Czym właściwie jest uwierzytelnianie dwuskładnikowe i jak można z niego korzystać na stronie RAIDBOXES ?

Marten Gülink Ostatnia aktualizacja 15.02.2021
8 Min.
2FA WordPress  i RAIDBOXES
Ostatnia aktualizacja 15.02.2021

Możesz teraz zabezpieczyć swoje konto RAIDBOXES za pomocą uwierzytelniania dwuskładnikowego (2FA). Dlaczego 2FA jest tak skutecznym środkiem bezpieczeństwa dla WordPress , Twojego logowania do RB dashboard lub innych Twoich dostępów i jak działa uwierzytelnianie dwuskładnikowe, wyjaśniamy w tym artykule. 

Koszmar nieautoryzowanych loginów

Oczywiście, ponieważ nasze życie w coraz większym stopniu toczy się w sieci, byłoby absolutnym koszmarem, gdyby ktoś uzyskał dostęp do jednego lub nawet wszystkich Twoich kont. Wyobraź sobie, że firma, której powierzyłeś swoje dane finansowe lub osobowe, została zhakowana lub wyciek danych został upubliczniony. Na szczęście, nie tylko przestępcy internetowi stali się bardziej pomysłowi - cyberbezpieczeństwo chroniące przed napastnikami również się poprawia. Najnowsze rozwiązania w zakresie bezpieczeństwa obejmują uwierzytelnianie dwuskładnikowe (2FA).

Jako hoster WordPress , temat bezpieczeństwa ma dla nas szczególnie wysoki priorytet i stale pracujemy nad integracją nowych funkcji bezpieczeństwa. Aby uczynić pulpit nawigacyjny RAIDBOXES jeszcze bezpieczniejszym, nasi klienci mogą teraz korzystać z uwierzytelniania dwuskładnikowego. 

Co to jest 2FA i dlaczego jest tak ważne?

Aby jak najlepiej wyjaśnić, dlaczego uwierzytelnianie dwuskładnikowe jest tak ważne dla bezpieczeństwa danych w dzisiejszych czasach, pozwól mi najpierw zdefiniować, czym 2FA nie jest.

Po pierwsze, 2FA nie jest hasłem, a przynajmniej nie do końca. Jeśli porozmawiasz z ekspertami, prawdopodobnie powiedzą Ci: "Czasy, w których hasło wystarczało, aby zapobiec nieautoryzowanemu dostępowi do Twojej witryny, dawno minęły - jeśli w ogóle kiedykolwiek działało dobrze."

Powód? Błąd ludzki.

Niedbałość w nadawaniu haseł

W niedawnej analizie sprawdzono ponad 1,4 miliarda zhakowanych haseł i okazało się, że wiele z nich było szokująco prostych. Sporo osób było nawet na tyle nieostrożnych, by używać "11111", "12345" lub starego dobrego "hasła". Każdy, kto używa takiego hasła, nie powinien się dziwić włamaniom na konta. Jeśli chcesz wiedzieć dokładnie, które hasła są najczęściej używane i ile czasu zajmuje ich złamanie, sprawdź Nordpass"Top 200 najczęściejużywanych hasełroku 2020". 

Kolejnym problemem, o którym nie możemy zapomnieć, są hasła z recyklingu. Przy dziesiątkach aplikacji, kont, stron internetowych i urządzeń wymagających od nas uwierzytelnienia, pamiętanie unikalnych haseł dla każdego dostępu jest oczywiście uciążliwe. Jeśli jednak używasz tego samego hasła do wielu - lub nawet wszystkich - swoich kont, podejmujesz duże ryzyko. Ponieważ jeśli złamiesz jedno ze swoich kont, automatycznie masz dostęp do wszystkich pozostałych. 

Twoje wprowadzenie do 2FA

Na pierwszy rzut oka uwierzytelnianie dwuskładnikowe wygląda jak typowy proces logowania. Aby uzyskać dostęp do strony internetowej lub aplikacji, zostaniesz poproszony o podanie nazwy użytkownika i hasła. Ale to dopiero pierwszy krok. Następnie zostaniesz poproszony o podanie jeszcze jednej informacji - oprócz nazwy użytkownika i hasła. W większości przypadków te dodatkowe informacje pochodzą z jednej z tych kategorii:

  • Osobista wiedza: Oprócz hasła zostaniesz poproszony o podanie innych informacji, które znasz tylko Ty - na przykład kodu PIN, odpowiedzi na wcześniej zadane "tajne pytania" lub wzoru odblokowania na ekranie telefonu. 
  • Informacje ze świata rzeczywistego: Użytkownik jest proszony o podanie informacji, które może uzyskać tylko on sam - na przykład kodu wrażliwego na upływ czasu, wysłanego na adres e-mail lub za pośrednictwem wiadomości SMS. 
  • Informacje biometryczne: Na przykład, możesz zostać poproszony o podanie odcisku palca, skanu siatkówki oka lub odcisku głosu.

Dwuskładnikowe uwierzytelnianie oznacza, że żadne pojedyncze hasło nie wystarczy hakerom do złamania Twojego loginu. Jeśli więc zgubisz swój telefon lub Twoje hasło zostanie skradzione, 2FA oznacza, że cyberprzestępcy nie uzyskają dostępu do Twoich danych, nie znając na przykład imienia Twojego pierwszego zwierzaka lub ulicy, na której się wychowałeś.

Dwuskładnikowe uwierzytelnianie i bezpieczeństwo WordPress

Nie bez powodu to właśnie duże firmy są najczęściej atakowane przez hakerów: To tam znajduje się większość danych. WordPress stanowi 64 procent rynku CMS, co sprawia, że jest to środowisko, w którym naruszenie bezpieczeństwa może dostarczyć wielu danych.

Czy wiesz, że prawie 40 proc. wszystkich stron internetowych działa na WordPress ? To bardzo dużo witryn, na których hakerzy mogą szukać luk w zabezpieczeniach.

Kolejnym powodem, dla którego WordPress przyciąga hakerów jest popularność systemu zarządzania treścią. Ponieważ WordPress jest tak łatwy w użyciu, możesz uruchomić swoją stronę bez większego doświadczenia. Istnieje więc sporo stosunkowo niedoświadczonych użytkowników WordPress , których strony nie są odpowiednio zabezpieczone, nie są aktualizowane, a tym samym stanowią backdoory dla atakujących.

Jak możesz chronić swoją stronę WordPress ?

Po pierwsze i najważniejsze, należy używać silnych haseł. Ale jak znaleźć dobre hasło, które będziesz mógł zapamiętać? Redaktor naczelny How-To Geek Chris Hoffmann ma dla Ciebie świetną wskazówkę:

"Być może łatwiej będzie Ci zapamiętać zdanie w stylu 'Pierwszym domem, w którym kiedykolwiek mieszkałem, była ulica Fake Street 613. Czynsz wynosił 400 dolarów miesięcznie". Możesz przekształcić to zdanie w hasło, używając pierwszych cyfr każdego słowa, więc Twoim hasłem będzie TfhIeliw613FS.Rw$4pm. Jest to silne hasło składające się z 21 cyfr. Jasne, prawdziwie losowe hasło może zawierać kilka dodatkowych cyfr, symboli i wielkich liter zakodowanych wokół, ale nie jest wcale złe.

Jednak Twoje hasła powinny być nie tylko bezpieczne, ale również unikalne. Przy odpowiedniej liczbie kont, Twoja pamięć zostanie wystawiona na próbę. Ale nie martw się: istnieje wiele menedżerów haseł, które nie tylko zarządzają Twoimi hasłami, ale także generują unikalne, złożone hasła dla każdego nowego konta. Ale znowu, hasła są ograniczone w ich zdolności do ochrony Twojej ciężkiej pracy i Twoich danych. Wróćmy więc do dwuskładnikowego uwierzytelniania.

Jak działa uwierzytelnianie dwuskładnikowe?

Token sprzętowy 

Jest to oryginalna forma 2FA, w której użytkownik otrzymuje brelok, który generuje nowy kod co 30 sekund. Kiedy chcesz się zalogować na odpowiedniej stronie, sprawdzasz aktualny kod i wpisujesz go. Inną formą jest klucz USB, który po podłączeniu do komputera automatycznie wprowadza do niego kod 2FA.

Te opcje sprzętowe są lepsze niż brak 2FA w ogóle, ale niestety nie są dużo lepsze. Ponieważ łatwo je zgubić, są drogie dla firm w produkcji i dystrybucji, a na pewno nie są niemożliwe do zhakowania.

SMS i Voice 2FA 

W przypadku tego typu uwierzytelniania dwuskładnikowego, logujesz się za pomocą nazwy użytkownika i hasła, a następnie otrzymujesz SMS lub wiadomość głosową z unikalnym kodem OTP. Musisz go wpisać, aby zakończyć logowanie. Ten rodzaj 2FA jest powszechnie stosowany, choć nie jest to jeszcze idealne rozwiązanie. W 2017 roku, na przykład, grupa hakerów white-hat zdołała "porwać" portfel Bitcoin poprzez przechwycenie SMS-ów 2FA.

Tokeny programowe

Zdecydowanie najbardziej popularną formą 2FA jest obecnie korzystanie z jednorazowego hasła czasowego (TOTP) generowanego przez program komputerowy, zwanego również "soft tokenem".

W przypadku tej metody uwierzytelniania dwuskładnikowego, najpierw pobierasz darmową aplikację 2FA - na swój smartfon lub komputer. Po zainstalowaniu, aplikacja ta będzie działać z każdą witryną, która obsługuje uwierzytelnianie TOTP. Po włączeniu funkcji 2FA za pośrednictwem TOTP dla jednego z Twoich loginów, po prostu zaloguj się, podając nazwę użytkownika i hasło. Następnie zostaniesz poproszony o wprowadzenie kodu, który zostanie wysłany do zainstalowanej aplikacji. Kod ten zazwyczaj wygasa po 60 sekundach. 

Ponieważ kod jest generowany i wyświetlany na tym samym urządzeniu, nie ma szans na jego przechwycenie przez hakerów. Co więcej, aplikacje te działają również w trybie offline. Nie jesteś więc zależny od sieci komórkowej, jak to ma miejsce w przypadku 2FA przez SMS. 

Powiadomienia 2FA Push

Inną, coraz częściej stosowaną wersją 2FA są powiadomienia push. Ich działanie polega na tym, że otrzymujesz powiadomienie od stron internetowych i aplikacji, gdy następuje próba logowania. Wystarczy potwierdzić lub odrzucić jednym kliknięciem, i voila, jesteś zalogowany bez żadnych dodatkowych haseł lub tokenów.

Jednak ta wersja 2FA działa tylko wtedy, gdy Ty i witryna macie bezpośrednie, bezpieczne połączenie.

Której aplikacji 2FA możesz użyć?

Istnieją niezliczone aplikacje, które można wykorzystać do uwierzytelniania TOTP opisanego powyżej. Aby oczyścić dżunglę trochę, przyniosłem ci dwa przykłady:

Jeśli używasz Androida, na przykład, aplikacja iOTP jest dobrym wyborem. Oferuje możliwość ustawienia hasła do otwierania aplikacji oraz tworzenia i szyfrowania kopii zapasowych. Na przykład za każdym razem, gdy dodajesz lub usuwasz nową usługę, możesz utworzyć zaszyfrowaną kopię zapasową w chmurze prywatnej, dzięki czemu nie będziesz mieć problemu, gdy zmienisz urządzenie mobilne. Integracja z 1Password lub innymi menedżerami haseł również działa z andOTP bez żadnych problemów.

Ponieważ andOTP nie jest dostępny dla iOS, Twilio Authy jest dobrym wyborem dla użytkowników Apple. Zalety: Authy oferuje usługę tworzenia kopii zapasowych w iCloud lub za pośrednictwem Google Drive i jest regularnie poddawany intensywnym testom bezpieczeństwa.

Ponadto, można generować kody TOTP za pomocą większości menedżerów haseł. Jeśli używasz na przykład 1Password, pomoże Ci ten przewodnik krok po kroku

Dwuskładnikowe uwierzytelnianie dla RAIDBOXES

Od teraz możesz aktywować uwierzytelnianie dwuskładnikowe dla konta RAIDBOXES jako dodatek do normalnego logowania. Jeśli 2FA jest aktywne, podczas logowania do pulpitu nawigacyjnego RB, oprócz hasła, musisz podać jeszcze jeden kod. Możesz wybrać, czy chcesz otrzymać ten kod e-mailem, SMS-em czy przez aplikację uwierzytelniającą. 

Korzystanie z funkcji 2FA jest bezpłatne i opcjonalne dla wszystkich klientów RAIDBOXES . Zalecamy jednak, aby aktywować tę dodatkową funkcję. W końcu, gdyby ktoś nieuprawniony zalogował się na Twoje konto RAIDBOXES , miałby dostęp nie tylko do Twoich danych, ale także do danych Twoich klientów - na przykład, jeśli zarządzasz stronami klientów jako administrator.

2FA przez aplikację, pocztę lub SMS

Dwuskładnikowe uwierzytelnianie jest dostępne na trzy sposoby na stronie RAIDBOXES :

  • Aplikacja: Aby skorzystać z naszej funkcji 2FA, możesz użyć dowolnej aplikacji uwierzytelniającej, która obsługuje TOTP. Na przykład, polecamy andOTP (dla Androida) lub Authy (dla iOS).
  • Email: Jeśli chcesz korzystać z 2FA przez e-mail, otrzymasz kody uwierzytelniające wysłane na adres e-mail zarejestrowany na stronie RAIDBOXES .
  • SMS: Jeśli masz co najmniej jedną płatną umowę, możesz używać 2FA również poprzez SMS. (Podany przez Ciebie numer telefonu komórkowego nie jest przechowywany w naszym systemie. Dlatego nie widzimy, którego numeru używasz do 2FA).
uwierzytelnianie dwuskładnikowe

Po aktywacji dwuskładnikowego uwierzytelniania dla Twojego konta RAIDBOXES (jak to zrobić, wyjaśniono w tym artykule pomocy), będziesz musiał wprowadzić dodatkowy kod podczas logowania, który zostanie wysłany do Ciebie wybraną metodą.

Musisz również wprowadzić kod 2FA, aby dezaktywować tę funkcję. Jeśli kiedykolwiek zablokujesz się ze swojego konta, po prostu skontaktuj się z naszą pomocą techniczną poprzez czat na żywo. 

Kogo dotyczy 2FA na RAIDBOXES?

Możesz aktywować uwierzytelnianie dwuskładnikowe za pomocą kilku kliknięć w ustawieniach konta. Proszę pamiętać, że ochrona 2FA z RAIDBOXES dotyczy tylko konta, dla którego ją aktywowałeś - nie dotyczy poszczególnych BOXES lub ich administratorów.

Jednakże, aby najlepiej chronić dane (i dane firmy), zdecydowanie zalecamy, aby wszyscy użytkownicy zabezpieczyli swój dostęp do RAIDBOXES za pomocą 2FA.

A co z 2FA dla WordPress ?

Przypominamy, że nasza funkcja 2FA jest dostępna tylko dla Twojego konta RAIDBOXES , a nie dla loginu WordPress . Istnieje jednak wiele 2FA WordPress Plugins , których możesz użyć, aby zabezpieczyć swoje WordPress logowanie.

Czym właściwie jest uwierzytelnianie dwuskładnikowe i jak można z niego korzystać na stronie RAIDBOXES ?
Google Authenticator WordPress Plugin w WP Plugin Directory

Należy do nich na przykład Plugin "Google Authenticator - WordPress Two Factor Authentication" z ponad 20.000 aktywnych instalacji. Albo"Two Factor Authentication" - również z ponad 20.000 użytkowników - od twórców popularnego backupu Plugins "UpdraftPlus". Możesz znaleźć więcej 2FA Plugins łatwo w oficjalnym kataloguWordPress Plugin lub w swoim WordPress dashboard pod Plugins > Zainstaluj

Nasz wniosek

Z dumą informujemy, że pulpit RAIDBOXES jest teraz jeszcze bardziej bezpieczny dla naszych użytkowników dzięki dwuskładnikowemu uwierzytelnianiu. Mimo, że aktywacja 2FA nie jest dla nas obowiązkowa, mamy nadzieję, że wymienione zalety przekonały Państwa. Dzięki dodatkowej prośbie o kod 2FA, Twoje konto zyskuje kolejną warstwę bezpieczeństwa, a Ty zapewniasz, że Twoje dane (i dane Twoich klientów) są jeszcze lepiej chronione przed nieautoryzowanym dostępem.

Zapraszamy do współpracy!

Jeśli masz dalsze pytania dotyczące uwierzytelniania dwuskładnikowego lub sposobu korzystania z funkcji 2FA na RAIDBOXES, zostaw nam komentarz lub skontaktuj się z nami na czacie na żywo!



Jako web developer w RAIDBOXES , Marten zawsze pracuje nad nowymi funkcjami dla naszych klientów. Na "wp unboxed" punktuje również swoją wiedzą na temat tworzenia stron internetowych, WordPress i naszego dashboardu. W wolnym czasie lubi też zajmować się self-hostingiem i najnowszymi trendami w internecie.

Powiązane artykuły

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola obowiązkowe oznaczone są *.