Zrozumienie zagrożeń związanych z udostępnianiem danych logowania w WordPress
Opublikowany: 2021-11-03Chociaż jest to duże bezpieczeństwo, nie, udostępnianie danych logowania w WordPressie zdarza się częściej, niż mogłoby się wydawać. Jak sugeruje termin, udostępnianie loginu to praktyka polegająca na udostępnianiu przez użytkowników swoich danych logowania innym użytkownikom. W niedawnej ankiecie aż 49% użytkowników przyznało się do udostępniania danych logowania do firmy, przy czym młodsi użytkownicy (16-24 lata) są bardziej beztroscy w udostępnianiu swoich danych logowania niż osoby ze starszej kohorty (55+ lat).
Chociaż możesz pomyśleć, że tak się nie dzieje w Twojej witrynie WordPress, wielu administratorów ma tendencję do niedoceniania skali udostępniania haseł. Bez kontroli może być dość trudno zrozumieć, czy ktoś z Twojego zespołu udostępnia swoje loginy. Ludzie rzadko przyznają się do udostępniania haseł, ale udostępnianie loginów ma miejsce i może prowadzić do wielu problemów i problemów z bezpieczeństwem WordPressa.
Dlaczego użytkownicy udostępniają swoje loginy?
Chociaż mogą istnieć uzasadnione powody, dla których użytkownicy mogą potrzebować udostępniać dane logowania, najlepsze praktyki mówią nam, że każdy użytkownik powinien mieć własne konto. Użytkownicy udostępniają dane logowania z kilku powodów. Dostęp do kont w mediach społecznościowych lub publicznych adresów e-mail, na których wiele osób może potrzebować publikowania i wykonywania żądań działania, jest bardzo częstym powodem. Inne powody to:
Celowość: Masz teraz pracę do wykonania. Złożenie wniosku z prośbą do działu pomocy o utworzenie innego konta użytkownika spowodowałoby opóźnienie.
Koszt: ponieważ korzystamy z większej liczby usług subskrypcji opartych na chmurze, dodanie większej liczby użytkowników może wiązać się z dodatkowymi kosztami. To sprawia, że udostępnianie loginu jest szczególnie kuszące, jeśli potrzeba jest tylko tymczasowa.
Zarządzanie: z punktu widzenia kierownictwa, biznesu i operacji, im mniej kont do zarządzania, tym łatwiejsza praca.
Problemy z bezpieczeństwem spowodowane udostępnianiem loginów
Dla wielu udostępnianie swojego loginu to kolejna rzecz, którą robią w pracy. Mimo że użytkownicy udostępniają swoje dane logowania bez złych intencji, praktyka udostępniania danych logowania wiąże się z kilkoma powiązanymi zagrożeniami bezpieczeństwa.
Wyciek poświadczeń
Podanie loginów WordPress zaufanemu przyjacielowi lub współpracownikowi może na pierwszy rzut oka wydawać się nieszkodliwe. Jednak powinieneś zadać sobie pytanie, czy będą tak samo ostrożni z twoimi danymi, jak z własnymi? Ponadto, jeśli używasz tego samego hasła na wielu kontach; narażasz nie tylko wspólne konto, ale potencjalnie wszystkie inne konta.
W związku z tym rezygnacja z poświadczeń grozi wyciekiem danych uwierzytelniających w firmie i poza nią.
Zachęca do używania słabych haseł
Ponad 80% udanych prób włamania wykorzystuje słabe hasła, wykorzystując ataki typu brute force lub skradzione dane uwierzytelniające. Jeśli istnieje kultura dzielenia się hasłami, hasła te nieuchronnie będą słabe i łatwe do zapamiętania.
Nadużycie usługi
Jeśli chodzi o bezpieczeństwo WordPress, zasada najmniejszych uprawnień jest jednym z najlepszych narzędzi, jakie administratorzy mogą zastosować do utrzymania wysokiego poziomu ochrony. Oznacza to, że konto każdej osoby będzie miało określone uprawnienia do wykonywania zadań wymaganych do pracy. W związku z tym nie wszystkie konta są sobie równe, ponieważ nie wszystkie role w firmie są sobie równe. Niektóre konta będą miały więcej uprawnień i dostęp do większej ilości informacji niż inne.
Dzięki udostępnianiu loginu każdy, kto zna poświadczenia, będzie miał dostęp do wszystkich uprawnień tego konta, niezależnie od poziomu dostępu, jaki powinien mieć. Może to potencjalnie umożliwić im dostęp do funkcji i danych, do których zwykle nie mają dostępu. Może to prowadzić do wycieku danych i łamania przepisów, takich jak RODO, PCI DSS i inne.
Odpowiedzialność użytkowników
Konta indywidualne przypisują odpowiedzialność za działania, kto co zrobił i kiedy.
Kieruje się tą samą zasadą, dla której każdy operator kasy ma indywidualną szufladę kasową, którą zdejmuje się po zakończeniu ich zmiany. Gdyby te szuflady na gotówkę były dzielone i występowałby niedobór, jak określiłbyś, kto jest za nie odpowiedzialny? W tej sytuacji każdy, kto ma dostęp do tego losowania gotówki, będzie podejrzany, niezależnie od tego, czy zdarzyło się to na jego zegarku, czy nie.
To samo dotyczy witryn WordPress. Jak określisz, kto zatwierdził zamówienie, zwrot pieniędzy lub błędnie zmodyfikował listę produktów lub cenę? Czy należy odkryć błąd, kto zostanie pociągnięty do odpowiedzialności? Jak udowodniłbyś swoją niewinność?
Co możesz zrobić, aby zatrzymać udostępnianie loginu?
Kształcić , zachęcać , egzekwować .
Jeśli jeszcze tego nie zrobiłeś, upewnij się, że masz zasady dotyczące zarządzania hasłami, które zniechęcają do udostępniania danych logowania. Powinieneś również upewnić się, że zespół jest świadomy twoich obowiązków regulacyjnych i tego, w jaki sposób wszyscy mogą odegrać rolę w spełnieniu tych wymagań.
Poinformuj personel o potencjalnych zagrożeniach związanych z udostępnianiem poufnych danych logowania, nie tylko dla firmy, ale także dla nich samych. Załóżmy, że dochodzi do kradzieży danych i wplątują się w nią organy ścigania. W takim przypadku bez wątpienia będą sprawdzać, kto uzyskał dostęp do czego, sprawdzając logi kont użytkowników.
Głównym czynnikiem, który prowadzi użytkowników do udostępniania danych logowania do konta, jest to, że jest to łatwe do zrobienia i można to zrobić już teraz, aby można było wykonać zadanie. Nie ma uzależnienia od strony trzeciej, takiej jak helpdesk, ani z późniejszymi opóźnieniami.
Usprawnij proces zarządzania kontem, jednocześnie czyniąc go dostępnym i wydajnym. Możesz również upewnić się, że zespół pomocy technicznej jest świadomy najlepszych praktyk w zakresie bezpieczeństwa i przepisów oraz jest upoważniony do wspierania ich w całej organizacji.
Dostępnych jest kilka rozwiązań technologicznych, które pozwalają egzekwować zasady dotyczące haseł i zniechęcać do udostępniania danych logowania. Na przykład:
Wymuszaj i używaj silnych haseł
Znaczącą wadą udostępniania haseł jest to, że będą one zawsze słabe, więc łatwo je zapamiętać i być może zapisać na karteczkach samoprzylepnych, dzięki czemu będą dostępne dla każdego, kto je zobaczy. Zmuszając użytkowników do używania silnych haseł, zniechęcasz ich do udostępniania poświadczeń.
Wtyczki takie jak WPassword sprawiają, że cały proces jest bardzo łatwy. Dział IT zapewnia pełną kontrolę nad wdrożeniem, pomagając osiągnąć odpowiednią równowagę między bezpieczeństwem a użytecznością.
Użyj menedżerów haseł
Samo wymuszanie silnych haseł nie wystarczy. Musisz pomóc swoim użytkownikom zarządzać ich hasłami. Wdrażaj i zachęcaj do korzystania z menedżerów haseł, aby Twoi użytkownicy mogli
przechowuj ich trudne hasła w bezpiecznym miejscu, bez konieczności zapamiętywania każdego z nich.
Użyj uwierzytelniania dwuskładnikowego
Uwierzytelnianie dwuskładnikowe (2FA) dodaje kolejną warstwę bezpieczeństwa przy bardzo niskich kosztach administracyjnych. Dzięki 2FA użytkownicy muszą przeprowadzić drugie uwierzytelnianie za pomocą czynnika drugorzędnego, przy czym OTP (hasło jednorazowe) jest jedną z częściej używanych metod.
Wdrażając 2FA i OTP, użytkownicy próbujący zalogować się na swoje konto muszą mieć dostęp do swojego smartfona lub poczty e-mail, oprócz znajomości nazwy użytkownika i hasła. Ponieważ hasła jednorazowe wygasają co 30 sekund, udostępnianie haseł staje się bardzo trudne – ostatecznie ułatwiając po prostu zażądanie nowego konta.
Wdrożenie 2FA w witrynie WordPress jest łatwiejsze niż mogłoby się wydawać. Wtyczki, takie jak WP 2FA, oferują przyjazne kreatory i szerokie opcje kompatybilności, dzięki czemu cały proces jest bardzo prosty.
Monitoruj aktywność użytkownika
Miej oko na to, kto ma dostęp do czego w Twojej witrynie dzięki wtyczce dziennika aktywności. Kompleksowy dziennik aktywności w czasie rzeczywistym zapewni Ci pełny wgląd we wszystkie działania wykonywane w Twoich witrynach WordPress. Dzienniki aktywności mają fundamentalne znaczenie dla dobrych praktyk w zakresie bezpieczeństwa i pozwolą na spełnienie Twoich zobowiązań dotyczących zgodności.
Co zrobić, jeśli nadal musisz udostępnić swoje dane logowania?
Jeśli z jakiegokolwiek powodu musisz udostępnić dane uwierzytelniające, to:
- Upewnij się, że jest to ograniczone tylko do tych, które naprawdę wymagają dostępu i że dostęp jest tymczasowy. Po zakończeniu sesji udostępniania zresetuj hasło.
- Użyj menedżera haseł, który obsługuje wspólną bazę danych, którą można udostępniać. Większość menedżerów haseł online pozwala na to; możesz mieć własną bazę danych i bazę danych z poświadczeniami, które są udostępniane innym osobom.
- Przekazuj hasło ustnie lub wysyłaj części danych uwierzytelniających przez różne kanały, takie jak w połowie przez Skype, w połowie zaszyfrowaną pocztę e-mail lub inny bezpieczny kanał przesyłania wiadomości.
Bardzo ważne; po zakończeniu sesji lub wymaganym dostępie zawsze resetuj hasło.
Unikaj udostępniania danych logowania
Podsumowując, udostępnianie danych uwierzytelniających nigdy nie jest dobrą rzeczą. Powinieneś aktywnie odradzać tę praktykę, ostrzegając wszystkich użytkowników o swojej polityce. Ponadto korzystaj z dostępnych narzędzi i rozwiązań, które mogą pomóc w egzekwowaniu Twoich zasad.