Înțelegerea riscurilor partajării conectării pe WordPress
Publicat: 2021-11-03Deși este o mare siguranță, nu, nu, partajarea autentificărilor pe WordPress se întâmplă mai des decât s-ar putea crede. După cum sugerează termenul, partajarea de conectare este practica prin care utilizatorii își partajează informațiile de conectare cu alți utilizatori. Într-un sondaj recent, 49% dintre utilizatori au recunoscut că și-au împărtășit detaliile de conectare la afaceri, utilizatorii mai tineri (16-24 de ani) mai lipsiți de griji în ceea ce privește partajarea detaliilor de conectare decât cei din grupa mai în vârstă (55+ ani).
Deși ați putea crede că acest lucru nu se întâmplă pe site-ul dvs. WordPress, mulți administratori tind să subestimeze amploarea partajării parolelor. Fără controale, poate fi destul de dificil să înțelegeți dacă cineva din echipa dvs. își împărtășește datele de conectare. Oamenii recunosc rareori că partajează parole, dar partajarea autentificărilor se întâmplă și poate duce la multe probleme și probleme de securitate WordPress.
De ce își partajează utilizatorii datele de conectare?
Deși pot exista motive legitime pentru care utilizatorii ar putea avea nevoie să partajeze detaliile de conectare, cele mai bune practici ne spun că fiecare utilizator ar trebui să aibă propriul cont. Utilizatorii partajează informații de conectare din mai multe motive. Accesarea conturilor de rețele sociale sau adreselor de e-mail publice, unde mulți oameni ar putea avea nevoie să posteze și să facă cereri de acțiune, este un motiv foarte frecvent. Alte motive includ:
Promptitudine: aveți de făcut acum de lucru. Trimiterea unei cereri prin care se solicită biroului de asistență să creeze un alt cont de utilizator ar cauza o întârziere.
Cost: Pe măsură ce folosim mai multe servicii de abonament bazate pe cloud, ar putea exista costuri suplimentare asociate pentru adăugarea mai multor utilizatori. Acest lucru face ca partajarea de conectare să fie deosebit de tentantă dacă necesitatea este doar temporară.
Management: din punct de vedere al managementului, afacerii și operațiunilor, cu cât sunt mai puține conturi de gestionat, cu atât munca este mai ușoară.
Problemele de securitate cauzate de partajarea autentificarii
Pentru mulți, împărtășirea datelor de conectare este doar un alt lucru pe care îl fac la serviciu. Chiar dacă utilizatorii își partajează datele de conectare fără nicio intenție rea, practica de a partaja acreditările de conectare are mai multe riscuri de securitate asociate.
Scurgere de acreditări
A oferi date de conectare WordPress unui prieten sau coleg de încredere poate părea inofensiv la prima vedere. Cu toate acestea, ar trebui să vă întrebați dacă vor fi la fel de atenți cu detaliile dvs. pe cât sunt ale lor? De asemenea, dacă utilizați aceeași parolă pentru mai multe conturi; nu numai că puneți în pericol contul partajat, ci și eventual toate celelalte conturi.
În consecință, renunțarea la acreditările tale riscă să se scurgă acreditările în interiorul și în afara companiei.
Încurajează utilizarea parolelor slabe
Peste 80% dintre încercările de hacking reușite exploatează parole slabe, folosind atacuri cu forță brută sau acreditări furate. Dacă există o cultură a partajării parolelor, aceste parole vor fi inevitabil slabe și ușor de reținut.
Folosirea greșită a serviciului
Când vine vorba de securitatea WordPress, principiul cel mai mic privilegiu este unul dintre cele mai bune instrumente pe care administratorii le pot folosi pentru a menține un nivel ridicat de protecție. Aceasta înseamnă că contul fiecărui individ va avea privilegii specifice pentru a îndeplini sarcinile necesare pentru job. Ca atare, nu toate conturile sunt create egale, deoarece nu toate rolurile dintr-o afacere sunt egale. Unele conturi vor avea mai multe privilegii și acces la mai multe informații decât altele.
Prin partajarea autentificarii, toți cei care au cunoștințe despre acreditările vor avea acces la toate privilegiile contului respectiv, indiferent de nivelul de acces pe care ar trebui să-l aibă. Acest lucru le poate permite accesul la funcții și date la care nu au acces în mod obișnuit. Acest lucru poate duce la scurgeri de date și la încălcarea reglementărilor precum GDPR, PCI DSS și altele.
Responsabilitatea utilizatorilor
Conturile individuale atribuie responsabilitatea acțiunilor, cine a făcut ce și când.
Urmează același principiu pentru care fiecare operator de casă are un sertar de numerar individual, care este îndepărtat la sfârșitul turei. Dacă aceste sertare de numerar ar fi împărțite și ar exista un deficit, cum ați determina cine este responsabil? În această situație, toți cei care au acces la această tragere în numerar vor cădea sub bănuială, indiferent dacă s-a întâmplat la ceas sau nu.
Același lucru este valabil și pentru site-urile WordPress. Cum ați determina cine a aprobat o comandă, o rambursare sau a modificat în mod eronat o listă de produse sau un preț? Dacă se descoperă o greșeală, cine va fi tras la răspundere? Cum ți-ai dovedi nevinovăția?
Ce poți face pentru a opri partajarea autentificărilor?
Educați , încurajați , impuneți .
Dacă nu ați făcut acest lucru deja, asigurați-vă că aveți o politică privind gestionarea parolelor care descurajează partajarea autentificărilor. De asemenea, ar trebui să vă asigurați că echipa este conștientă de obligațiile dvs. de reglementare și de modul în care acestea pot juca un rol în îndeplinirea acestor cerințe.
Educați personalul cu privire la potențialele pericole ale împărtășirii detaliilor lor sensibile de conectare, nu numai pentru companie, ci și pentru ei înșiși. Să presupunem că există furt de date și că sunt implicate forțele de ordine. În acest caz, ei se vor uita, fără îndoială, la cine a accesat ce, verificând jurnalele pentru conturile de utilizator.
Un factor principal care îi determină pe utilizatori să-și partajeze detaliile de conectare la cont este faptul că este ușor de făcut și poate fi făcut chiar acum, astfel încât treaba să se poată finaliza. Nu se bazează pe o terță parte, cum ar fi biroul de asistență sau cu orice întârzieri ulterioare.
Eficientizați procesul de gestionare a contului, făcându-l în același timp accesibil și eficient. De asemenea, vă recomandăm să vă asigurați că echipa de asistență este conștientă de cele mai bune practici de securitate și de reglementare și este împuternicită să le susțină în întreaga organizație.
Există mai multe soluții tehnologice disponibile pentru a vă impune politicile privind parolele și pentru a descuraja partajarea autentificărilor. De exemplu:
Aplicați și utilizați parole puternice
Un dezavantaj semnificativ al partajării parolelor este că acestea vor fi invariabil slabe, astfel încât sunt ușor de reținut și poate notate pe note lipicioase, făcându-le disponibile pentru oricine le vede. Forțând utilizatorii să folosească parole puternice, îi descurajați să partajeze acreditările.
Pluginurile precum WPassword fac ca întregul proces să fie foarte ușor. IT vă oferă control complet asupra implementării, ajutându-vă să atingeți echilibrul potrivit între securitate și utilizare.
Utilizați manageri de parole
Doar aplicarea parolelor puternice nu este suficientă. Trebuie să vă ajutați utilizatorii să-și gestioneze parolele. Implementați și încurajați utilizarea managerilor de parole, astfel încât utilizatorii dvs. să poată face acest lucru
păstrați-le parolele dificile într-un loc sigur, fără a fi nevoie să vă amintiți fiecare dintre ele.
Utilizați autentificarea cu doi factori
Autentificarea cu doi factori (2FA) adaugă un alt nivel de securitate la un cost administrativ foarte scăzut. Prin 2FA, utilizatorii trebuie să efectueze o a doua autentificare printr-un factor secundar, OTP (One Time Password) fiind una dintre metodele mai frecvent utilizate.
Prin implementarea 2FA și OTP, utilizatorii care încearcă să se conecteze la contul lor trebuie să aibă acces la smartphone-ul sau la e-mail, în afară de a cunoaște numele de utilizator și parola. Având în vedere că OTP-urile expiră la fiecare 30 de secunde, partajarea parolelor devine foarte dificilă – în cele din urmă facilitând solicitarea unui nou cont.
Implementarea 2FA pentru site-ul dvs. WordPress este mai ușoară decât ați putea crede. Plugin-uri precum WP 2FA oferă vrăjitori prietenoși și opțiuni largi de compatibilitate pentru a face întregul proces ușor.
Monitorizați activitatea utilizatorului
Fii cu ochii pe cine accesează ce pe site-ul tău web cu un plugin de jurnal de activitate. Un jurnal de activitate cuprinzător în timp real vă va oferi vizibilitate completă a tuturor acțiunilor efectuate pe site-urile dvs. WordPress. Jurnalele de activitate sunt fundamentale pentru bunele practici de securitate și vor contribui în mare măsură la îndeplinirea obligațiilor dvs. de conformitate.
Ce se întâmplă dacă mai trebuie să-ți partajezi detaliile de conectare?
Dacă trebuie să partajați acreditările din orice motiv, atunci:
- Asigurați-vă că acest lucru este limitat doar la cei care necesită cu adevărat acces și că accesul este temporar. Când sesiunea de partajare se încheie, resetați parola.
- Utilizați un manager de parole care acceptă o bază de date comună care poate fi partajată. Majoritatea managerilor de parole online permit acest lucru; poți avea propria ta bază de date și o bază de date cu acreditări care este partajată cu alte persoane.
- Comunicați parola verbal sau trimiteți părți ale acreditărilor pe diferite canale, cum ar fi jumătate prin Skype, jumătate prin e-mail criptat sau alt canal de mesagerie securizat.
Foarte important; la sfârșitul sesiunii sau accesul necesar, resetați întotdeauna parola.
Evitați partajarea informațiilor dvs. de conectare
În concluzie, partajarea acreditărilor nu este niciodată un lucru bun. Ar trebui să descurajați în mod activ această practică, alertând toți utilizatorii cu privire la politica dvs. În plus, utilizați instrumentele și soluțiile disponibile care vă pot ajuta să vă aplicați politica.