Tofaktorautentisering på WordPress: Det du trenger å vite om 2FA
Tofaktorautentisering (2FA) gir et ekstra lag med beskyttelse av data, er svært enkelt å ta i bruk, og er noe alle på WordPress-plattformen bør benytte seg av. Det sier CTO og teknologiansvarlig i Dekode, Henning Hovland.
DATASIKKERHET: Man låser alltid huset og bilen, og en tar som regel alltid forholdsregler for oppbevaring av pass, bankkort og andre, viktige dokumenter. Hvorfor skal man da ikke gjøre det samme med personlig data på internett?
Åpner informasjonshvelvet på 1-2-3
Brukernavn og passord som eneste sikkerhetsmekanisme er nemlig en svært sårbar løsning mot flere typer av dataangrep. Formålet med tofaktorautentisering er å legge til et ekstra lag av sikkerhet. Det stopper mange av de forskjellige angrepsmetodene slik at de ikke fungerer.
— Mange brukere av datasystemer benytter seg av passord som er veldig enkle å gjette seg frem til. Det settes dedikerte dataprogram som tester uendelige antall kombinasjoner på oppgaven. Når systemet ikke har en grense for antall mislykkede innloggingsforsøk, er det en smal sak for uvedkommende å få tilgang. De åpner informasjonshvelvet ditt på 1-2-3, forklarer Henning Hovland, CTO i Dekode.
Informasjonen din kan omsettes på “det mørke nettet”
Henning Hovland, CTO i Dekode
— Mange benytter dessuten seg av samme kombinasjon av brukernavn og passord på flere plattformer, som gjør at uvedkommende kan få tilgang til et hav av personlig og sensitiv data, sier Hovland.
Kjøper informasjon på det mørke nettet
Det er imidlertid ikke bare personen som hacker seg frem til passordet som får “glede” av informasjonen din. Din data kan i verste fall omsettes på internettets mørke avkrok – “det mørke nettet”.
— Det er lett å få tilgang til lister over e-postadresser med tilhørende passord på “det mørke nettet”. Der laster uvedkommende rett og slett ned og kjøper lister med brukernavn og tilhørende passord, advarer Hovland.
Store konsekvenser
Har du ikke aktivert tofaktorautentisering bør du med andre ord gjøre det så fort som mulig, ifølge Hovland:
— Alle bør benytte 2FA for å sikre sine kontoer utover det passordet man oppretter selv. Dersom en bruker får hacket sine passord vil det kunne få store konsekvenser. Det kan eksponere data som potensielt kan være sensitivt for selskapet man jobber for eller for en selv som person. Et typisk eksempel er identitetstyveri eller forretningshemmeligheter som kommer på avveie.
Slik aktiverer du tofaktorautentisering
Vi anbefaler alle kundene våre å implementere tofaktorautentisering via WordPress sin egen utvidelse «Two-Factor». Tofaktorautentisering kan gjennomføres på flere ulike måter, og «Two-Factor» støtter flere fremgangsmåter. Vi anbefaler at man velger enten «E-post» eller «Tidsbegrenset engangspassord». Slik fungerer det:
Brukere logger inn i WordPress på vanlig måte med brukernavn og passord. Det blir imidlertid lagt til et ekstra steg hvor brukeren må oppgi en engangskode for å logge inn. Denne engangskoden blir sendt til brukeren via e-postadressen som er koblet til brukerkontoen. Når man har tastet inn engangskoden fra e-posten blir man logget inn på vanlig måte. Aktivering av denne strategien krever ingen konfigurasjon fra hver enkelt bruker.
Brukere logger inn i WordPress på vanlig måte med brukernavn og passord. Men det blir lagt til et ekstra steg hvor brukeren må oppgi et tidsbegrenset engangspassord for å logge inn.
Dette tidsbegrensede engangspassordet blir automatisk generert og er tilgjengelig i appen for tidsbegrenset engangspassord som brukeren har valgt. Dersom man taster inn engangspassordet før tiden har gått ut blir man logget inn på vanlig måte.
Velger man denne løsningen, kreves det at alle brukerne konfigurerer en app for tidsbegrenset engangspassord første gang de logger inn. Der er mulig å bruke alle apper som støtter standarden «Time Based One-Time Password (TOTP)». En av de mest populære appene er «Google Authenticator». Denne appen krever ikke noe abonnement eller konto og kan lastes ned gratis for Apple-enheter (iOS) og androide enheter.
Siden denne strategien krever litt innsats fra brukerne anbefaler vi at man opplyser dem om den nye rutinen for innlogging, og gir forslag om hvilken app de skal bruke før man implementerer tofaktorautentiseringen.
Har din bedrift eller organisasjon behov for et trygt og pålitelig sikkerhetssystem mot dataangrep? Da kan du ta kontakt med oss på [email protected].