Come impostare l’autenticazione a due fattori con WordPress

Come impostare l’autenticazione a due fattori con WordPress

I tentativi di attacco al file wp-login.php mediante script brute force – nei quali un attaccante prova ad indovinare le credenziali di accesso dell’amministratore mediante tentativi su file dizionario – rendono necessaria, così come accade su altri sistemi informatici, l’introduzione di un ulteriore fattore di sicurezza. L’autenticazione a due fattori, sfruttata ad esempio dai siti delle banche online per rendere più protette le transazioni e le operazione di consultazione dell’account, serve esattamente a questo: Two Factor Auth (2FA) viene implementata da numerosi siti (qui c’è una lista aggiornata), attualmente, tra cui anche Google / Gmail e Box.com, ed è già presente su wordpress.com.

Il suggerimento di base è quello di adottare questo sistema di sicurezza, che rende il login tradizionale da una procedura con una semplice verifica:

  1. verifica la correttezza di username e password;

un processo con duplice autenticazione:

  1. verifica la correttezza di username e password;
  2. invia un SMS con un codice casuale al cellulare del proprietario dell’account, e richiedilo come “seconda password”.

Come variante più generale, l’invio di SMS può essere sostituito dalla generazione, a parte, di un codice di autenticazione denominato “One Time Password“, cioè una password univoca che funzioni solo per brevi periodi di tempo e venga rigenerata volta per volta, in modo da ridurre le possibilità per l’attaccante di violare il sistema. Di solito, superata la fase due, l’utente acquisisce un cookie personalizzato che fa in modo che i successivi login vengano “dati per buoni” sulla stessa macchina (PC o smartphone), in modo che l’utente non sia costretto a ricevere un messaggio ogni volta, quantomeno per un dato periodo di tempo. Ovviamente è necessario non lasciare sessioni aperte su computer pubblici e proteggere sempre l’accesso a questi dispositivi da occhi indiscreti.

PEr quanto riguarda le versioni di WordPress hosted, attualmente il plugin Google Authenticator permette di introdurre in WP l’autenticazione “alla Google”: nella pratica, se anche un attaccante riuscisse ad indovinare username e password dell’utente, sarebbe di fatto impossibilitato a procedere oltre nel curiosare nel nostro blog, poichè dovrebbe confermare il codice inviato via SMS e, a meno che non ci abbia sottratto il telefono, non potrebbe fare più nulla (se non con probabilità piuttosto basse di indovinare quel codice casuale). Google Authenticator richiede un server NTP attivo e funzionante sull’hosting wordpress attivo (di solito avviene di default su ogni hosting di questo tipo) in modo da gestire correttamente il timestamp, e dalle valutazioni positive ricevute sembra essere un buon prodotto gratuito, per quanto l’ultimo aggiornamento risalga, al momento della stesura di questo articolo, a febbraio 2014.

Photo by dogsbodyorg

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.