Seuraamme WP-palvelussa jatkuvasti sivustojen tietoturvaa ja havainnoimme poikkeamia. Automaattisen ja manuaalisen valvonnan ansiosta havaitsemme poikkeamat nopeasti ja pääsemme aloittamaan selvitystyön viivytyksettä. Murrot alkavat tyypillisesti niin, että sivuston ylläpitäjän tunnuksilla kirjaudutaan sisään ja sivustolle asennetaan haittakoodia. Kyseessä ei kuitenkaan yleensä ole ylläpitäjä itse, vaikka tunnistautumistiedot niin väittävät.
Miten tämä on mahdollista? Tällaisissa tapauksissa joko käyttäjän salasana on vuotanut ulkopuolisille, tai kyseessä on ollut alunperin heikko ja helposti arvattava salasana (ks. salasanahygienia). Kun vihamielinen toimija on saanut tunnukset haltuun, on pääkäyttäjän oikeuksin yksinkertaista asentaa sivustolle haittakoodia. Mikä avuksi?
Kaksivaiheinen tunnistautuminen on tekniikka, jossa käyttäjän kirjautuessa häneltä pyydetään salasanan ohella vielä toinenkin tunnistustieto. Yksi yleisimpiä esimerkkejä tästä ovat pankkitunnukset: pankkiasiakkailla on käyttäjätunnus ja salasana, joiden lisäksi erityisesti maksutapahtumia vahvistettaessa pyydetään vaihtuva tunnusluku esimerkiksi avainlukulistalta, mobiilisovelluksesta tai erillisestä tunnuslukulaitteesta.
WordPressin ytimeen ollaan mahdollisesti lisäämässä tukea kaksivaiheiselle tunnistautumiselle (joka tunnetaan myös nimillä two-factor authentication ja 2FA). Tällä hetkellä tuki on mahdollista lisätä sivustolle käyttämällä two-factor -lisäosaa. Tulemme tulevaisuudessa mahdollisesti sisällyttämään lisäosan kaikkille sivustoille kannustaaksemme sen käyttöönotossa.
Mitä hyötyä tästä on? Käyttäjätunnus ja salasana ovat “pysyviä” tietoja, jotka oikea käyttäjä tietää. Kaksivaiheisessa tunnistamisessa näiden oheen otetaan mukaan jotain, mitä käyttäjällä on. Vaihtoehtoja voivat olla esimerkiksi vaihtuva tunnusluku(lista), erillinen tunnistuslaite tai vaikkapa vahvistus siitä, että käyttäjällä on pääsy johonkin tiettyyn sähköpostiosoitetteeseen.
Näin otat käyttöön kaksivaiheisen tunnistautumisen sivustollasi:
1) Asenna two-factor -lisäosa ja aktivoi se. Voit käyttää komentoriviä (esimerkki alla) tai sivuston hallintapaneelia.
wp plugin install two-factor --activate
2) Kytke kaksivaiheinen tunnistautuminen käyttöön haluamillesi käyttäjille. Avaa käyttäjän asetussivu ja valitse haluamasi käyttäjä. Huomaat, että käyttäjän tietoihin on ilmestynyt uusia asetuksia. Voit valita käytössä olevat tunnistustekniikat ja käyttäessäsi U2F/FIDO -laitetta voit myös rekisteröidä käyttöön uusia laitteita. Käyttäjä voi myös itse ottaa käyttöön kaksivaiheisen tunnistautumisen, kunhan edellä mainittu lisäosa on sivustolla aktiivisena.
Tunnistustapoja on useita ja yhdellä käyttäjällä voi olla käytössään useampi eri tunnistustapa, esimerkiksi tunnistuslaite ensisijaisena tunnistustapana ja sähköposti varalla.
Sähköposti
Aina kirjautuessasi sivustolle saat sähköpostiisi vaihtuvan koodin, joka sinun on syötettävä vahvistaaksesi kirjautumisen. Tällä tavalla kirjauduttaessa ei riitä, että hyökkääjä on vienyt sivustosi salasanan – hänellä täytyy olla myös pääsy sähköpostiisi voidakseen kirjautua sisään.
Kertakäyttösalasana, TOTP
Vaihtuva tunnusluku, jonka saat esimerkiksi mobiililaitteestasi. Tunnusluku vaihtuu noin 30 sekunnin välein. TOTP:n avulla hyökkääjän täytyy saada haltuunsa sivustosi tunnusten lisäksi esimerkiksi matkapuhelimesi, jotta hän voi kirjautua palveluun.
Alla muutamia esimerkkejä TOTP-standardia tukevista sovelluksista, joita voi käyttää salaisuuksien hallintaan.
- Google Authenticator (Android, iOS)
- WinAuth (Windows)
- OTP Manager (OS X)
- YubiOATH (Windows, OS X, Linux, Android), sovellusta voi käyttää myös yhdessä TOTP-tuen sisältävien Yubikey -tunnistuslaitteiden kanssa, jolloin salaisuudet tallennetaan tunnistuslaitteeseen laitteen oman muistin sijaan)
Tunnistuslaite
U2F on tunnistustekniikka, jossa käytössä on erillinen, yleensä USB-porttiin tai langattomasti NFC:n yli kytkettävä pieni muistitikkua muistuttava laite. Laite pitää sisällään salaisen avaimen, jonka avulla tunnistusta tekevä sivusto voi varmistua siitä, että käyttäjällä on hallussaan tietty uniikki laite. Ohittaakseen U2F-suojauksen hyökkääjän tulee pystyä varastamaan tämä fyysinen esine ja ehtiä käyttämään sitä ennen kuin käyttäjä on ehtinyt kuolettamaan laitteen.
Ehkä tunnetuin ja käytetyin U2F-tuote on ruotsalainen Yubikey. Halvin, vain U2F -tuen sisältävä laite maksaa noin 18 dollaria. Yhtä laitetta voi käyttää rajattomassa määrässä U2F-teknologiaa tukevia palveluita, WordPressin ohella muun muassa Facebookissa ja Googlen palveluissa. U2F vaatii tunnistusvälineen lisäksi tuen myös käytössä olevalta selaimelta.
Avainlukulista
Avainlukulista on yksinkertaisesti tulostettava lista kertakäyttöisiä koodeja, kuten pankkien avainlukulistat. Hyökkääjän on saatava sivustosi tunnusten lisäksi haltuunsa vähintään yksi käyttämätön tunnistuskoodi onnistuakseen aikeissaan.
Kirjautuminen kaksivaiheisesti
Kun olet kytkenyt käyttöön yhden tai useampia lisätunnistustapoja, seuraavan kirjautumisen yhteydessä käyttäjätunnuksen ja salasanan syöttämisen jälkeen sinulta pyydetään joko tunnistuskoodia tai tunnistuslaitteen kytkemistä, riippuen aiemmin tekemistäsi valinnoista.
Lopuksi
Tällä hetkellä tarjolla oleva versio lisäosasta ei valitettavasti osaa pakottaa kaksivaiheista tunnistautumista käyttöön koko sivustolle. Tämä tarkoittaa käytännössä sitä, että ellei käyttäjälle ole erikseen asetettu kaksivaiheista tunnistautumista käyttöön, hän voi edelleen kirjautua sivustolle pelkän salasanan avulla.
Muistathan suojata myös muut tilisi. Esimerkiksi Facebook, Google, Twitter ja moni muu laajasti käytössä oleva palvelu tukee kaksivaiheista tunnistautumista monilla edellä kuvatuilla tekniikoilla.