Comprender los riesgos de compartir el inicio de sesión en WordPress

Publicado: 2021-11-03

Si bien es un gran problema de seguridad, el uso compartido de inicio de sesión en WordPress ocurre más a menudo de lo que uno podría pensar. Como sugiere el término, compartir el inicio de sesión es la práctica de los usuarios que comparten su información de inicio de sesión con otros usuarios. En una encuesta reciente, la friolera de 49% de los usuarios admitió compartir sus datos de inicio de sesión comerciales, con usuarios más jóvenes (16-24 años) más despreocupados por compartir sus datos de inicio de sesión que los de la cohorte mayor (55 años o más).

Si bien puede pensar que esto no está sucediendo en su sitio web de WordPress, muchos administradores tienden a subestimar la escala del intercambio de contraseñas. Sin controles establecidos, puede ser bastante difícil entender si alguien en su equipo comparte sus inicios de sesión. Las personas rara vez admiten que comparten contraseñas, sin embargo, el uso compartido de inicios de sesión está sucediendo y puede generar muchos problemas y problemas de seguridad de WordPress.

¿Por qué los usuarios comparten sus inicios de sesión?

Si bien puede haber razones legítimas por las que los usuarios pueden necesitar compartir los datos de inicio de sesión, las mejores prácticas nos dicen que cada usuario debe tener su propia cuenta. Los usuarios comparten información de inicio de sesión por varias razones. Acceder a cuentas de redes sociales o direcciones de correo electrónico públicas, donde muchas personas pueden necesitar publicar y realizar solicitudes de acción, es una razón muy común. Otras razones incluyen:

Oportunidad: Tienes trabajo que hacer ahora. Enviar una solicitud solicitando al servicio de asistencia técnica que cree otra cuenta de usuario provocaría un retraso.

Costo: a medida que usamos más servicios de suscripción basados ​​en la nube, podría haber costos asociados adicionales para agregar más usuarios. Esto hace que compartir inicios de sesión sea particularmente tentador si la necesidad es solo temporal.

Gestión: desde el punto de vista de gestión, negocio y operaciones, cuantas menos cuentas hay que gestionar, más fácil es el trabajo.

Los problemas de seguridad causados ​​por compartir el inicio de sesión

Para muchos, compartir su inicio de sesión es solo otra cosa que hacen en el trabajo. Aunque los usuarios comparten sus inicios de sesión sin malas intenciones, la práctica de compartir las credenciales de inicio de sesión tiene varios riesgos de seguridad asociados.

Fuga de credenciales

Dar sus inicios de sesión de WordPress a un amigo o colega de confianza puede parecer inocuo a primera vista. Sin embargo, debe preguntarse si serán tan cuidadosos con sus detalles como lo son con los suyos. Además, si está utilizando la misma contraseña en varias cuentas; no solo está poniendo en peligro la cuenta compartida, sino potencialmente todas las demás cuentas.

En consecuencia, renunciar a sus credenciales corre el riesgo de que sus credenciales se filtren dentro y fuera del negocio.

Fomenta el uso de contraseñas débiles

Más del 80% de los intentos exitosos de piratería explotan contraseñas débiles, utilizando ataques de fuerza bruta o credenciales robadas. Si existe una cultura de compartir contraseñas, estas contraseñas inevitablemente serán débiles y fáciles de recordar.

mal uso del servicio

Cuando se trata de la seguridad de WordPress, el principio de privilegio mínimo es una de las mejores herramientas que los administradores pueden emplear para mantener un alto nivel de protección. Esto significa que la cuenta de cada individuo tendrá privilegios específicos para realizar las tareas requeridas para el trabajo. Como tal, no todas las cuentas se crean de la misma manera, ya que no todos los roles en una empresa son iguales. Algunas cuentas tendrán más privilegios y acceso a más información que otras.

Al compartir el inicio de sesión, todos los que conozcan las credenciales tendrán acceso a todos los privilegios de esa cuenta, independientemente del nivel de acceso que deban tener. Esto puede permitirles acceder a funciones y datos a los que normalmente no tienen acceso. Esto puede conducir a la fuga de datos y al incumplimiento de regulaciones como GDPR, PCI DSS y otras.

responsabilidad de los usuarios

Las cuentas individuales asignan responsabilidad a las acciones, quién hizo qué y cuándo.

Sigue el mismo principio por el cual cada operador de caja tiene un cajón de efectivo individual, que se retira cuando termina su turno. Si estos cajones de efectivo fueran compartidos y hubiera un déficit, ¿cómo determinaría quién es el responsable? En esta situación, todos los que tengan acceso a este retiro de efectivo serán sospechosos, independientemente de si sucedió bajo su vigilancia o no.

Lo mismo se aplica a los sitios web de WordPress. ¿Cómo determinaría quién aprobó un pedido, un reembolso o modificó erróneamente la lista o el precio de un producto? Si se descubre un error, ¿quién será responsable? ¿Cómo probarías tu inocencia?

¿Qué puede hacer para dejar de compartir el inicio de sesión?

Educar , animar , hacer cumplir .

Si aún no lo ha hecho, asegúrese de tener una política sobre administración de contraseñas que desaliente el uso compartido de inicios de sesión. También debe asegurarse de que el equipo esté al tanto de sus obligaciones reglamentarias y de cómo todos pueden desempeñar un papel en el cumplimiento de estos requisitos.

Educar al personal sobre los peligros potenciales de compartir sus datos confidenciales de inicio de sesión, no solo para la empresa sino también para ellos mismos. Supongamos que hay un robo de datos y la policía se involucra. En ese caso, sin duda mirarán quién accedió a qué comprobando los registros de las cuentas de usuario.

Un factor principal que lleva a los usuarios a compartir los detalles de inicio de sesión de su cuenta es que es fácil de hacer y se puede hacer ahora mismo, por lo que se puede hacer el trabajo. No se depende de un tercero, como el servicio de asistencia técnica, ni de los retrasos posteriores.

Agilice el proceso de administración de cuentas mientras lo hace accesible y eficiente. También es posible que desee asegurarse de que el equipo de soporte técnico esté al tanto de las mejores prácticas normativas y de seguridad y esté facultado para defenderlas en toda la organización.

Hay varias soluciones tecnológicas disponibles para hacer cumplir sus políticas de contraseñas y desalentar el uso compartido de inicios de sesión. Por ejemplo:

Hacer cumplir y utilizar contraseñas seguras

Una desventaja importante de compartir contraseñas es que invariablemente serán débiles, por lo que son fáciles de recordar y tal vez se escriban en notas adhesivas, poniéndolas a disposición de cualquiera que las vea. Al obligar a los usuarios a usar contraseñas seguras, los disuade de compartir las credenciales.

Los complementos como WPassword hacen que todo el proceso sea muy fácil. TI le brinda un control total sobre la implementación, lo que lo ayuda a lograr el equilibrio adecuado entre seguridad y facilidad de uso.

Usar administradores de contraseñas

No basta con aplicar contraseñas seguras. Necesitas ayudar a tus usuarios a administrar sus contraseñas. Implemente y fomente el uso de administradores de contraseñas, para que sus usuarios puedan
guardar sus contraseñas difíciles en un lugar seguro, sin tener que recordar cada una de ellas.

Usar autenticación de dos factores

La autenticación de dos factores (2FA) agrega otra capa de seguridad a un costo administrativo muy bajo. A través de 2FA, los usuarios deben realizar una segunda autenticación a través de un factor secundario, siendo OTP (One Time Password) uno de los métodos más utilizados.

Al implementar 2FA y OTP, los usuarios que intentan iniciar sesión en su cuenta deben tener acceso a su teléfono inteligente o correo electrónico, además de conocer el nombre de usuario y la contraseña. Dado que las OTP caducan cada 30 segundos, compartir contraseñas se vuelve muy difícil y, en última instancia, facilita simplemente solicitar una nueva cuenta.

Implementar 2FA para su sitio web de WordPress es más fácil de lo que piensa. Los complementos como WP 2FA ofrecen asistentes amigables y amplias opciones de compatibilidad para que todo el proceso sea muy sencillo.

Supervisar la actividad del usuario

Esté atento a quién accede a qué en su sitio web con un complemento de registro de actividad. Un completo registro de actividad en tiempo real le brindará una visibilidad completa de todas las acciones realizadas en sus sitios web de WordPress. Los registros de actividad son fundamentales para las buenas prácticas de seguridad y contribuirán en gran medida a cumplir con sus obligaciones de cumplimiento.

¿Qué sucede si aún necesita compartir sus datos de inicio de sesión?

Si necesita compartir credenciales por algún motivo, entonces:

  1. Asegúrese de que esto se limite solo a aquellos que realmente requieren acceso y que el acceso sea temporal. Cuando termine la sesión compartida, restablezca la contraseña.
  2. Utilice un administrador de contraseñas que admita una base de datos compartida común. La mayoría de los administradores de contraseñas en línea lo permiten; puede tener su propia base de datos y una base de datos con credenciales que se comparte con otras personas.
  3. Comunique la contraseña verbalmente o envíe partes de las credenciales a través de diferentes canales, como la mitad por Skype, la mitad por correo electrónico encriptado o algún otro canal de mensajería seguro.

Muy importante; al final de la sesión o acceso requerido, siempre restablecer la contraseña.

Evite compartir su información de inicio de sesión

En conclusión, compartir credenciales nunca es algo bueno. Debe desalentar activamente la práctica alertando a todos sus usuarios sobre su política. Además, haga uso de las herramientas y soluciones disponibles para usted que pueden ayudarlo a hacer cumplir su política.