Meu site não tem SSL e enquanto não resolvo isso minhas credenciais de acesso a meus blogs são transmitidas de uma forma que pode ser facilmente interceptada por alguém em posição de fazer um ataque “man in the middle” como o provedor de acesso. Para tornar isso um problema menor eu ativei autenticação em duas etapas em todos os blogs usando o plugin Google Authenticator.
Minha primeiríssima pergunta ao tentar decidir se isso era uma boa idéia foi: como eu desativo isso se algo der errado e eu não puder mais fazer login no blog? Mas é muito simples, bastando entrar no meu site via FTP (esse é outro problema de segurança a tratar em outro dia) e apagar o diretório correspondente ao plugin.
Como o próprio nome do plugin escancara, ele é compatível com a app Google Authenticator, que eu já uso para acessar minha conta Google. Ao ativar o plugin aparece uma nova seção na página “seu perfil” da administração do blog, onde você pode gerar o “Segredo” que você então insere na app.
É tão simples que eu já deveria estar usando há muito tempo. Uma informação a mais vai ser pedida a cada login:
Isso não resolve o problema de interceptação completamente, porque você continua vulnerável a um “sequestro de sessão” (é, segurança de dados é coisa de doido) já que os cookies que evitam que você tenha que redigitar sua senha a todo momento continuam sendo transmitidos sem criptografia e podem ser interceptados. Você pode minimizar isso também ao não marcar “lembrar-me” na tela de login e sempre fazendo logout ao terminar. Assim os cookies terão uma validade mais curta.
Esqueci de comentar que usar 2FA não impede a senha de ser interceptada. Tudo incluindo o Google Authenticator Code continua podendo ser lido. Mas só é possível fazer login com isso se o atacante estiver online no mesmo intervalo de validade do código. E evidentemente você precisa usar uma senha que não tenha valor em nenhum outro lugar.
Jefferson, por que você não parte para uma solução de HTTPS com o Let’s Encrypt?
Na dreamhost (US$ 10,00 / mês) isto já é embutido (sem custo) na plataforma de administração, e funciona que é uma maravilha… E o navegador não reclama!
Dois problemas:
1)A hostgator cobra 10 dólares para instalar certificados de terceiros
2)A cada 90 dias você tem que renovar o certificado LetsEncrypt
Na Hostgator então o custo de um certificado gratuito fica em 40 dólares anuais. O mesmo do pago.
Vou checar os planos da Dreamhost
>> 2)A cada 90 dias você tem que renovar o certificado LetsEncrypt
No caso da Dreamhost, isso é feito automático por script. É tão transparente que você não fica nem sabendo…
PS: Não sou vendedor da Dreamhost. Só tenho coisas hospedadas por lá. Se quiser testar, forneço-lhe acesso