi klienci mogą korzystać z dwuskładnikowego uwierzytelniania. 

Co to jest 2FA i dlaczego jest tak ważne?

Aby jak najlepiej wyjaśnić, dlaczego uwierzytelnianie dwuskładnikowe jest tak ważne dla bezpieczeństwa danych, pozwól mi najpierw zdefiniować, czym 2FA nie jest.

Po pierwsze, 2FA nie jest hasłem, a przynajmniej nie do końca. Jeśli porozmawiasz z ekspertami, prawdopodobnie powiedzą Ci: "Czasy, w których hasło wystarczało, aby zapobiec nieautoryzowanemu dostępowi do Twojej witryny, dawno minęły - jeśli w ogóle kiedykolwiek działało dobrze."

Powód? Błąd ludzki.

Niedbałość w nadawaniu haseł

Niedawno przeprowadzono analizę ponad 1,4 miliarda zhakowanych haseł i okazało się, że wiele z nich jest szokująco prostych. Wiele osób było nawet tak nieostrożnych, że używało "11111", "12345" lub starego dobrego "hasła". Każdy, kto używa takiego hasła, nie powinien się dziwić włamaniom na konta. Jeśli chcesz wiedzieć, jakie hasła są najczęściej używane i ile czasu zajmuje ich złamanie, sprawdź"200 najczęstszych haseł roku 2020" przygotowane przez Nordpass. 

Kolejnym problemem, o którym nie możemy zapomnieć, są hasła z recyklingu. Przy dziesiątkach aplikacji, kont, stron internetowych i urządzeń wymagających od nas uwierzytelnienia, pamiętanie unikalnych haseł dla każdego dostępu jest oczywiście uciążliwe. Jeśli jednak używasz tego samego hasła do wielu - lub nawet wszystkich - swoich kont, podejmujesz duże ryzyko. Ponieważ jeśli złamiesz jedno ze swoich kont, automatycznie masz dostęp do wszystkich pozostałych. 

Twoje wprowadzenie do 2FA

Na pierwszy rzut oka uwierzytelnianie dwuskładnikowe wygląda jak typowy proces logowania. Aby uzyskać dostęp do strony internetowej lub aplikacji, zostaniesz poproszony o podanie nazwy użytkownika i hasła. Ale to dopiero pierwszy krok. Następnie zostaniesz poproszony o podanie jeszcze jednej informacji - oprócz nazwy użytkownika i hasła. W większości przypadków te dodatkowe informacje pochodzą z jednej z tych kategorii:

  • Wiedza osobista: Oprócz hasła będziesz proszony o podanie innych informacji, które znasz tylko Ty - na przykład kodu PIN, odpowiedzi na wcześniejsze "tajne pytania" lub wzór odblokowania na wyświetlaczu telefonu komórkowego. 
  • Informacje ze świata rzeczywistego: Użytkownik jest proszony o podanie informacji, które może uzyskać tylko on sam - na przykład kodu wrażliwego na upływ czasu, wysłanego na adres e-mail lub za pośrednictwem wiadomości SMS. 
  • Informacje biometryczne: Na przykład zostaniesz poproszony o dostarczenie odcisku palca, skanu siatkówki oka lub próbki głosu.

Dwuskładnikowe uwierzytelnianie oznacza, że żadne pojedyncze hasło nie wystarczy hakerom do złamania Twojego loginu. Jeśli więc zgubisz swój telefon lub Twoje hasło zostanie skradzione, 2FA oznacza, że cyberprzestępcy nie uzyskają dostępu do Twoich danych, nie znając na przykład imienia Twojego pierwszego zwierzaka lub ulicy, na której się wychowałeś.

Dwuskładnikowe uwierzytelnianie i bezpieczeństwo WordPress

Nie bez powodu to właśnie duże firmy są najczęściej atakowane przez hakerów: To tam znajduje się większość danych. WordPress stanowi 64 procent rynku CMS, co sprawia, że jest to środowisko, w którym naruszenie bezpieczeństwa może dostarczyć wielu danych.

Czy wiesz, że prawie 40 proc. wszystkich stron internetowych działa na WordPress ? To bardzo dużo witryn, na których hakerzy mogą szukać luk w zabezpieczeniach.

Kolejnym powodem, dla którego WordPress przyciąga hakerów jest popularność systemu zarządzania treścią. Ponieważ WordPress jest tak łatwy w użyciu, możesz uruchomić swoją stronę bez większego doświadczenia. Istnieje więc sporo stosunkowo niedoświadczonych użytkowników WordPress , których strony nie są odpowiednio zabezpieczone, nie są aktualizowane, a tym samym stanowią backdoory dla atakujących.

Jak tworzyć silne hasła

Po pierwsze i najważniejsze, powinieneś używać silnych haseł. Ale jak znaleźć dobre hasło, które będziesz mógł zapamiętać? How-To Geek Redaktor naczelny Chris Hoffmann ma dla ciebie świetną radę:

"Być może łatwiej będzie Ci zapamiętać zdanie w stylu 'Pierwszym domem, w którym kiedykolwiek mieszkałem, była ulica Fake Street 613. Czynsz wynosił 400 dolarów miesięcznie". Możesz przekształcić to zdanie w hasło, używając pierwszych cyfr każdego słowa, więc Twoim hasłem będzie TfhIeliw613FS.Rw$4pm. Jest to silne hasło składające się z 21 cyfr. Jasne, prawdziwie losowe hasło może zawierać kilka dodatkowych cyfr, symboli i wielkich liter zakodowanych wokół, ale nie jest wcale złe.

Jednak Twoje hasła powinny być nie tylko bezpieczne, ale także unikalne. Przy odpowiedniej liczbie kont Twoja pamięć zostanie wystawiona na próbę. Nie martw się jednak: istnieje wiele menedżerów haseł, które nie tylko zarządzają Twoimi hasłami, ale także generują unikalne, złożone hasła dla każdego nowego konta. Jednak hasła mają ograniczone możliwości ochrony Twojej ciężkiej pracy i Twoich danych. Wróćmy więc do uwierzytelniania dwuskładnikowego.

Jak działa uwierzytelnianie dwuskładnikowe?

Hardware Token 

Jest to oryginalna forma 2FA, w której użytkownik otrzymuje brelok, który generuje nowy kod co 30 sekund. Kiedy chcesz się zalogować na odpowiedniej stronie, sprawdzasz aktualny kod i wpisujesz go. Inną formą jest klucz USB, który po podłączeniu do komputera automatycznie wprowadza do niego kod 2FA.

Te opcje sprzętowe są lepsze niż brak 2FA, ale niestety nie są dużo lepsze. Ponieważ łatwo je zgubić, są drogie dla firm w produkcji i dystrybucji, a w każdym razie nie da się ich zhakować.

SMS i Voice 2FA 

W przypadku tego typu uwierzytelniania dwuskładnikowego logujesz się za pomocą nazwy i hasła, a następnie otrzymujesz wiadomość SMS lub głosową z unikalnym kodem dostępu (OTP). Musisz wprowadzić to hasło, aby zakończyć logowanie. Ten rodzaj 2FA jest powszechnie stosowany, choć nie jest jeszcze idealnym rozwiązaniem. W 2017 roku na przykład grupa hakerów white-hat zdołała "porwać" portfel Bitcoin, przechwytując SMS-y 2FA.

Tokeny programowe

Zdecydowanie najpopularniejszą obecnie formą 2FA jest stosowanie czasowego hasła jednorazowego (TOTP) generowanego przez program komputerowy, zwanego również "soft tokenem".

W przypadku tej metody uwierzytelniania dwuskładnikowego, najpierw pobierasz darmową aplikację 2FA - na swój smartfon lub komputer. Po zainstalowaniu, aplikacja ta będzie działać z każdą witryną, która obsługuje uwierzytelnianie TOTP. Po włączeniu funkcji 2FA za pośrednictwem TOTP dla jednego z Twoich loginów, po prostu zaloguj się, podając nazwę użytkownika i hasło. Następnie zostaniesz poproszony o wprowadzenie kodu, który zostanie wysłany do zainstalowanej aplikacji. Kod ten zazwyczaj wygasa po 60 sekundach. 

Ponieważ kod jest generowany i wyświetlany na tym samym urządzeniu, nie ma szans na przechwycenie go przez hakerów. Co więcej, aplikacje te działają również w trybie offline. Nie jesteś więc zależny od sieci komórkowej, jak w przypadku 2FA przez SMS. 

Powiadomienia 2FA Push

Inną, coraz częściej stosowaną wersją 2FA są powiadomienia push. Ich działanie polega na tym, że otrzymujesz powiadomienie od stron internetowych i aplikacji, gdy następuje próba logowania. Wystarczy potwierdzić lub odrzucić jednym kliknięciem, i voila, jesteś zalogowany bez żadnych dodatkowych haseł lub tokenów.

Jednak ta wersja 2FA działa tylko wtedy, gdy Ty i witryna macie bezpośrednie, bezpieczne połączenie.

Której aplikacji 2FA możesz użyć?

Istnieją niezliczone aplikacje, które można wykorzystać do uwierzytelniania TOTP opisanego powyżej. Aby oczyścić dżunglę trochę, przyniosłem ci dwa przykłady:

Jeśli używasz Androida, na przykład, aplikacja iOTP jest dobrym wyborem. Oferuje możliwość ustawienia hasła do otwierania aplikacji oraz tworzenia i szyfrowania kopii zapasowych. Na przykład za każdym razem, gdy dodajesz lub usuwasz nową usługę, możesz utworzyć zaszyfrowaną kopię zapasową w chmurze prywatnej, dzięki czemu nie będziesz mieć problemu, gdy zmienisz urządzenie mobilne. Integracja z 1Password lub innymi menedżerami haseł również działa z andOTP bez żadnych problemów.

Ponieważ andOTP nie jest dostępny dla iOS, Twilio Authy jest dobrym wyborem dla użytkowników Apple. Zalety: Authy oferuje usługę tworzenia kopii zapasowych w iCloud lub za pośrednictwem Google Drive i jest regularnie poddawany intensywnym testom bezpieczeństwa.

Ponadto, można generować kody TOTP za pomocą większości menedżerów haseł. Jeśli używasz na przykład 1Password, pomoże Ci ten przewodnik krok po kroku

Dwuskładnikowe uwierzytelnianie w Raidboxes

Od teraz możesz aktywować uwierzytelnianie dwuskładnikowe dla konta Raidboxes oprócz normalnego logowania. Jeśli funkcja 2FA jest aktywna, podczas logowania się do pulpitu nawigacyjnego RB oprócz hasła musisz podać inny kod, który możesz otrzymać pocztą elektroniczną, SMS-em lub za pomocą aplikacji uwierzytelniającej. 

Korzystanie z funkcji 2FA jest bezpłatne i opcjonalne dla wszystkich klientów Raidboxes. Zalecamy jednak, abyś aktywował tę dodatkową ochronę. W końcu osoba, która zaloguje się na Twoje konto Raidboxes bez autoryzacji, będzie miała dostęp nie tylko do Twoich danych, ale także do danych Twoich klientów — na przykład, jeśli zarządzasz stronami klientów jako administrator.

2FA przez aplikację, pocztę lub SMS

Uwierzytelnianie dwuskładnikowe jest możliwe w Raidboxes na trzy sposoby:

  • Aplikacja: Aby skorzystać z naszej funkcji 2FA, możesz użyć dowolnej aplikacji uwierzytelniającej, która obsługuje TOTP. Na przykład polecamy andOTP (dla systemu Android) lub Authy (dla systemu iOS).
  • E-mail: Jeśli chcesz korzystać z 2FA za pośrednictwem poczty, kody uwierzytelniające zostaną wysłane na adres e-mail zarejestrowany w Raidboxes.
  • SMS: Jeśli masz co najmniej jedną płatną umowę, możesz używać 2FA również poprzez SMS. (Podany przez Ciebie numer telefonu komórkowego nie jest przechowywany w naszym systemie. Dlatego nie widzimy, którego numeru używasz do 2FA).
uwierzytelnianie dwuskładnikowe

Po aktywacji dwuskładnikowego uwierzytelniania dla swojego konta Raidboxes (wyjaśniamy, jak to zrobić w tym poście z informacjami pomocniczymi), podczas logowania będziesz musiał wprowadzić dodatkowy kod, który zostanie ci przesłany wybraną przez ciebie metodą.

Musisz również wprowadzić kod 2FA, aby dezaktywować tę funkcję. Jeśli kiedykolwiek zablokujesz się ze swojego konta, po prostu skontaktuj się z naszą pomocą techniczną poprzez czat na żywo. 

Dla kogo obowiązuje zasada 2FA w Raidboxes?

Możesz aktywować uwierzytelnianie dwuskładnikowe za pomocą kilku kliknięć w ustawieniach swojego konta. Pamiętaj, że ochrona 2FA w Raidboxes dotyczy tylko konta, dla którego została aktywowana - nie dotyczy poszczególnych skrzynek ani ich administratorów.

Aby jednak najlepiej chronić dane użytkownika (i jego firmy), zdecydowanie zalecamy, aby wszyscy użytkownicy zabezpieczali swój dostęp do Raidboxes za pomocą 2FA.

A co z 2FA dla WordPressa?

Pragniemy zaznaczyć, że nasza funkcja 2FA dotyczy tylko Twojego konta w Raidboxes, a nie loginu WordPress. Istnieje jednak wiele wtyczek 2FA WordPress, których możesz użyć, aby zabezpieczyć swoje logowanie w WordPressie.

Co to jest uwierzytelnianie dwuskładnikowe i jak można go używać w Raidboxes?
Google Authenticator WordPress Plugin w WP Plugin Directory

Należy do nich na przykład wtyczka"Google Authenticator - WordPress Two Factor Authentication" z ponad 20 000 aktywnych instalacji. Albo"Two Factor Authentication" - również z ponad 20 000 użytkowników - od twórców popularnej wtyczki do tworzenia kopii zapasowych "UpdraftPlus". Więcej wtyczek 2FA możesz łatwo znaleźć w oficjalnym katalogu wtyczek WordPressa lub w swoim WordPressie Dashboard w sekcji Wtyczki > Zainstaluj

Nasz wniosek

Z dumą informujemy, że Dashboard Raidboxes jest teraz jeszcze bardziej bezpieczny dla naszych użytkowników dzięki dwuskładnikowemu uwierzytelnianiu. Mimo że aktywacja 2FA nie jest dla nas obowiązkowa, mamy nadzieję, że powyższe zalety Cię przekonały. Dzięki temu, że dodatkowo żądasz kodu 2FA, Twoje konto zyskuje kolejny poziom bezpieczeństwa, a Ty masz pewność, że Twoje dane (i dane Twoich klientów) są jeszcze lepiej chronione przed nieuprawnionym dostępem.

Zapraszamy Cię do współpracy!

Jeśli masz jakieś pytania dotyczące dwuskładnikowego uwierzytelniania lub korzystania z funkcji 2FA w Raidboxes, zostaw nam komentarz lub skontaktuj się z nami za pośrednictwem naszego czatu na żywo!



Spodobał Ci się ten artykuł?

Zostawiając opinię pomożesz nam udoskonalać publikowane przez nas treści.

Marten Gülink

Jako twórca stron internetowych w Raidboxes, Marten zawsze pracuje nad nowymi funkcjami dla naszych klientów. W "wp unboxed" zdobywa również punkty za swoją wiedzę na temat tworzenia stron internetowych, WordPressa i naszego pulpitu. W wolnym czasie lubi też self-hosting i najnowsze trendy w internecie.

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola wymagane oznaczone są *.