Kun verkkosivujesi tekijä kysyy ohimennen, otetaanko käyttöön 2FA, MFA tai kaksivaiheinen tunnistautuminen, spontaani ensireaktio on usein parahdus: ”Ei! Mikä se edes on?”
Kaksivaiheinen tunnistautuminen tarkoittaa sitä, että tarvitset kirjautumiseen salasanan lisäksi kertakäyttöisen koodin. Koodin saat tekstiviestinä, sähköpostiin tai erilliseen sovellukseen. Jos joku saa salasanasi haltuunsa, kirjautumisyritys pysähtyy yleensä siihen, että sinä saat koodin, ei hakkeri. Lisäturva on tarpeellinen, koska salasanoja vuotaa, niitä arvataan ja kierrätetään palvelusta toiseen.
WordPress-sivustoihin kohdistuu jatkuvasti automaattisia kirjautumisyrityksiä. Robotit kokeilevat käyttäjätunnuksia ja salasanoja tuhansiin sivustoihin yhtä aikaa. Ilman lisäsuojausta osa näistä yrityksistä voi mennä ennemmin tai myöhemmin läpi.
Paras tapa toteuttaa kaksivaiheinen tunnistautuminen
Voit tilata varmistuskoodit joko sähköpostiisi, tekstiviestillä tai erilliseen autentikaattorisovellukseen. Autentikaattorisovellus on pienestä vaivannäöstä huolimatta käytännöllisin vaihtoehto perussivustolle, koska koodi syntyy suoraan sinun puhelimessasi. Se ei kulje tekstiviestinä eikä sähköpostina, joten se ei viivästy, katoa matkalle tai päädy roskapostiin.
Käytännössä sinun on ladattava puhelimesi sovelluskaupasta valitsemasi authenticator-sovellus. Niistä tunnetuimpia ovat Google Authenticator tai Microsoft Authenticator. Molemmat ovat ilmaisia eikä asennus vaadi erityistä osaamista. Avaa puhelimen sovelluskauppa, hae sovellus nimellä ja asenna se. Sen jälkeen verkkosivujen tekijä tai käyttämäsi palvelu ohjaa loput. Yleensä riittää, että skannaat ruudulla näkyvän QR-koodin, ja sovellus alkaa näyttää kirjautumiskoodeja automaattisesti.
Sähköposti on monelle mieluisin vaihtoehto, koska se on tuttu ja turvallinen eikä vaadi lisävaivaa. Se on valitettavasti myös aika epävarma tunnistautumistapa. Jos toteutat kaksivaiheinen tunnistautuminen sähköpostin kautta, huolehdi, että verkkosivujesi tekijä hoitaa WordPressin SMTP- eli lähtevän sähköpostin palvelimen asetukset kuntoon. Muuten viestit voivat päätyä roskapostiin tai jäädä kokonaan tulematta.
Kaksivaiheinen tunnistautuminen toimii, kun sitä osataan käyttää
Kun päätät ottaa sivustollesi kaksivaiheisen tunnistautumisen käyttöön, käyttöönotto on tehtävä selkeäksi sivuston kaikille ylläpitäjille. WordPressiin on olemassa valmiita lisäosia, jotka hoitavat 2FA:n käyttöönoton teknisen puolen nopeasti ja luotettavasti. Ohjeistaminen ja parhaiden käytäntöjen laatiminen on se enemmän aikaa vievä osuus.
- Kerro selkeästi ylläpitäjille, mitä tapahtuu ja milloin. Ajoita käyttöönotto rauhalliseen aikaan, kun sivustolla ei tapahdu mitään kriittistä.
- Perustele käyttäjille, miksi pelkkä salasana ei riitä suojaamaan tunnusta ja kannusta Authenticator-sovelluksen käyttöön.
- Laadi konkreettinen, lyhyt ohje, miten tunnistautumisen käyttöönotto tapahtuu.
Monet 2FA-lisäosat mahdollistavat käyttäjäkohtaisen käyttöönoton. Voit tehdä itsestäsi ensimmäisen koekaniinin, testata käyttöönoton ja ohjeistaa sen jälkeen loput sivuston ylläpitäjät.
Ja sitten se varsinainen vastaus otsikon kysymykseen: onko kaksivaiheinen tunnistautuminen pakollinen paha? Kyllä se käytännössä on. Laki ei toki velvoita ottamaan sitä käyttöön jokaiselle WordPress- tai muillekaan sivustolle, mutta lisäsuojaus on erittäin suositeltavaa. Kirjautumiseen nähtävä lisävaiva on pientä verrattuna siihen, mitä sivuston henkilötietojen ja materiaalin joutuminen vääriin käsiin voi pahimmillaan aiheuttaa.