Двухфакторная аутентификация является дополнительным методом безопасности, используемым для входа на сайт. В итоге, чтобы войти на сайт, необходимо подтверждение через физическое устройство (например, с помощью SMS или приложения на смартфоне). Многие считают такую защиту безупречной. В принципе, это так. Но иногда и эта стратегия дает сбой. Давайте разберемся почему.
Что такое двухфакторная аутентификация?
Обычно для входа на сайт требуется ввести логин и пароль. Отметим, что этого более чем достаточно, если в качестве логина и пароля используются сложные комбинации. Однако все же риски существуют. Если эти данные стали известны посторонним лицам, то, безусловно, могут быть использованы для нарушения безопасности сайта в целом. Двухфакторная авторизация означает дополнительный уровень безопасности, добавляющий еще один шаг для входа в систему. Помимо ввода логина и пароля, необходимо будет также подтвердить свою личность с помощью еще одного дополнительного шага. Для этого предлагается несколько способов:
- приложение или SMS на мобильном устройстве;
- токен безопасности (длинная строка из случайных цифр и букв);
- зашифрованный USB-накопитель;
- мини-устройство для аутентификации (key fob);
- физическая карта, которая считывается кардридером.
Почему двухфакторная аутентификация не всегда надежна?
В большинстве случаев двухфакторная аутентификация для WordPress-сайтов – вполне безопасна и рекомендуется для использования для всех аккаунтов сайта. Однако использование SMS не всегда надежно. Рассмотрим небольшой пример. Пусть на Вашем сайте подключена двухфакторная аутентификация, использующая для подтверждения SMS. По каким-то причинам Ваша SIM-карта заблокирована оператором и нужен ее перевыпуск. Этим могут воспользоваться хакеры, завладевшие Вашим e-mail-ящиком. Многие мобильные операторы используют для подтверждения именно электронную почту. Подтвердив полученное письмо от оператора, хакер вполне может перевыдать SIM-карту раньше Вас.
В итоге получается, что вследствие человеческой ошибки может быть нарушена безопасность всего сайта. Поэтому существует много ситуаций, когда мультифакторная аутентификация не гарантирует полную защиту. А именно:
- SIM-карта заблокирована;
- телефон, компьютера или другие устройства были украдены;
- были использованы простые логин и пароль;
- Вы стали жертвой фишинговых атак по e-mail или по телефону и др.
Подытоживая все вышесказанное, важно отметить, что необходимо обеспечить как можно больше шагов, чтобы гарантировать свою защиту.
Как обеспечить безопасность?
К счастью, существует несколько способов защиты, позволяющих защитить свой сайт с помощью двухфакторной аутентификации:
- используйте надежные и различные пароли для каждого из своих WordPress-сайтов;
- включите двухфакторную аутентификацию для большинства (или всех) пользователей своего сайта;
- не используйте двухфакторную аутентификацию по SMS;
- используйте безопасную блокировку на мобильных устройствах и на своем компьютере;
- не сохраняйте пароли для сайтов в веб-браузере;
- используйте безопасный сервис хранения паролей;
- храните физические токены безопасности в нескольких безопасных местах.
Кроме того, не следует публиковать личную информацию (телефон, e-mail и пр.) в соц. сетях, даже если Вам кажется, что она вполне безопасна. Также рекомендуется держать компьютер и мобильные устройства в безопасном месте и следить за ними, особенно когда находитесь в публичном месте. Если Ваш компьютер с сохраненными данными в веб-браузере будет украден, то пароли могут быть скомпрометированы. Потому имеет смысл удалить все сохраненные в настоящее время пароли, перейти к двухфакторной аутентификации для всех сайтов, либо использовать надежный сервис хранения паролей.
Хотя многие из этих шагов могут показаться вполне очевидными, пользователи, порой даже и опытные, зачастую могут забыть об этом или не предусмотреть какую-либо возможность взлома. Ну и, конечно же, недооценивать взломщиков тоже не нужно, ведь они постоянно находятся в поисках новых способов завладеть чужими данными.
Также читайте: Как придумать надежный сложный пароль и запомнить его.
Нажмите, пожалуйста, на одну из кнопок, чтобы узнать понравилась статья или нет.