Julkaistu
Päivitetty

Seuraamme WP-palvelussa jatkuvasti sivustojen tietoturvaa ja havainnoimme poikkeamia. Automaattisen ja manuaalisen valvonnan ansiosta havaitsemme poikkeamat nopeasti ja pääsemme aloittamaan selvitystyön viivytyksettä. Murrot alkavat tyypillisesti niin, että sivuston ylläpitäjän tunnuksilla kirjaudutaan sisään ja sivustolle asennetaan haittakoodia. Kyseessä ei kuitenkaan yleensä ole ylläpitäjä itse, vaikka tunnistautumistiedot niin väittävät.

Miten tämä on mahdollista? Tällaisissa tapauksissa joko käyttäjän salasana on vuotanut ulkopuolisille, tai kyseessä on ollut alunperin heikko ja helposti arvattava salasana (ks. salasanahygienia). Kun vihamielinen toimija on saanut tunnukset haltuun, on pääkäyttäjän oikeuksin yksinkertaista asentaa sivustolle haittakoodia. Mikä avuksi?

Kaksivaiheinen tunnistautuminen on tekniikka, jossa käyttäjän kirjautuessa häneltä pyydetään salasanan ohella vielä toinenkin tunnistustieto. Yksi yleisimpiä esimerkkejä tästä ovat pankkitunnukset: pankkiasiakkailla on käyttäjätunnus ja salasana, joiden lisäksi erityisesti maksutapahtumia vahvistettaessa pyydetään vaihtuva tunnusluku esimerkiksi avainlukulistalta, mobiilisovelluksesta tai erillisestä tunnuslukulaitteesta.

WordPressin ytimeen ollaan mahdollisesti lisäämässä tukea kaksivaiheiselle tunnistautumiselle (joka tunnetaan myös nimillä two-factor authentication ja 2FA). Tällä hetkellä tuki on mahdollista lisätä sivustolle käyttämällä two-factor -lisäosaa. Tulemme tulevaisuudessa mahdollisesti sisällyttämään lisäosan kaikkille sivustoille kannustaaksemme sen käyttöönotossa.

Mitä hyötyä tästä on? Käyttäjätunnus ja salasana ovat “pysyviä” tietoja, jotka oikea käyttäjä tietää. Kaksivaiheisessa tunnistamisessa näiden oheen otetaan mukaan jotain, mitä käyttäjällä on. Vaihtoehtoja voivat olla esimerkiksi vaihtuva tunnusluku(lista), erillinen tunnistuslaite tai vaikkapa vahvistus siitä, että käyttäjällä on pääsy johonkin tiettyyn sähköpostiosoitetteeseen.

Näin otat käyttöön kaksivaiheisen tunnistautumisen sivustollasi:

1) Asenna two-factor -lisäosa ja aktivoi se. Voit käyttää komentoriviä (esimerkki alla) tai sivuston hallintapaneelia.

wp plugin install two-factor --activate

2) Kytke kaksivaiheinen tunnistautuminen käyttöön haluamillesi käyttäjille. Avaa käyttäjän asetussivu ja valitse haluamasi käyttäjä. Huomaat, että käyttäjän tietoihin on ilmestynyt uusia asetuksia. Voit valita käytössä olevat tunnistustekniikat ja käyttäessäsi U2F/FIDO -laitetta voit myös rekisteröidä käyttöön uusia laitteita. Käyttäjä voi myös itse ottaa käyttöön kaksivaiheisen tunnistautumisen, kunhan edellä mainittu lisäosa on sivustolla aktiivisena.

Tunnistustapoja on useita ja yhdellä käyttäjällä voi olla käytössään useampi eri tunnistustapa, esimerkiksi tunnistuslaite ensisijaisena tunnistustapana ja sähköposti varalla.

Sähköposti

Aina kirjautuessasi sivustolle saat sähköpostiisi vaihtuvan koodin, joka sinun on syötettävä vahvistaaksesi kirjautumisen. Tällä tavalla kirjauduttaessa ei riitä, että hyökkääjä on vienyt sivustosi salasanan – hänellä täytyy olla myös pääsy sähköpostiisi voidakseen kirjautua sisään.

Kertakäyttösalasana, TOTP

Vaihtuva tunnusluku, jonka saat esimerkiksi mobiililaitteestasi. Tunnusluku vaihtuu noin 30 sekunnin välein. TOTP:n avulla hyökkääjän täytyy saada haltuunsa sivustosi tunnusten lisäksi esimerkiksi matkapuhelimesi, jotta hän voi kirjautua palveluun.

Alla muutamia esimerkkejä TOTP-standardia tukevista sovelluksista, joita voi käyttää salaisuuksien hallintaan.

  • Google Authenticator (Android, iOS)
  • WinAuth (Windows)
  • OTP Manager (OS X)
  • YubiOATH (Windows, OS X, Linux, Android), sovellusta voi käyttää myös yhdessä TOTP-tuen sisältävien Yubikey -tunnistuslaitteiden kanssa, jolloin salaisuudet tallennetaan tunnistuslaitteeseen laitteen oman muistin sijaan)

Tunnistuslaite

Yubikey U2F -tunnistuslaite
Yubikey U2F

U2F on tunnistustekniikka, jossa käytössä on erillinen, yleensä USB-porttiin tai langattomasti NFC:n yli kytkettävä pieni muistitikkua muistuttava laite. Laite pitää sisällään salaisen avaimen, jonka avulla tunnistusta tekevä sivusto voi varmistua siitä, että käyttäjällä on hallussaan tietty uniikki laite. Ohittaakseen U2F-suojauksen hyökkääjän tulee pystyä varastamaan tämä fyysinen esine ja ehtiä käyttämään sitä ennen kuin käyttäjä on ehtinyt kuolettamaan laitteen.

Ehkä tunnetuin ja käytetyin U2F-tuote on ruotsalainen Yubikey. Halvin, vain U2F -tuen sisältävä laite maksaa noin 18 dollaria. Yhtä laitetta voi käyttää rajattomassa määrässä U2F-teknologiaa tukevia palveluita, WordPressin ohella muun muassa Facebookissa ja Googlen palveluissa. U2F vaatii tunnistusvälineen lisäksi tuen myös käytössä olevalta selaimelta.

Avainlukulista

Avainlukulista on yksinkertaisesti tulostettava lista kertakäyttöisiä koodeja, kuten pankkien avainlukulistat. Hyökkääjän on saatava sivustosi tunnusten lisäksi haltuunsa vähintään yksi käyttämätön tunnistuskoodi onnistuakseen aikeissaan.

Kirjautuminen kaksivaiheisesti

Kun olet kytkenyt käyttöön yhden tai useampia lisätunnistustapoja, seuraavan kirjautumisen yhteydessä käyttäjätunnuksen ja salasanan syöttämisen jälkeen sinulta pyydetään joko tunnistuskoodia tai tunnistuslaitteen kytkemistä, riippuen aiemmin tekemistäsi valinnoista.

Lopuksi

Tällä hetkellä tarjolla oleva versio lisäosasta ei valitettavasti osaa pakottaa kaksivaiheista tunnistautumista käyttöön koko sivustolle. Tämä tarkoittaa käytännössä sitä, että ellei käyttäjälle ole erikseen asetettu kaksivaiheista tunnistautumista käyttöön, hän voi edelleen kirjautua sivustolle pelkän salasanan avulla.

Muistathan suojata myös muut tilisi. Esimerkiksi Facebook, Google, Twitter ja moni muu laajasti käytössä oleva palvelu tukee kaksivaiheista tunnistautumista monilla edellä kuvatuilla tekniikoilla.

Kommentoi

Lue lisää

Kategoriassa: Tietoturva

WordPress-tietokannan suojaukset Seravolla

Viime viikkoina tietoturva on ollut otsikoissa Suomessa. Lue Seravon blogista miten kaikkea Seravo tekee tietokannan suojaamiseksi WordPress-sivustoillamme.

9.11.2020

Tiedote: Seravo löysi WP File Manager -lisäosasta vakavan nollapäivähaavoittuvuuden

Seravo löysi WordPressistä vakavan nollapäivähaavoittuvuuden – aukko koskettaa yli 700 000 verkkosivua, paljon hyökkäyksiä havaittu

2.9.2020

Paranna tietoturvaasi kaksivaiheisella tunnistautumisella

Tässä artikkelissa esittelen TOTP-sovelluksen käyttöä kaksivaiheiseen tunnistautumiseen ja miksi TOTP on monia muita vaihtoehtoja parempi menetelmä.

14.5.2020

Salasanahygienia on puoli tietoturvaa

Huolehdimme Seravolla paitsi WordPress-sivustojen toimivuudesta ja suorituskyvystä, myös niiden tietoturvasta. WP-palvelussa ylläpidossa olevalle sivustolle tehdään toistuvasti automaattisia tarkistuksia haittakoodin varalta, […]

7.5.2020

TLS 1.1 ja 1.0 historiaan maaliskuussa

Seravon WP-palvelussa on vuoden 2020 alusta ollut ensisijaisena HTTPS-liikenteen salausprotokollana käytössä TLS 1.3, jonka lisäksi käytössä on TLS 1.2. Sen […]

10.3.2020

Nopeuta WordPressiä kevätsiivouksella

Ajan myötä jopa huolellisesti ylläpidetyille WordPress-sivustoille tapaa kertyä ylimääräistä roskaa: ylimääräisiä tiedostoja, käytöstä poistettuja lisäosia, tarpeetonta tietokantasisältöä ja vanhoja lokitiedostoja. […]

21.2.2020