WordPress admin biztonságos azonosítás/beléptetés
A Yubikey kulcsokkal, a kétfaktoros azonosítás során egy nagyobb biztonságot kapunk a felhasználónév/jelszó pároshoz képest. Mivel a felhasználók egyszerű jelszavakat adnak meg/képesek csak megjegyezni, amelyek könnyen kitalálhatóak, vagy feltörhetőek egyre gyakoribbak, hogy nem a jelszavak komplexitásának a növelése az elvárás. A megoldás valamilyen plusz fizikai eszköz használata pl. Yubikey biztonsági kulcs, mobil telefonon futó hitelesítő alkalmazás stb…
Nagyon fontos, hogy a WordPress belépésnél egyszer használatos jelszavakat generálunk majd (OTP- one time password), így a webáruházból ne ár alapján automatikusan válasszunk. Az oldal alján feltüntettük a használható kulcsokat.
FONTOS: a Yubikey kulcsok nem akadályozzák meg a programhibák kihasználhatóságát, ne ringassuk magunkat abban a hitben, hogy vettünk egy Yubikey kulcsot és onnantól nem kell frissíteni rendszeresen a wordpress-t, vagy az általunk használt bővítményeket és/vagy témákat!
Mire van szükségünk?
Ha van már egy, vagy több WordPress oldalunk, akkor csak egy Yubikey kulcsra van szükségünk (lásd a lenti listát).
Ha még Yubikey használata nélkül használjuk a WordPress admin oldalt, akkor alapesetben a következő alapképernyőt látjuk. Későbbiekben a felhasználónév és jelszó páros alatt megjelenik majd egy harmadik beviteli mező az egyszer használatos jelszónak (one-time password).
Ahogy a képen is látható, válasszuk ki a WordPressben a „Bővítmények” menüpontot, majd a Keresőbe írjuk be a yubikey kulcsszót. Kattintsunk a „yubikey-plugin” melletti „Telepítés most” gombra, így a kiválasztott bővítményt fel is telepítettük.
Kapcsoljuk be a WordPress bővítményt, így hamarosan használhatjuk is a Yubikey kulcsunkat a kétfaktoros azonosításhoz.
Menjünk a „Felhasználók” menüpont alá és keressük ki a felhasználónkat a listából majd kattintsunk a nevünk alatti szerkesztés linkre. Ahogy a nyilak is mutatják a „Yubikey authentication” alatt kattintsuk be a rádió gombot a „Use Yubico server” mellett. Helyezzük be a kulcsunknak megfelelő USB aljzatba a kulcsunkat és Key ID 1 input mezőben generáljunk egy egyszer használatos jelszót (one-time password). Nyomjuk meg az érintkezőt a kulcson.
Ha a fentiekkel végeztünk lépjünk ki a WordPress adminisztrációs felületről és lépjünk be újból az admin felületre. Ebben az esetben a képen látható figyelmeztetést kapjunk amely szerint a Yubikey azonosítás nem engedélyezett és a Yubikey API nincs beállítva. Éppen ezért most állítsuk be.:-)
A „Beállítások” menüpont alatt található Yubikey menüpontban látjuk, hogy az API ID és a Key mező üres.
Menjünk el a képen látható linkre, hogy megkapjuk az API ID-t és Key-t: https://upgrade.yubico.com/getapikey/
A Yubikey API beállításokhoz adjuk meg az email címünket majd generáljunk egy egyszer használatos jelszót.
Ha ezt megadtuk akkor a képen kitakart helyen egy azonosítót és kulcsot kapunk vissza. Ezt kell megadnunk a WordPress oldalon a Beállításokban a Yubikey almenüben, ahol az előbb már jártunk.
Ha mindent jól csináltunk és újra be szeretnénk lépni az adminisztrációs felületre, akkor a következő belépéskor már a felhasználónév és jelszó mellé belép a kétfaktor is. Jó Yubikey használatot!
Ha még nincs Yubikey kulcsod akkor vedd meg most!:-)
Ajánlott kulcsok WordPress admin oldalon történő beléptetéshez, figyelj arra milyen USB felületed van:
