WordPressでのログイン共有のリスクを理解する

公開: 2021-11-03

それは大きなセキュリティですが、WordPressでのログイン共有は想像以上に頻繁に行われます。 この用語が示すように、ログイン共有は、ユーザーが自分のログイン情報を他のユーザーと共有する方法です。 最近の調査では、なんと49%のユーザーがビジネスログインの詳細を共有することを認めており、若いユーザー(16〜24歳)は古いコホート(55歳以上)よりもログイン詳細の共有に気を配っています。

これはWordPressWebサイトでは発生していないと思われるかもしれませんが、多くの管理者はパスワード共有の規模を過小評価する傾向があります。 コントロールが設定されていないと、チームの誰かがログインを共有しているかどうかを理解するのが非常に難しい場合があります。 人々がパスワードの共有を認めることはめったにありませんが、ログイン共有が行われており、多くの問題やWordPressのセキュリティ問題につながる可能性があります。

ユーザーがログインを共有するのはなぜですか?

ユーザーがログインの詳細を共有する必要がある正当な理由があるかもしれませんが、ベストプラクティスでは、各ユーザーが独自のアカウントを持っている必要があるとされています。 ユーザーはいくつかの理由でログイン情報を共有します。 多くの人がアクションリクエストを投稿して実行する必要があるソーシャルメディアアカウントまたは公開されている電子メールアドレスにアクセスすることは、非常に一般的な理由です。 その他の理由は次のとおりです。

便宜性:あなたは今やるべき仕事があります。 ヘルプデスクに別のユーザーアカウントを作成するように依頼するリクエストを送信すると、遅延が発生します。

コスト:より多くのクラウドベースのサブスクリプションサービスを使用するため、ユーザーを追加するために追加の関連コストが発生する可能性があります。 これにより、必要が一時的なものである場合、ログイン共有が特に魅力的になります。

管理:管理、ビジネス、および運用の観点から、管理するアカウントが少ないほど、作業が容易になります。

ログイン共有によって引き起こされるセキュリティの問題

多くの人にとって、ログインを共有することは、彼らが仕事で行うもう1つのことです。 ユーザーが悪意を持ってログインを共有する場合でも、ログイン資格情報を共有する方法には、いくつかの関連するセキュリティリスクがあります。

クレデンシャルの漏洩

信頼できる友人や同僚にWordPressのログインを与えることは、一見無害に見えるかもしれません。 しかし、あなたは彼らが彼ら自身のものであるのと同じくらいあなたの詳細に注意を払うかどうかあなた自身に尋ねるべきですか? また、複数のアカウントで同じパスワードを使用している場合。 共有アカウントだけでなく、他のすべてのアカウントも脅威にさらされている可能性があります。

したがって、クレデンシャルを放棄すると、ビジネスの内外でクレデンシャルが漏洩するリスクがあります。

弱いパスワードの使用を奨励します

成功したハッキン​​グの試みの80%以上が、ブルートフォース攻撃または盗まれた資格情報を使用して、弱いパスワードを悪用します。 パスワードを共有する文化がある場合、これらのパスワードは必然的に弱く、覚えやすくなります。

サービスの誤用

WordPressのセキュリティに関して言えば、最小特権の原則は、管理者が高レベルの保護を維持するために使用できる最高のツールの1つです。 これは、各個人のアカウントが、ジョブに必要なタスクを実行するための特定の特権を持つことを意味します。 そのため、ビジネスにおけるすべての役割が同じであるとは限らないため、すべてのアカウントが同じように作成されるわけではありません。 一部のアカウントには、他のアカウントよりも多くの特権とより多くの情報へのアクセス権があります。

ログイン共有により、資格情報を知っているすべての人が、アクセスレベルに関係なく、そのアカウントのすべての特権にアクセスできます。 これにより、通常はアクセスできない機能やデータにアクセスできるようになる可能性があります。 これにより、データの漏洩やGDPR、PCIDSSなどの規制違反につながる可能性があります。

ユーザーの説明責任

個々のアカウントは、アクション、誰が、いつ何をしたかについて責任を割り当てます。

各チェックアウトオペレーターが個別のキャッシュドロワーを持っているのと同じ原則に従います。キャッシュドロワーは、シフトが終了すると削除されます。 これらのキャッシュドロワーが共有されていて不足があった場合、誰が責任を負うかをどのように判断しますか? この状況では、このキャッシュドローにアクセスできるすべての人が、時計で起こったかどうかに関係なく、疑惑にさらされます。

同じことがWordPressのウェブサイトにも当てはまります。 誰が注文、払い戻しを承認したか、または製品リストや価格を誤って変更したかをどのように判断しますか? 誰が責任を問われるのか、間違いを発見する必要がありますか? どのようにあなたはあなたの無実を証明しますか?

ログイン共有を停止するにはどうすればよいですか?

教育し、励まし執行します。

まだ行っていない場合は、ログイン共有を阻止するパスワード管理に関するポリシーがあることを確認してください。 また、チームがあなたの規制上の義務と、これらの要件を満たすためにそれらすべてがどのように役割を果たすことができるかを認識していることを確認する必要があります。

ビジネスだけでなく自分自身のためにも、機密性の高いログイン情報を共有することの潜在的な危険性についてスタッフを教育します。 データの盗難があり、法執行機関が関与するとします。 その場合、ユーザーアカウントのログをチェックすることで、誰が何にアクセスしたかを確認できます。

ユーザーがアカウントのログイン情報を共有するように導く主な要因は、簡単に実行でき、今すぐ実行できるため、作業を完了できることです。 ヘルプデスクなどのサードパーティへの依存や、その後の遅延はありません。

アカウント管理プロセスを合理化すると同時に、アクセス可能で効率的なものにします。 また、ヘルプデスクチームがセキュリティと規制のベストプラクティスを認識し、組織全体でそれらを擁護する権限を与えられていることを確認することもできます。

パスワードポリシーを適用し、ログイン共有を阻止するために利用できるテクノロジーソリューションがいくつかあります。 例えば:

強力なパスワードを適用して使用する

パスワードを共有することの大きな欠点は、パスワードが常に弱いことです。そのため、パスワードは覚えやすく、付箋紙に書き留めて、見た人なら誰でも利用できるようにすることができます。 ユーザーに強力なパスワードの使用を強制することで、ユーザーが資格情報を共有することを思いとどまらせます。

WPasswordなどのプラグインを使用すると、プロセス全体が非常に簡単になります。 ITにより、実装を完全に制御できるため、セキュリティと使いやすさの適切なバランスを実現できます。

パスワードマネージャーを使用する

強力なパスワードを適用するだけでは不十分です。 ユーザーがパスワードを管理できるようにする必要があります。 パスワードマネージャーの使用を実装および奨励して、ユーザーができるようにします
難しいパスワードは、それぞれを覚えておく必要なく、安全な場所に保管してください。

二要素認証を使用する

二要素認証(2FA)は、非常に低い管理コストでセキュリティのもう1つの層を追加します。 2FAを介して、ユーザーは二次要素を介して2番目の認証を行う必要があります。OTP(ワンタイムパスワード)は、最も一般的に使用される方法の1つです。

2FAとOTPを実装することにより、自分のアカウントにログインしようとするユーザーは、ユーザー名とパスワードを知っているだけでなく、スマートフォンまたは電子メールにアクセスできる必要があります。 OTPの有効期限が30秒ごとになると、パスワードの共有が非常に難しくなり、最終的には新しいアカウントを簡単にリクエストできるようになります。

WordPress Webサイトに2FAを実装するのは、思ったより簡単です。 WP 2FAなどのプラグインは、プロセス全体を簡単にするための使いやすいウィザードと幅広い互換性オプションを提供します。

ユーザーアクティビティを監視する

アクティビティログプラグインを使用して、誰がWebサイトの何にアクセスしているかを監視します。 包括的なリアルタイムのアクティビティログにより、WordPressWebサイト全体で実行されたすべてのアクションを完全に可視化できます。 アクティビティログは、優れたセキュリティプラクティスの基本であり、コンプライアンスの義務を果たすのに大いに役立ちます。

それでもログインの詳細を共有する必要がある場合はどうなりますか?

何らかの理由で資格情報を共有する必要がある場合は、次のようにします。

  1. これが本当にアクセスを必要とするものだけに制限され、アクセスが一時的なものであることを確認してください。 共有セッションが終了したら、パスワードをリセットします。
  2. 共通の共有可能なデータベースをサポートするパスワードマネージャーを使用します。 ほとんどのオンラインパスワードマネージャーはこれを許可しています。 独自のデータベースと、他の人と共有される資格情報を持つデータベースを持つことができます。
  3. パスワードを口頭で伝達するか、クレデンシャルの一部をさまざまなチャネル(Skypeによる半分、暗号化された電子メールによる半分、その他の安全なメッセージングチャネルなど)で送信します。

非常に重要です。 セッションの終了時または必要なアクセス時に、常にパスワードをリセットしてください。

ログイン情報の共有は避けてください

結論として、クレデンシャルを共有することは決して良いことではありません。 すべてのユーザーにポリシーを警告することにより、この慣行を積極的に阻止する必要があります。 さらに、ポリシーの実施に役立つツールとソリューションを利用できます。