2FA WordPress i Raidboxes

Co to jest uwierzytelnianie dwuskładnikowe i jak można z niego korzystać na stronie Raidboxes ?

Teraz możesz zabezpieczyć swoje konto Raidboxes za pomocą uwierzytelniania dwuskładnikowego (2FA). W tym artykule wyjaśniono, dlaczego uwierzytelnianie dwuskładnikowe jest tak skutecznym środkiem bezpieczeństwa dla WordPressa, logowania do witryny Raidboxes Dashboard lub innych Twoich dostępów oraz jak działa uwierzytelnianie dwuskładnikowe. 

Koszmar nieautoryzowanych loginów

Oczywiście, jako że nasze życie coraz częściej toczy się w sieci, byłoby absolutnym koszmarem, gdyby ktoś uzyskał dostęp do jednego lub nawet wszystkich twoich kont. Wyobraź sobie, że firma, której powierzyłeś swoje dane finansowe lub osobiste, została zhakowana lub że wyciek danych stał się publiczny. Na szczęście nie tylko przestępcy internetowi stali się bardziej zaradni - cyberbezpieczeństwo chroniące przed napastnikami również się poprawia. Najnowsze rozwiązania w dziedzinie bezpieczeństwa obejmują uwierzytelnianie dwuetapowe ( 2FA).

Jako hostingodawca WordPressa, temat bezpieczeństwa jest dla nas szczególnie ważny i stale pracujemy nad integracją nowych funkcji bezpieczeństwa. Aby jeszcze bardziej zwiększyć bezpieczeństwo serwisu Raidboxes Dashboard , nasi klienci mogą korzystać z uwierzytelniania dwuskładnikowego. 

Co to jest 2FA i dlaczego jest tak ważne?

Aby jak najlepiej wyjaśnić, dlaczego uwierzytelnianie dwuskładnikowe jest tak ważne dla bezpieczeństwa danych w dzisiejszych czasach, pozwól mi najpierw zdefiniować, czym 2FA nie jest.

Po pierwsze, 2FA nie jest hasłem, a przynajmniej nie do końca. Jeśli porozmawiasz z ekspertami, prawdopodobnie powiedzą Ci: "Czasy, w których hasło wystarczało, aby zapobiec nieautoryzowanemu dostępowi do Twojej witryny, dawno minęły - jeśli w ogóle kiedykolwiek działało dobrze."

Powód? Błąd ludzki.

Niedbałość w nadawaniu haseł

W niedawnej analizie sprawdzono ponad 1,4 miliarda zhakowanych haseł i okazało się, że wiele z nich było szokująco prostych. Sporo osób było nawet na tyle nieostrożnych, by używać "11111", "12345" lub starego dobrego "hasła". Każdy, kto używa takiego hasła, nie powinien się dziwić włamaniom na konta. Jeśli chcesz wiedzieć dokładnie, które hasła są najczęściej używane i ile czasu zajmuje ich złamanie, sprawdź Nordpass"Top 200 najczęściejużywanych hasełroku 2020". 

Kolejnym problemem, o którym nie możemy zapomnieć, są hasła z recyklingu. Przy dziesiątkach aplikacji, kont, stron internetowych i urządzeń wymagających od nas uwierzytelnienia, pamiętanie unikalnych haseł dla każdego dostępu jest oczywiście uciążliwe. Jeśli jednak używasz tego samego hasła do wielu - lub nawet wszystkich - swoich kont, podejmujesz duże ryzyko. Ponieważ jeśli złamiesz jedno ze swoich kont, automatycznie masz dostęp do wszystkich pozostałych. 

Twoje wprowadzenie do 2FA

Na pierwszy rzut oka uwierzytelnianie dwuskładnikowe wygląda jak typowy proces logowania. Aby uzyskać dostęp do strony internetowej lub aplikacji, zostaniesz poproszony o podanie nazwy użytkownika i hasła. Ale to dopiero pierwszy krok. Następnie zostaniesz poproszony o podanie jeszcze jednej informacji - oprócz nazwy użytkownika i hasła. W większości przypadków te dodatkowe informacje pochodzą z jednej z tych kategorii:

  • Osobista wiedza: Oprócz hasła zostaniesz poproszony o podanie innych informacji, które znasz tylko Ty - na przykład kodu PIN, odpowiedzi na wcześniej zadane "tajne pytania" lub wzoru odblokowania na ekranie telefonu. 
  • Informacje ze świata rzeczywistego: Użytkownik jest proszony o podanie informacji, które może uzyskać tylko on sam - na przykład kodu wrażliwego na upływ czasu, wysłanego na adres e-mail lub za pośrednictwem wiadomości SMS. 
  • Informacje biometryczne: Na przykład, możesz zostać poproszony o podanie odcisku palca, skanu siatkówki oka lub odcisku głosu.

Dwuskładnikowe uwierzytelnianie oznacza, że żadne pojedyncze hasło nie wystarczy hakerom do złamania Twojego loginu. Jeśli więc zgubisz swój telefon lub Twoje hasło zostanie skradzione, 2FA oznacza, że cyberprzestępcy nie uzyskają dostępu do Twoich danych, nie znając na przykład imienia Twojego pierwszego zwierzaka lub ulicy, na której się wychowałeś.

Dwuskładnikowe uwierzytelnianie i bezpieczeństwo WordPress

Nie bez powodu to właśnie duże firmy są najczęściej atakowane przez hakerów: To tam znajduje się większość danych. WordPress stanowi 64 procent rynku CMS, co sprawia, że jest to środowisko, w którym naruszenie bezpieczeństwa może dostarczyć wielu danych.

Czy wiesz, że prawie 40 proc. wszystkich stron internetowych działa na WordPress ? To bardzo dużo witryn, na których hakerzy mogą szukać luk w zabezpieczeniach.

Kolejnym powodem, dla którego WordPress przyciąga hakerów jest popularność systemu zarządzania treścią. Ponieważ WordPress jest tak łatwy w użyciu, możesz uruchomić swoją stronę bez większego doświadczenia. Istnieje więc sporo stosunkowo niedoświadczonych użytkowników WordPress , których strony nie są odpowiednio zabezpieczone, nie są aktualizowane, a tym samym stanowią backdoory dla atakujących.

Jak możesz chronić swoją stronę WordPress ?

Po pierwsze i najważniejsze, należy używać silnych haseł. Ale jak znaleźć dobre hasło, które będziesz mógł zapamiętać? Redaktor naczelny How-To Geek Chris Hoffmann ma dla Ciebie świetną wskazówkę:

"Być może łatwiej będzie Ci zapamiętać zdanie w stylu 'Pierwszym domem, w którym kiedykolwiek mieszkałem, była ulica Fake Street 613. Czynsz wynosił 400 dolarów miesięcznie". Możesz przekształcić to zdanie w hasło, używając pierwszych cyfr każdego słowa, więc Twoim hasłem będzie TfhIeliw613FS.Rw$4pm. Jest to silne hasło składające się z 21 cyfr. Jasne, prawdziwie losowe hasło może zawierać kilka dodatkowych cyfr, symboli i wielkich liter zakodowanych wokół, ale nie jest wcale złe.

Jednak Twoje hasła powinny być nie tylko bezpieczne, ale również unikalne. Przy odpowiedniej liczbie kont, Twoja pamięć zostanie wystawiona na próbę. Ale nie martw się: istnieje wiele menedżerów haseł, które nie tylko zarządzają Twoimi hasłami, ale także generują unikalne, złożone hasła dla każdego nowego konta. Ale znowu, hasła są ograniczone w ich zdolności do ochrony Twojej ciężkiej pracy i Twoich danych. Wróćmy więc do dwuskładnikowego uwierzytelniania.

Jak działa uwierzytelnianie dwuskładnikowe?

Token sprzętowy 

Jest to oryginalna forma 2FA, w której użytkownik otrzymuje brelok, który generuje nowy kod co 30 sekund. Kiedy chcesz się zalogować na odpowiedniej stronie, sprawdzasz aktualny kod i wpisujesz go. Inną formą jest klucz USB, który po podłączeniu do komputera automatycznie wprowadza do niego kod 2FA.

Te opcje sprzętowe są lepsze niż brak 2FA w ogóle, ale niestety nie są dużo lepsze. Ponieważ łatwo je zgubić, są drogie dla firm w produkcji i dystrybucji, a na pewno nie są niemożliwe do zhakowania.

SMS i Voice 2FA 

W przypadku tego typu uwierzytelniania dwuskładnikowego, logujesz się za pomocą nazwy użytkownika i hasła, a następnie otrzymujesz SMS lub wiadomość głosową z unikalnym kodem OTP. Musisz go wpisać, aby zakończyć logowanie. Ten rodzaj 2FA jest powszechnie stosowany, choć nie jest to jeszcze idealne rozwiązanie. W 2017 roku, na przykład, grupa hakerów white-hat zdołała "porwać" portfel Bitcoin poprzez przechwycenie SMS-ów 2FA.

Tokeny programowe

Zdecydowanie najbardziej popularną formą 2FA jest obecnie korzystanie z jednorazowego hasła czasowego (TOTP) generowanego przez program komputerowy, zwanego również "soft tokenem".

W przypadku tej metody uwierzytelniania dwuskładnikowego, najpierw pobierasz darmową aplikację 2FA - na swój smartfon lub komputer. Po zainstalowaniu, aplikacja ta będzie działać z każdą witryną, która obsługuje uwierzytelnianie TOTP. Po włączeniu funkcji 2FA za pośrednictwem TOTP dla jednego z Twoich loginów, po prostu zaloguj się, podając nazwę użytkownika i hasło. Następnie zostaniesz poproszony o wprowadzenie kodu, który zostanie wysłany do zainstalowanej aplikacji. Kod ten zazwyczaj wygasa po 60 sekundach. 

Ponieważ kod jest generowany i wyświetlany na tym samym urządzeniu, nie ma szans na jego przechwycenie przez hakerów. Co więcej, aplikacje te działają również w trybie offline. Nie jesteś więc zależny od sieci komórkowej, jak to ma miejsce w przypadku 2FA przez SMS. 

Powiadomienia 2FA Push

Inną, coraz częściej stosowaną wersją 2FA są powiadomienia push. Ich działanie polega na tym, że otrzymujesz powiadomienie od stron internetowych i aplikacji, gdy następuje próba logowania. Wystarczy potwierdzić lub odrzucić jednym kliknięciem, i voila, jesteś zalogowany bez żadnych dodatkowych haseł lub tokenów.

Jednak ta wersja 2FA działa tylko wtedy, gdy Ty i witryna macie bezpośrednie, bezpieczne połączenie.

Której aplikacji 2FA możesz użyć?

Istnieją niezliczone aplikacje, które można wykorzystać do uwierzytelniania TOTP opisanego powyżej. Aby oczyścić dżunglę trochę, przyniosłem ci dwa przykłady:

Jeśli używasz Androida, na przykład, aplikacja iOTP jest dobrym wyborem. Oferuje możliwość ustawienia hasła do otwierania aplikacji oraz tworzenia i szyfrowania kopii zapasowych. Na przykład za każdym razem, gdy dodajesz lub usuwasz nową usługę, możesz utworzyć zaszyfrowaną kopię zapasową w chmurze prywatnej, dzięki czemu nie będziesz mieć problemu, gdy zmienisz urządzenie mobilne. Integracja z 1Password lub innymi menedżerami haseł również działa z andOTP bez żadnych problemów.

Ponieważ andOTP nie jest dostępny dla iOS, Twilio Authy jest dobrym wyborem dla użytkowników Apple. Zalety: Authy oferuje usługę tworzenia kopii zapasowych w iCloud lub za pośrednictwem Google Drive i jest regularnie poddawany intensywnym testom bezpieczeństwa.

Ponadto, można generować kody TOTP za pomocą większości menedżerów haseł. Jeśli używasz na przykład 1Password, pomoże Ci ten przewodnik krok po kroku

Dwuskładnikowe uwierzytelnianie dla Raidboxes

Od teraz można aktywować uwierzytelnianie dwuskładnikowe dla konta Raidboxes oprócz normalnego logowania. Jeśli funkcja 2FA jest aktywna, podczas logowania do serwisu RB-Dashboard oprócz hasła należy wprowadzić inny kod. Można wybrać kod wysyłany pocztą elektroniczną, SMS-em lub za pośrednictwem aplikacji uwierzytelniającej. 

Korzystanie z funkcji 2FA jest bezpłatne i opcjonalne dla wszystkich klientów serwisu Raidboxes . Zdecydowanie zalecamy jednak włączenie tej dodatkowej ochrony. W końcu osoba, która zaloguje się na konto Raidboxes bez autoryzacji, będzie miała dostęp nie tylko do Twoich danych, ale także do danych Twoich klientów - na przykład jeśli zarządzasz stronami klientów jako administrator.

2FA przez aplikację, pocztę lub SMS

Uwierzytelnianie dwuskładnikowe jest możliwe na stronie Raidboxes na trzy sposoby:

  • Aplikacja: Aby skorzystać z naszej funkcji 2FA, możesz użyć dowolnej aplikacji uwierzytelniającej, która obsługuje TOTP. Na przykład, polecamy andOTP (dla Androida) lub Authy (dla iOS).
  • E-mail: Jeśli chcesz korzystać z 2FA za pośrednictwem poczty elektronicznej, kody uwierzytelniające otrzymasz na adres e-mail, za pomocą którego jesteś zarejestrowany na stronie Raidboxes .
  • SMS: Jeśli masz co najmniej jedną płatną umowę, możesz używać 2FA również poprzez SMS. (Podany przez Ciebie numer telefonu komórkowego nie jest przechowywany w naszym systemie. Dlatego nie widzimy, którego numeru używasz do 2FA).
uwierzytelnianie dwuskładnikowe

Po aktywowaniu uwierzytelniania dwuskładnikowego dla konta Raidboxes (sposób postępowania wyjaśniamy w tym artykule pomocy), podczas logowania trzeba będzie wprowadzić dodatkowy kod, który zostanie wysłany wybraną metodą.

Musisz również wprowadzić kod 2FA, aby dezaktywować tę funkcję. Jeśli kiedykolwiek zablokujesz się ze swojego konta, po prostu skontaktuj się z naszą pomocą techniczną poprzez czat na żywo. 

Kogo obowiązuje zasada 2FA na stronie Raidboxes?

Dwuskładnikowe uwierzytelnianie można aktywować kilkoma kliknięciami w ustawieniach konta. Należy pamiętać, że ochrona 2FA w witrynie Raidboxes dotyczy tylko konta, dla którego ją aktywowano - nie dotyczy poszczególnych skrzynek ani ich administratorów.

Jednak aby jak najlepiej chronić dane użytkownika (i jego firmy), zdecydowanie zalecamy, aby wszyscy użytkownicy zabezpieczyli swój dostęp do witryny Raidboxes za pomocą 2FA.

A co z 2FA dla WordPress ?

W tym miejscu chcielibyśmy zaznaczyć, że nasza funkcja 2FA ma zastosowanie tylko do konta Raidboxes , a nie do loginu WordPress. Istnieje jednak wiele wtyczek 2FA WordPress, których można użyć do zabezpieczenia logowania do WordPressa.

Co to jest uwierzytelnianie dwuskładnikowe i jak można z niego korzystać na stronie Raidboxes ?
Google Authenticator WordPress Plugin w WP Plugin Directory

Należy do nich na przykład Plugin "Google Authenticator - WordPress Two Factor Authentication" z ponad 20.000 aktywnych instalacji. Albo"Two Factor Authentication" - również z ponad 20.000 użytkowników - od twórców popularnego backupu Plugins "UpdraftPlus". Możesz znaleźć więcej 2FA Plugins łatwo w oficjalnym kataloguWordPress Plugin lub w swoim WordPress dashboard pod Plugins > Zainstaluj

Nasz wniosek

Z dumą informujemy, że strona Raidboxes Dashboard jest teraz jeszcze bezpieczniejsza dla naszych użytkowników dzięki uwierzytelnianiu dwuskładnikowemu. Mimo że aktywacja 2FA nie jest dla nas obowiązkowa, mamy nadzieję, że wymienione zalety przekonały Cię do niej. Ponieważ dzięki dodatkowemu żądaniu podania kodu 2FA Twoje konto zyskuje kolejny poziom bezpieczeństwa, a Ty masz pewność, że Twoje dane (i dane Twoich klientów) są jeszcze lepiej chronione przed nieuprawnionym dostępem.

Zapraszamy Cię do współpracy!

Jeśli masz więcej pytań dotyczących uwierzytelniania dwuskładnikowego lub korzystania z funkcji 2FA na stronie Raidboxes, zostaw nam komentarz - lub skontaktuj się z nami na czacie na żywo!



Spodobał Ci się ten artykuł?

Zostawiając opinię pomożesz nam udoskonalać publikowane przez nas treści.

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany.