WordPress에서 로그인 공유의 위험 이해
게시 됨: 2021-11-03큰 보안은 불가능하지만 WordPress의 로그인 공유는 생각보다 자주 발생합니다. 용어에서 알 수 있듯이 로그인 공유는 사용자가 자신의 로그인 정보를 다른 사용자와 공유하는 관행입니다. 최근 설문 조사에서 사용자의 무려 49%가 비즈니스 로그인 세부 정보를 공유했다고 인정했으며, 젊은 사용자(16~24세)는 나이가 많은 집단(55세 이상)보다 로그인 세부 정보 공유에 더 신중했습니다.
이것이 WordPress 웹 사이트에서 발생하지 않는다고 생각할 수도 있지만 많은 관리자는 암호 공유의 규모를 과소평가하는 경향이 있습니다. 제어 장치가 없으면 팀의 누군가가 로그인을 공유하는지 이해하기가 매우 어려울 수 있습니다. 사람들은 암호 공유를 거의 인정하지 않지만 로그인 공유가 일어나고 있으며 많은 문제와 WordPress 보안 문제로 이어질 수 있습니다.
사용자가 로그인을 공유하는 이유는 무엇입니까?
사용자가 로그인 세부 정보를 공유해야 하는 정당한 이유가 있을 수 있지만 모범 사례에 따르면 각 사용자는 고유한 계정이 있어야 합니다. 사용자는 여러 가지 이유로 로그인 정보를 공유합니다. 많은 사람들이 게시하고 작업 요청을 수행해야 할 수 있는 소셜 미디어 계정 또는 공개 이메일 주소에 액세스하는 것은 매우 일반적인 이유입니다. 다른 이유는 다음과 같습니다.
긴급 상황: 지금 해야 할 일이 있습니다. 헬프데스크에 다른 사용자 계정을 만들도록 요청하는 요청을 제출하면 지연이 발생할 수 있습니다.
비용: 더 많은 클라우드 기반 구독 서비스를 사용함에 따라 더 많은 사용자를 추가하는 데 추가 관련 비용이 발생할 수 있습니다. 이것은 로그인 공유가 일시적인 경우에만 특히 유혹적입니다.
관리: 관리, 비즈니스 및 운영의 관점에서 관리할 계정이 적을수록 작업이 더 쉬워집니다.
로그인 공유로 인한 보안 문제
많은 사람들에게 로그인 공유는 직장에서 하는 또 다른 일입니다. 사용자가 나쁜 의도 없이 로그인을 공유하더라도 로그인 자격 증명을 공유하는 관행에는 몇 가지 관련 보안 위험이 있습니다.
자격 증명 유출
신뢰할 수 있는 친구나 동료에게 WordPress 로그인 정보를 제공하는 것은 언뜻 보기에 무해해 보일 수 있습니다. 그러나 그들이 자신의 세부 사항만큼 귀하의 세부 사항에주의를 기울일 것인지 자문해야합니까? 또한 여러 계정에서 동일한 비밀번호를 사용하는 경우 당신은 공유 계정을 위협할 뿐만 아니라 잠재적으로 다른 모든 계정을 위협하고 있습니다.
따라서 자격 증명을 포기하면 비즈니스 안팎으로 자격 증명이 유출될 위험이 있습니다.
약한 암호 사용을 권장합니다.
성공적인 해킹 시도의 80% 이상이 무차별 대입 공격 또는 도난당한 자격 증명을 사용하여 약한 암호를 악용합니다. 암호를 공유하는 문화가 있다면 이러한 암호는 필연적으로 약하고 기억하기 쉽습니다.
서비스 오용
WordPress 보안과 관련하여 최소 권한 원칙은 관리자가 높은 수준의 보호를 유지하기 위해 사용할 수 있는 최고의 도구 중 하나입니다. 즉, 각 개인의 계정에는 작업에 필요한 작업을 수행할 수 있는 특정 권한이 있습니다. 따라서 비즈니스의 모든 역할이 동일하지 않기 때문에 모든 계정이 동일하게 생성되는 것은 아닙니다. 일부 계정은 다른 계정보다 더 많은 권한과 더 많은 정보에 액세스할 수 있습니다.
로그인 공유를 통해 자격 증명을 알고 있는 모든 사람은 보유해야 하는 액세스 수준에 관계없이 해당 계정의 모든 권한에 액세스할 수 있습니다. 이렇게 하면 잠재적으로 일반적으로 액세스할 수 없는 기능 및 데이터에 액세스할 수 있습니다. 이는 데이터 유출 및 GDPR, PCI DSS 등과 같은 규정 위반으로 이어질 수 있습니다.
사용자 책임
개별 계정은 행동, 누가 무엇을 언제 수행했는지에 대한 책임을 할당합니다.
각 계산대 운영자가 교대 근무가 끝나면 제거되는 개별 금전함을 가지고 있는 것과 동일한 원칙을 따릅니다. 이 금전함을 공유하고 부족분이 발생한 경우 누가 책임이 있는지 어떻게 결정하시겠습니까? 이 상황에서 이 현금 인출에 접근할 수 있는 모든 사람은 그것이 그들의 감시에서 일어났는지 여부에 관계없이 의심을 받게 될 것입니다.
WordPress 웹 사이트에도 동일하게 적용됩니다. 누가 주문, 환불을 승인했거나 제품 목록이나 가격을 잘못 수정했는지 어떻게 결정합니까? 실수가 발견되면 누가 책임을 져야 합니까? 당신의 결백을 어떻게 증명하시겠습니까?
로그인 공유를 중지하려면 어떻게 해야 합니까?
교육 , 격려 , 시행 .
아직 수행하지 않은 경우 로그인 공유를 권장하지 않는 암호 관리 정책이 있는지 확인하십시오. 또한 팀이 귀하의 규제 의무와 이러한 요구 사항을 충족하는 데 모든 역할을 할 수 있는 방법을 알고 있는지 확인해야 합니다.
직원들에게 비즈니스뿐만 아니라 자신을 위해 민감한 로그인 세부 정보를 공유할 경우의 잠재적인 위험에 대해 교육합니다. 데이터 도용이 있고 법 집행 기관이 개입한다고 가정합니다. 이 경우 사용자 계정에 대한 로그를 확인하여 누가 무엇에 액세스했는지 의심할 여지가 없습니다.
사용자가 계정 로그인 세부 정보를 공유하도록 유도하는 주요 동인은 작업을 완료할 수 있도록 하기 쉽고 지금 바로 수행할 수 있다는 것입니다. 헬프데스크 또는 후속 지연과 같은 제3자에 의존하지 않습니다.
계정 관리 프로세스를 간소화하면서 액세스 가능하고 효율적으로 만드십시오. 또한 헬프데스크 팀이 보안 및 규제 모범 사례를 인식하고 조직 전체에서 이를 옹호할 수 있는 권한을 부여받고 싶을 수도 있습니다.
암호 정책을 시행하고 로그인 공유를 억제하기 위해 사용할 수 있는 몇 가지 기술 솔루션이 있습니다. 예를 들어:
강력한 암호 시행 및 사용
비밀번호 공유의 중요한 단점은 비밀번호가 항상 약하기 때문에 기억하기 쉽고 스티커 메모에 적어서 볼 수 있는 모든 사람이 사용할 수 있다는 것입니다. 사용자가 강력한 암호를 사용하도록 하여 자격 증명을 공유하지 못하도록 합니다.
WPassword와 같은 플러그인은 전체 프로세스를 매우 쉽게 만듭니다. IT는 구현에 대한 완전한 제어를 제공하여 보안과 사용성 간의 올바른 균형을 달성하도록 돕습니다.
비밀번호 관리자 사용
강력한 암호를 적용하는 것만으로는 충분하지 않습니다. 사용자가 비밀번호를 관리하도록 도와야 합니다. 사용자가 다음을 수행할 수 있도록 암호 관리자를 구현하고 사용하도록 권장
어려운 비밀번호를 하나하나 기억할 필요 없이 안전한 장소에 저장하십시오.
이중 인증 사용
이중 인증(2FA)은 매우 저렴한 관리 비용으로 또 다른 보안 계층을 추가합니다. 2FA를 통해 사용자는 2차 인증을 수행해야 하며 OTP(One Time Password)가 가장 일반적으로 사용되는 방법 중 하나입니다.
2FA 및 OTP를 구현하여 계정에 로그인하려는 사용자는 사용자 이름과 비밀번호를 아는 것 외에도 스마트폰이나 이메일에 액세스할 수 있어야 합니다. 30초마다 만료되는 OTP로 비밀번호 공유가 매우 어려워지며 궁극적으로 새 계정을 요청하는 것이 더 쉬워집니다.
WordPress 웹 사이트에 2FA를 구현하는 것은 생각보다 쉽습니다. WP 2FA와 같은 플러그인은 친숙한 마법사와 광범위한 호환성 옵션을 제공하여 전체 프로세스를 쉽게 만듭니다.
사용자 활동 모니터링
활동 로그 플러그인을 사용하여 웹사이트에서 누가 무엇에 액세스하는지 주시하세요. 포괄적인 실시간 활동 로그는 WordPress 웹사이트에서 수행된 모든 작업에 대한 완전한 가시성을 제공합니다. 활동 로그는 우수한 보안 관행의 기본이며 규정 준수 의무를 충족하는 데 많은 도움이 됩니다.
여전히 로그인 세부 정보를 공유해야 하는 경우 어떻게 합니까?
어떤 이유로든 자격 증명을 공유해야 하는 경우:
- 이것이 실제로 액세스가 필요하고 액세스가 일시적인 것으로만 제한되는지 확인하십시오. 공유 세션이 끝나면 비밀번호를 재설정하세요.
- 공유 가능한 공통 데이터베이스를 지원하는 암호 관리자를 사용하십시오. 대부분의 온라인 암호 관리자는 이를 허용합니다. 자신의 데이터베이스와 다른 사람들과 공유되는 자격 증명이 있는 데이터베이스를 가질 수 있습니다.
- 암호를 구두로 전달하거나 절반은 Skype, 절반은 암호화된 이메일 또는 기타 보안 메시징 채널과 같은 다른 채널을 통해 자격 증명의 일부를 보냅니다.
매우 중요; 세션이 종료되거나 액세스가 필요한 경우 항상 비밀번호를 재설정하십시오.
로그인 정보 공유 방지
결론적으로, 자격 증명을 공유하는 것은 결코 좋은 일이 아닙니다. 모든 사용자에게 정책에 대해 경고하여 이러한 관행을 적극적으로 억제해야 합니다. 또한 정책을 시행하는 데 도움이 될 수 있는 도구와 솔루션을 활용하십시오.