Lösenordslös autentisering med WebAuthn | WordPress

Lösenordslös autentisering med WebAuthn

Lösenordslös autentisering tillåter användare att logga in utan att behöva komma ihåg ett lösenord. Istället för vanligt användarnamn och lösenord låter WebAuthn dig använda de inloggningsmetoder som redan är inställda på din enhet. Så med webbautentisering skulle du kunna använda fingeravtryckssensorn på din telefon eller Windows Hello på din PC, eller så kan du till och med använda ditt Apple-ID för att logga in på vilken webbplats som helst.

De metoder som stöds inkluderar men är inte begränsade till:

• Windows Hej
• Fingeravtryckssensorer på både bärbara datorer/mobiler
• Windows-PIN
• YubiKey
• Ansiktsautentisering

De flesta användare kan använda samma referenser för olika system. Detta försvagar avsevärt säkerheten för alla dessa webbplatser om inloggningsuppgifterna läcker eller erhålls av en obehörig användare. Webbautentisering är en ganska ny specifikation, skapad för den nya tiden av internet och ny teknik däri. Ger oss resurserna och infrastrukturen för att använda olika autentiseringsmetoder.

Till skillnad från sin föregångare borde WebAuthn vara här för att stanna. Även om de fina punkterna i specifikationen är komplexa, har webbautentisering varit ganska lätt att implementera i praktiken. När detta skrivs har både Chrome och Firefox de datatyper som krävs för WebAuthn, och Firefox's Nightly Build kan skapa och begära inloggningsuppgifter. Vi kommer att prata lite senare om vad den här nya standarden kan betyda för framtiden för lösenord (tyvärr, de kommer förmodligen inte att försvinna i morgon), men först lite mer om kärnkomponenterna i WebAuthn API.

Webbautentisering kontra konventionella autentiseringsmetoder

Det stora som WebAuthn vill tillhandahålla är biometrisk multifaktorautentisering baserad på "Något en användare är." En användare har (i de flesta fall) en röst, ett fingeravtryck eller en näthinna som är unik för dem. Något de flesta användare också har nuförtiden är en biometrisk enhet, som en smartphone, som kan använda denna data för att skapa och hantera referenser som bara användaren kan komma åt genom dessa unika egenskaper.
För att se implementeringar av WebAUthn i verkligheten kan du gå till Github, som inbyggt stöder webbautentisering som inloggningsmetod. För en webbdemo kan du ta en titt på hela implementeringen här. https://webauthn.io/

Aktivera WebAuthn för din WordPress-webbplats

miniOrange är för närvarande det enda sättet att på ett tillförlitligt sätt få WebAUthn att fungera på din WordPress-webbplats. Genom att använda vårt plugin för tvåfaktorsautentisering kommer du att kunna använda webbautentisering som en andra faktor. miniOrage tillhandahåller en säker tvåfaktors autentiseringsmekanism-plugin för flera plattformar (WordPress, Atlassian, Drupal, Magento & Moodle) som lägger till ett extra lager av säkerhet till ditt företags databaser och webbplats. Genom dessa plugins får du tillgång till flera autentiseringsmetoder som kan begränsa användarens autentiseringsuppgifter från att delas med någon, med avsikt eller av misstag. När användaren anger sitt korrekta användarnamn och lösenord tillfrågas de om en andra-faktors autentiseringssida för att kunna logga in. Vi erbjuder 15+ autentiseringsmetoder som inkluderar OTP över e-post, OTP över SMS, hårdvarutoken, QR-kodautentisering, Google-autentisering etc.

Vilka är fördelarna med lösenordslös autentisering med WebAuthn?

• Bättre säkerhet

  Användarkontrollerade lösenord är en stor sårbarhet eftersom användare återanvänder lösenord och kan dela dem med andra.
  
  Säkerheten för lösenordslösa autentiseringssystem beror på vilket identitetsbevis som krävs och deras implementering.
  
  Att till exempel använda säkra push-meddelanden till kontoinnehavarens mobila enhet anses generellt vara säkrare än lösenord. Engångslösenord via SMS på mobila enheter används vanligtvis som en andra faktor för autentisering förutom traditionella användarnamn och lösenordskombinationer.




• Bättre kontroll

  Nätfiske, återanvändning och delning är vanliga problem när man förlitar sig på lösenord, med lösenordslös inloggning har användare bättre kontroll över sitt konto och är mindre mottagliga för nätfiske.
  Med lösenord ur bilden förbättras både användarupplevelsen och säkerheten.

Vad förhindrar lösenordslös inloggning med WebAuthn?

• Lösenordssprutning

  Lösenordssprayning är en attack som försöker komma åt ett stort antal konton (användarnamn) med några vanliga lösenord. Traditionella brute-force-attacker försöker få obehörig åtkomst till ett enda konto genom att gissa lösenordet.
  
  Vid lösenordssprayning försöker en angripare kombinationer av användarnamn och lösenord från listan över vanliga lösenord.




• Meriter Fyllning

  Credentials stuffing är en typ av attack där stulna referenser används som består av en lista med användarnamn tillsammans med deras lösenord. Autentiseringsuppfyllning skiljer sig från brute force-attacken i den meningen att den inte försöker gissa användaruppgifterna utan använder en lista över läckta autentiseringsuppgifter.
  
  Inloggningsattacker är möjliga eftersom många användare återanvänder samma användarnamn/lösenordskombination på flera webbplatser, med en undersökning som rapporterar att 81 % av användarna har återanvänt ett lösenord på två eller flera webbplatser och 25 % av användarna använder samma lösenord på de flesta deras konton.




• Brute Force Attack

  Brute force attack är en typ av attack där en kombination av användarnamn och lösenord gissas genom försök och misstag. Den består av upprepade inloggningsförsök som görs med olika kombinationer varje gång. Att gissa ett kort lösenord kan vara relativt enkelt, men det är inte nödvändigtvis fallet för längre lösenord eller krypteringsnycklar, svårigheten med brute force-attacker växer exponentiellt ju längre lösenordet eller nyckeln är.

Lösenordslös inloggning i WordPress med miniOrange 2 Factor Authentication-plugin med WebAuthn

Inloggningen kan göras med användarnamn och 2-faktor eller endast användarnamn som kan bestämmas utifrån användarrollen. Om en roll inte är tillåten för lösenordslös inloggning kommer de att logga in med ett lösenord och användarnamn.

Det finns två alternativ:

• Logga in med lösenord + faktor 2:

  Du kan logga in med WordPress användarnamn + lösenord, och sedan 2nd-factor autentisering.




• Logga in med endast 2nd Factor:

  I det här andra alternativet får du varianter av Användarnamn + Lösenord och Användarnamn + 2-Factor Authentication i samma fönster.

Vilka är tilläggen relaterade till WordPress Login?

• Framtvinga tvåfaktorsverifiering för WordPress-användare under användarregistrering

  Med miniOrange tvåfaktorsplugin för WordPress-inloggning kan du meddela WordPress-användare att konfigurera Telegram-verifiering under inline-registrering så att det andra säkerhetsskiktet läggs till deras WordPress-konto.



• tvåfaktorsverifiering kompatibel med Woocommerce-formulär

  Denna verifieringsmetod är kompatibel med nästan alla WordPress-inloggningsformulär och även med WooCommerce-formuläret.



• Lösenordslös inloggning med tvåfaktorsverifiering

  Du kan ställa in lösenordslös inloggning till din WordPress-inloggning utan några bekymmer genom att ställa in Telegram-verifiering med bara enkla steg.



• Anpassning

  miniOrange inloggningssäkerhet ger också anpassningsmöjligheter. Du kan anpassa användargränssnittet för tvåfaktorsmeddelanden enligt designen på din WordPress-webbplats.



• Säkerhetskopieringsmetoder

  Om du tappar din tvåfaktorsautentiseringsförmåga kommer du också att få säkerhetskopieringsmetoder som en alternativ tvåfaktorsmetod eller alternativ extra säkerhetslösning för att komma tillbaka till ditt WordPress-konto.