Authentification à deux facteurs. Au lieu damp;rsquoutiliser le téléphone et lamp;rsquoapplication damp;rsquoauthentification, gardez votre clé physique avec . Que protège le jeton de sécurité u2f? Les jetons de sécurité u2f protègent contre tous les types de piratage et damp;rsquoattaques: détournement de session, intermédiaires, attaques de logiciels malveillants, en particulier lamp;rsquohameçonnage (imitation damp;rsquoun site Web ou damp;rsquoun courriel damp;rsquoun compte légitime, dans le but de inciter à partager vos identifiants).
Tu penses ne jamais être victime damp;rsquohameçonnage Tu te crois Trop malin pour faire ça? Selon le rapport, 97% des consommateurs ne reconnaissent pas correctement les courriels damp;rsquohameçonnage. 97%? Lorsque utilisez une clé physique comme yubikey, vos informations de connexion ne peuvent pas être obtenues à partir damp;rsquoun faux écran de connexion parce quamp;rsquoil namp;rsquoest valide que sur le site damp;rsquoinscription. Lamp;rsquoauthentification sur un faux site échoue même si êtes conduit à croire que camp;rsquoest vrai. Cela réduit considérablement le nombre et la complexité croissants des attaques damp;rsquohameçonnage et empêche lamp;rsquoaccès aux comptes.
Comment fonctionne le jeton de sécurité u2f? Procédure simple pour u2f une fois le jeton de sécurité réglé, il suffit de le connecter à votre ordinateur (ou tapez sur votre téléphone!) Puis appuyez sur le bouton. Non, je veux dire Techniquement, comment ça marche? Pour je ne veux pas me perdre dans les détails techniques, mais à un niveau plus élevé, le jeton de sécurité prend en charge deux commandes qui sont fournies à la page Web comme API de navigateur: lamp;rsquoinscription: le jeton de sécurité génère une nouvelle paire de clés asymétriques et renvoie la clé publique. Le serveur associe cette clé publique à votre clé physique et à votre compte utilisateur. Authentification: lorsque connectez, le jeton de sécurité vérifie la clé USB et votre présence physique. elle est vérifiée, une clé privée sera envoyée pour déverrouiller votre compte. Ça peut sembler compliqué, mais ça arrive presque instantanément.
Ça dérange?
souhaitez en savoir plus, Google a publié ce document. Les spécifications complètes de yubikeys sont disponibles sur fidoalliance pour ceux qui connaissent bien la technologie. Organisation. Safe u2f et WordPress je veux essayer sur mon site. Alors jamp;rsquoai acheté ma propre clé Yubi. Comme camp;rsquoest une expérience, je ne suis pas très professionnel, donc je ne suis pas prêt à attaquer la configuration manuelle. J’ai cherché un plugin gratuit sur WordPress. Organisation. La recherche samp;rsquoest rapidement terminée. Actuellement WordPress n’a pas beaucoup d’options ou d’informations, donc j’ai choisi l’option gratuite la plus populaire, double facteur.
Maintenant que jamp;rsquoai ma nouvelle clé et mon nouveau plug in, je me suis dit,
Ce namp;rsquoest pas compliqué, mais ça mamp;rsquoa fait trébucher. Voici mon
Inconvénients et obstacles à lamp;rsquoentrée des jetons de sécurité? Bien quamp;rsquoil soit facile à mettre en oeuvre, il présente certains inconvénients.
Ce niveau de sécurité namp;rsquoest pas gratuit et il peut être coûteux de fournir des clés de sécurité à quiconque a besoin damp;rsquoaccéder à votre site, en particulier pour les grandes équipes. Le prix des clés varie de 20 $à 50 $. De plus, nous recommandons de conserver une clé de sauvegarde pour chaque utilisateur au cas où sa clé serait perdue, endommagée ou volée. dirigez une équipe de 10 personnes, il faut 20 clés. Thé vert. les coûts ne sont pas élevés, le prochain défi est que les clés de sécurité ne sont pas encore largement utilisées. Malgré une utilisation accrue, la configuration des clés de sécurité pour damp;rsquoautres systèmes peut être un processus long et douloureux. La bonne nouvelle, camp;rsquoest que les choses samp;rsquoaméliorent et quamp;rsquoil est très facile de définir une clé de sécurité sur Google, Facebook ou Twitter.
Une autre chose que lamp;rsquoéquipe ou lamp;rsquoOrganisation de développement doit considérer est la gestion. La clé crée un processus damp;rsquoorientation plus complexe pour les employés et les clients. Cela signifie également trouver une personne de référence pour lamp;rsquoinstallation et la récupération. Bonjour, cadres moyens. Lamp;rsquoobstacle le plus évident est peut être que ne pouvez pas accéder à votre site sans une clé de sécurité. Cela est bon pour la sécurité de votre site, mais peut également nuire à votre commodité. Par exemple, venez damp;rsquoaller travailler et avez trouvé les clés laissées à la maison. Vous ne pouvez pas appeler quelquamp;rsquoun pour dicter un code jetable parce quamp;rsquoil namp;rsquoy a pas de code à cuillère! Cela peut signifier conduire quelques heures de plus, ce qui annulera toutes les secondes supplémentaires que avez prises en utilisant u2f
Enfin, la distribution de clés de sécurité aux clients WordPress peut bien sûr être un problème potentiel. Alors pourquoi ne pas utiliser un code
Mot de passe temporel (OTP) ou 2fa sur mon téléphone? Il samp;rsquoagit là damp;rsquooptions valables, mais elles présentent aussi certains inconvénients. Le Code damp;rsquoaccès unique u2f et OTP (OTP) est un code numérique court qui ne peut être utilisé quamp;rsquoune seule fois et envoyé par message texte ou généré sur un appareil physique distinct. Bien que les pto soient plus sûrs que les mots de passe normaux, ils ne sont pas parfaits: ils sont vulnérables à lamp;rsquohameçonnage et aux attaques damp;rsquointermédiaires, et devez porter un dongle mot de passe SMS pour chaque site qui peut être intercepté en bref, il ne samp;rsquoagit pas damp;rsquoun programme de protection à 100%. Bien qu’il offre un autre niveau de sécurité, si quelqu’un se connecte à votre compte e mail ou message, il peut encore se connecter à votre back end WordPress (ou à vos clients) en utilisant le Code OTP. Quel est le problème avec 2fa sur le smartphone? Vous pouvez poser cette question si utilisez une application 2fa comme Google authenticator sur votre smartphone. Réponse courte: 2fa namp;rsquoa aucun problème, en fait, il peut fournir un niveau élevé de sécurité samp;rsquoil est configuré correctement. Cela peut être amélioré en désactivant lamp;rsquooption otp moins pratique mais plus sûre. 2fa est plus flexible, mais si conservez lamp;rsquooption de restauration sous un nom pratique, pourriez sentir mal en sécurité. Avantages de la clé de sécurité u2f par rapport au smartphone: il est difficile de protéger la logique de lamp;rsquoapplication contre les attaques de logiciels malveillants sur la plate forme informatique universelle. Contrairement à la plupart des smartphones, le téléphone peut ne pas être accessible en cas de batterie épuisée ou sans service, Yubikeys est imperméable et permet de embrasser sous la pluie. Pour qui est une clé de sécurité physique comme yubikeys? Pour la plupart des utilisateurs de WordPress, il suffit d’installer Defenders 2fa avec Google validator sur leur téléphone. La clé de sécurité privée fournit une protection privée contre lamp;rsquohameçonnage
Les attaques du milieu, une fois que les avez mises en place et habituées, peuvent être plus rapides et plus faciles à utiliser, mais soyons réalistes, le Joe moyen peut ne pas vraiment avoir besoin de yobiki. Camp;rsquoest à dire, si utilisez un agent avec plusieurs administrateurs sur un site client très fréquenté, il peut être temps de considérer la clé physique de lamp;rsquoéquipe. Lamp;rsquoétude de cas u2f de Google montre quamp;rsquoen plus damp;rsquoêtre une « zone damp;rsquoexclusion pour lamp;rsquohameçonnage », ils ont remarqué une productivité accrue des employés, un soutien réduit et même un coût de propriété moindre que lamp;rsquoauthentification téléphonique. Les avantages de la clé physique sont multipliés par le nombre damp;employés clients qui utilisent la clé et par le nombre de sessions commencées chaque jour par utilisateur. La meilleure solution de sécurité pour WordPress u2f est probablement la technologie du futur et est en train de se répandre rapidement. Mais pour lamp;rsquoinstant, il ne semble pas offrir suffisamment damp;rsquoavantages aux petites et moyennes entreprises, du moins pas pour remplacer un ensemble complet de 2fa. les clés physiques semblent irréalistes ou un peu excessives pour vos clients, Defender est le meilleur choix pour protéger les sites WordPress. Il suffit de combiner un changement de sécurité à un clic, de bonnes pratiques de mot de passe, une authentification à deux facteurs et une authentification à deux facteurs obligatoire pour un rôle damp;rsquoutilisateur spécifique, une sauvegarde automatique en nuage et un nettoyage gratuit du support expert. Quamp;rsquoen penses tu? Risques d’hameçonnage liés au téléphone avez déjà envisagé la clé physique de l’agent WordPress? Dans quelle mesure la sécurité est elle importante pour et vos clients? Où sont 2fa et u2f? Envisageriez damp;rsquoacheter un jeton de sécurité? Étiquette: WordPress Security Dual factor Authentication Security u2f
Rendre votre site WordPress entièrement gratuit
