Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Vai al contenuto

Come impostare l’autenticazione a due fattori con WordPress

Introduzione

L’autenticazione a due fattori è utile per proteggere i nostri account da accessi indesiderati: se infatti di norma basta inserire una password per accedere al nostro account social o email, mediante autenticazione 2FA (2 Factor Authentication) si inserisce un ulteriore livello di protezione per l’accesso. In questo articolo vedremo come funziona la 2FA nel dettaglio, come attivarla su WordPress e come funziona tecnicamente.

Come attivare l’autenticazione a due fattori su WordPress

Per quanto riguarda le versioni di WordPress hosted, attualmente il plugin Google Authenticator permette di introdurre in WP l’autenticazione “alla Google”: nella pratica, se anche un attaccante riuscisse ad indovinare username e password dell’utente, sarebbe di fatto impossibilitato a procedere oltre nel curiosare nel nostro blog, poichè dovrebbe confermare il codice inviato via SMS e, a meno che non ci abbia sottratto il telefono, non potrebbe fare più nulla (se non con probabilità  piuttosto basse di indovinare quel codice casuale).

Google Authenticator richiede un server NTP attivo e funzionante sull’hosting wordpress attivo (di solito avviene di default su ogni hosting di questo tipo) in modo da gestire correttamente il timestamp, e dalle valutazioni positive ricevute sembra essere un buon prodotto gratuito.

Al momento (11 agosto 2018) non sembrano esistere soluzioni di 2FA per WordPress con invio di SMS per l’Italia.

Dettagli tecnici

I tentativi di attacco al file wp-login.php mediante tecniche di scripting brute force – nei quali un attaccante prova ad indovinare le credenziali di accesso dell’amministratore mediante tentativi su file dizionario – rendono necessaria, cosଠcome accade su altri sistemi informatici, l’introduzione di un ulteriore fattore di sicurezza.

L’autenticazione a due fattori, sfruttata ad esempio dai siti delle banche online per rendere più protette le transazioni e le operazione di consultazione dell’account, serve esattamente a questo: Two Factor Auth (2FA) viene implementata da numerosi siti (qui c’è una lista aggiornata), attualmente, tra cui anche Google / Gmail e Box.com, ed è già  presente ed attivabile su WordPress.com.

Ti potrebbe interessare:  MySQL replication: ottimizzare le prestazioni del database di WordPress

Il suggerimento di base è quello di adottare questo sistema di sicurezza, che rende il login tradizionale da una procedura con una semplice verifica:

  1. verifica la correttezza di username e password;

un processo con duplice autenticazione:

  1. verifica la correttezza di username e password;
  2. invia un SMS con un codice casuale al cellulare del proprietario dell’account, e richiedilo come “seconda password”.

Come variante più generale, l’invio di SMS può essere sostituito dalla generazione, a parte, di un codice di autenticazione denominato “One Time Password“, cioè una password univoca che funzioni solo per brevi periodi di tempo e venga rigenerata volta per volta, in modo da ridurre le possibilità  per l’attaccante di violare il sistema. Di solito, superata la fase due, l’utente acquisisce un cookie personalizzato che fa in modo che i successivi login vengano “dati per buoni” sulla stessa macchina (PC o smartphone), in modo che l’utente non sia costretto a ricevere un messaggio ogni volta, quantomeno per un dato periodo di tempo. Ovviamente è necessario non lasciare sessioni aperte su computer pubblici e proteggere sempre l’accesso a questi dispositivi da occhi indiscreti.

Photo by dogsbodyorg

Da non perdere 👇👇👇



Questo sito esiste da 4430 giorni (12 anni), e contiene ad oggi 4009 articoli (circa 3.207.200 parole in tutto) e 12 servizi online gratuiti. – Leggi un altro articolo a caso
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

Ti potrebbe interessare:  Che cosa indica l'errore net::ERR_BLOCKED_BY_CLIENT su Chrome
Questo sito contribuisce alla audience di sè stesso.
Il nostro network informativo: Lipercubo.it - Pagare.online - Trovalost.it.