Usando autenticação em duas etapas (2FA) no WordPress

Meu site não tem SSL e enquanto não resolvo isso minhas credenciais de acesso a meus blogs são transmitidas de uma forma que pode ser facilmente interceptada por alguém em posição de fazer um ataque “man in the middle” como o provedor de acesso. Para tornar isso um problema menor eu ativei autenticação em duas etapas em todos os blogs usando o plugin Google Authenticator.

Minha primeiríssima pergunta ao tentar decidir se isso era uma boa idéia foi: como eu desativo isso se algo der errado e eu não puder mais fazer login no blog? Mas é muito simples, bastando entrar no meu site via FTP (esse é outro problema de segurança a tratar em outro dia) e apagar o diretório correspondente ao plugin.

Como o próprio nome do plugin escancara, ele é compatível com a app Google Authenticator, que eu já uso para acessar minha conta Google. Ao ativar o plugin aparece uma nova seção na página “seu perfil” da administração do blog, onde você pode gerar o “Segredo” que você então insere na app.

wordpress_plugin_2fa_profile_ryan.com.br

É tão simples que eu já deveria estar usando há muito tempo. Uma informação a mais vai ser pedida a cada login:

wordpress_plugin_2fa_login_ryan.com.br

Isso não resolve o problema de interceptação completamente, porque você continua vulnerável a um “sequestro de sessão” (é, segurança de dados é coisa de doido) já que os cookies que evitam que você tenha que redigitar sua senha a todo momento continuam sendo transmitidos sem criptografia e podem ser interceptados. Você pode minimizar isso também ao não marcar “lembrar-me” na tela de login e sempre fazendo logout ao terminar. Assim os cookies terão uma validade mais curta.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
4 comentários
  • Jefferson - 6.109 Comentários

    Esqueci de comentar que usar 2FA não impede a senha de ser interceptada. Tudo incluindo o Google Authenticator Code continua podendo ser lido. Mas só é possível fazer login com isso se o atacante estiver online no mesmo intervalo de validade do código. E evidentemente você precisa usar uma senha que não tenha valor em nenhum outro lugar.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Marcel - 53 Comentários

    Jefferson, por que você não parte para uma solução de HTTPS com o Let’s Encrypt?
    Na dreamhost (US$ 10,00 / mês) isto já é embutido (sem custo) na plataforma de administração, e funciona que é uma maravilha… E o navegador não reclama!

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 6.109 Comentários

      Dois problemas:

      1)A hostgator cobra 10 dólares para instalar certificados de terceiros
      2)A cada 90 dias você tem que renovar o certificado LetsEncrypt

      Na Hostgator então o custo de um certificado gratuito fica em 40 dólares anuais. O mesmo do pago.

      Vou checar os planos da Dreamhost

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
      • Marcel - 53 Comentários

        >> 2)A cada 90 dias você tem que renovar o certificado LetsEncrypt

        No caso da Dreamhost, isso é feito automático por script. É tão transparente que você não fica nem sabendo…

        PS: Não sou vendedor da Dreamhost. Só tenho coisas hospedadas por lá. Se quiser testar, forneço-lhe acesso

        VA:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »