Давайте розглянемо вхід без пароля для WordPress, абсолютно нового домену, який чекає на майбутнє.
Найближчим часом паролі зникнуть. Вони мали на меті посилити безпеку, але в результаті створили більше проблем, ніж рішень.
Все почалося з надійних паролів, потім була двофакторна автентифікація, додавши додаткові клацання (читати роботу), з якими ніхто не хоче мати справу.
Є ще одне рішення, яке нещодавно з’явилося, відоме як магічні посилання. Вам доведеться ввести своє ім’я користувача та відкрити посилання з електронного листа замість введення пароля.
Хоча це безпечніше, оскільки вам потрібно лише захистити облікові записи електронної пошти та використовувати цю безпеку всюди, це не найшвидший спосіб.
Вхід без пароля в WordPress
WordPress простий у використанні для звичайного користувача Інтернету, і вся ця простота супроводжується підвищеним ризиком для безпеки. І хоча ви можете встановлювати надійні паролі за допомогою iThemes Security, ідея полягає в тому, щоб зробити це легким і водночас безпечним.
Коротше кажучи, iThemes Security — це обов’язковий безкоштовний охоронець для вашого проекту WordPress. Він поставляється як плагін, який допомагає з легкістю посилити безпеку WordPress.
Хоча це незалежний посібник, він допоможе, якщо ви спочатку прочитаєте наш огляд iThemes Security Pro.
На додаток до незліченних функцій, iThemes Security Pro допомагає розгорнути зручні біометричні входи на ваш веб-сайт WordPress. Отже, ви можете використовувати ці функції з Apple (Touch ID, Face ID), Android (відбиток пальця, PIN-код, шаблон) і Windows (Windows Hello).
Якщо це застосовано, користувачі матимуть такий запит на URL-адресі входу:
Це дає вам альтернативний (і простий) спосіб входу на веб-сайт WordPress.
Розуміння ключів доступу
Цей метод входу за допомогою ключів доступу використовує локальні облікові дані автентифікації, які ми вже використовуємо з пристроями, якими ми фізично володіємо, як-от смартфон або Macbook.
Крім того, що це найпростіший спосіб розблокування WordPress, це також найбезпечніший спосіб.
Наприклад, є невелика ймовірність, що ви можете надати ім’я користувача та пароль для схожої (також відомої як фішинг) сторінки входу в WordPress. Але з ключами таких лазівок немає.
Ключі доступу підтримуються WebAuthn, криптографічною автентифікацією, яка використовує пару відкритих і закритих ключів.
Відкриті ключі зберігаються в хмарі, а закриті – на вашому локальному пристрої. Отже, коли ви знімаєте відбиток пальця на сторінці входу в WordPress, він дізнається, що це справді ви, і надсилає вас на інформаційну панель.
У цьому випадку все, що вам потрібно захистити, це ваші біометричні дані в порівнянні з іменем користувача та паролем, які кіберзлочинець може викрасти за допомогою фішингу тощо.
І якщо це покращує ситуацію, у розробці WebAuthn брали участь провідні технологічні гіганти, такі як Google, Microsoft, Mozilla, Yubico тощо.
Одним словом, це безпечно та надійно.
Налаштування біометричного входу
Незважаючи на те, що цей метод забезпечує надзвичайно складну безпеку, застосування є безболісним.
По-перше, вам потрібна підписка iThemes Pro.
Потім перейдіть до Безпека > Налаштування на бічній панелі інформаційної панелі WordPress. Нарешті, увімкніть перемикачі для входу без пароля та ключів доступу.
Без ключів доступу логін дозволяв би використовувати магічні посилання. Але це буде замінено ключами доступу, якщо ви ввімкнете це, якщо ви не ввімкнете обидва (розглянемо далі в цьому розділі).
Тепер адміністратор вибирає користувачів для цієї нової політики входу. Цей параметр знаходиться в розділі «Групи користувачів» інформаційної панелі iThemes Security Pro.
Ви можете вибрати один із попередньо визначених класів користувачів (адміністратори, автори, редактори, передплатники тощо) або створити спеціальний пакет за допомогою опції «Нова група».
Далі адміністратор запроваджує вхід без пароля для вибраних категорій користувачів:
Примітно, що ви можете використовувати обидва (магічне посилання та ключ доступу) на вкладці «Налаштувати» > «Безпека входу» в системі безпеки iThemes.
Тепер це запропонує URL-адресу для входу за допомогою Email Magic Link або використання вашого пароля:
Натиснувши магічне посилання, ви надішлете лист для входу на зареєстровану електронну адресу. Однак другий спосіб покаже невідому помилку, якщо ви спочатку не встановите ключ доступу.
Використання ключів доступу
Першим кроком для налаштування біометричної автентифікації є використання входу за допомогою пароля, розміщеного під кнопкою Use Your Passkey.
На момент написання цієї статті я не міг знайти варіант використання безпарольного входу виключно для входу в WordPress. Отже, важливо застосовувати політику надійних паролів, оскільки в іншому випадку користувач може використовувати слабкий пароль. Ви можете знайти ці параметри в Групи користувачів > Функції. Крім того, термін дії пароля можна встановити в меню Налаштування > Безпека входу > Вимоги до паролів.
Після регулярного входу кожному користувачеві буде запропоновано налаштувати пароль для входу. Додати ключ доступу переведе вас до параметрів на основі локального пристрою.
Наприклад, він надіслав мене до Windows Hello на ПК з Windows 10.
Після введення правильного PIN-коду я міг увійти лише за допомогою імені користувача та PIN-коду Windows.
Так само можна налаштувати ключ доступу на Android (або iOS):
Примітно, що запит більше не з’являтиметься, якщо користувач вибере параметр Пропустити налаштування. У цьому випадку можна налаштувати ключі доступу в розділі профілю користувача WordPress.
Натисніть «Керування ключами доступу» внизу, а потім «Додати ключ доступу», щоб розпочати налаштування.
Майбутнє без пароля!
Безперечно, це майбутнє. Перехід без пароля (у WordPress) — це найбезпечніша та найпростіша форма автентифікації, доступна прямо зараз.
Хоча вам потрібно налаштувати ключі доступу для кожного пристрою, яким ви володієте, ця одноразова робота того варта для всіх майбутніх входів.
Отже, біометричний вхід із iThemes Security Pro завершується. Хоча його безкоштовна версія хороша, функції, які я проілюстрував, є частиною його преміум-плану, на який ви можете підписатися без будь-якого ризику завдяки гарантії повернення грошей.
PS: резервне копіювання має вирішальне значення для будь-якого веб-сайту, і проекти WordPress не відрізняються. Перевірте, як це зробити за допомогою іншого продукту iThemes – Backupbuddy.