Indice dei contenuti
ToggleL’autenticazione con verifica in due passaggi è una tecnica sempre più utilizzata e incentivata, per confermare al sistema che sei proprio tu che stai cercando di accedervi.
Per la sicurezza del sistema, ma anche (e soprattutto) per la sicurezza dell’utente, e dei suoi dati.
Apple, Google e tanti altri grandi nomi del web utilizzano la verifica in due passaggi nei propri sistemi, per aumentare la sicurezza a garanzia dei propri utenti, anche se in molti casi il suo utilizzo è ancora a discrezione dell’utente stesso.
Per alcuni è una scocciatura, ma di fatto è un metodo molto efficace per contrastare il primo tra i problemi di sicurezza sul web, la violazione del proprio account.
È possibile usare anche in WordPress la verifica in due passaggi.
Come funziona la verifica in due passaggi.
Prendiamo la finestra di login di WordPress, ad esempio.
Di norma richiede di inserire utente e password, che sono salvati nel database, e violare questa procedura è relativamente facile con varie tecniche di “brute force”, specie se si utilizza l’account admin e se la password non è abbastanza forte.
Se consideriamo la procedura di autenticazione di WordPress come una prima verifica, ed a questa aggiungiamo un altro elemento, un codice variabile inviato via mail o SMS, otteniamo una verifica in due passaggi.
Se violare la verifica standard è relativamente facile, con una doppia verifica la vita del malintenzionato si complica terribilmente.
Ora, si tratta di applicare il tutto al nostro WordPress.
Login verifica in due passaggi con WordPress.
Il modo più semplice di attivare la verifica in due passaggi con WordPress è l’utilizzo di un plugin.
Alcuni plugin per la sicurezza e la gestione di WordPress includono opzioni per la verifica in due passaggi, come iThemes Security Pro, ManageWP e Wordfence.
Altri plugin, invece, sono specializzati solamente nella verifica in due passaggi, eccone alcuni, partendo dal mio preferito.
Duo Two-Factor Authentication
Permette di configurare la doppia verifica in funzione del ruolo utente, e può essere gestita sia tramite una comoda app su smartphone, dove viene semplicemente richiesta una conferma all’atto del login, o tramite altre opzioni come un codice pin inviato via SMS, o addirittura tramite token hardware.
Clef Two-Factor Authentication
Clef-Two-Factor-Authentication è davvero interessante, sostituisce completamente il login di WordPress tramite un’app per smartphone, con un metodo di sincronizzazione tramite immagine davvero particolare.
Più facile da farsi, anche se richiede un po’ di lavoro per predisporlo, che da spiegare.
Potendo loggarsi su più WordPress, Clef-Two-Factor-Authentication permette di chiudere automaticamente tutte le sessioni aperte, in un colpo solo.
Un altro plugin che sembrava promettere bene è Google Authenticator, che si appoggia ai servizi di verifica di Google ma che purtroppo è una versione ancora acerba, e lo sviluppo sembra essersi inceppato da diversi mesi.
In conclusione
La verifica in due passaggi è scomoda, per molti, ma è una protezione efficace, ad esempio per proteggere il proprio WordPress dagli attacchi di tipo brute force.
Certo non è l’unica cosa di cui doversi preoccupare con WordPress, ma visto che questo tipo di attacchi sono tra le principali minacce di violazione, non sono da sottovalutare.
E tu che ne pensi, la doppia verifica potrebbe tornarti utile?
3 risposte
Interessante, cercavo proprio qualcosa di questo tipo, una sola domanda , il servizio Duo, necessario , mi sembra, per far funzionare l’autenticazione con il relativo plugin, è free o a pagamento?
Ciao Andrea, è gratuito per un uso personale, fino a 10 user, mentre è a pagamento per usi più importanti: https://duo.com/pricing
rob
Hai ragione
meglio abbondare sulla sicurezza
grazie!