Claves de acceso para WordPress: inicio de sesión resistente al phishing con WebAuthn
El inicio de sesión con clave de acceso de WordPress elimina el único elemento en el que se basan los atacantes: un secreto que puede ser objeto de phishing. ReportedIP implementa claves de acceso con WebAuthn/FIDO2 en el núcleo —Face ID, Touch ID, Windows Hello y YubiKey— sin necesidad de depender de Composer.
En esta guía se explica por qué las claves de acceso son resistentes al phishing, cómo funciona la implementación propia de Hive y cómo ofrecerlas junto con los demás métodos de autenticación de dos factores.
¿Qué es ReportedIP ?
ReportedIP es un completo plugin de seguridad para WordPress que combina 12 sensores de ataque, cuatro métodos de autenticación de dos factores (2FA), bloqueo progresivo e inteligencia sobre amenazas de la comunidad (opcional). Las claves de acceso son uno de los cuatro métodos gratuitos de autenticación de dos factores. El conjunto completo de funciones ReportedIP cubre el resto.
Por qué las claves de acceso son mejores que los códigos de un solo uso
Un código TOTP o SMS se puede introducir en una página de inicio de sesión falsa; una clave de acceso, no. WebAuthn vincula la credencial al origen del sitio, por lo que el autenticador simplemente se niega a autenticar un dominio que se le parezca. No hay ningún secreto compartido que robar, ningún código que retransmitir ni nada que un kit de phishing pueda capturar. Por eso las claves de acceso son el segundo factor de autenticación más seguro que ofrece Hive.
Una implementación propia, sin depender de terceros
La compatibilidad de Hive con WebAuthn está desarrollada internamente, incluido su propio análisis sintáctico de CBOR; no se utiliza ningún paquete de Composer para ello. Esto permite que el conjunto de dependencias sea reducido y auditable: el código de la clave de acceso se incluye en el complemento, que puedes consultar en GitHub, y no en una caja negra de terceros. Funciona con autenticadores de plataforma (Face ID, Touch ID, Windows Hello) y claves itinerantes (YubiKey y otros dispositivos FIDO2).
Las claves de acceso como parte del panorama general de la autenticación de dos factores
Una clave de acceso se considera un segundo factor válido distinto del correo electrónico, por lo que cumple con el requisito de restablecimiento de contraseña que impide que las cuentas que solo utilizan el correo electrónico puedan restablecer la contraseña por sí solas. Si un usuario pierde su dispositivo, los 10 códigos de recuperación de un solo uso guardados al registrarse le permiten volver a acceder a su cuenta. La protección contra intentos fallidos se comparte con el resto del conjunto de 2FA a través de la misma escala de limitación de intentos (3/5/10/15 fallos → 30 s / 5 m / 30 m / 1 h, y luego un bloqueo real).
Cómo activar las claves de acceso
Habilita WebAuthn en Ajustes → Autenticación de dos factores, a continuación, cada usuario registra una clave de acceso desde su perfil; el navegador solicita el autenticador de la plataforma o la llave de hardware. En el caso de los flujos sin interfaz gráfica, se puede acceder a los procesos de registro y verificación a través de la reportedip-hive/v1 Espacio de nombres REST (/2fa/challenge, /2fa/verify, /2fa/methods).
Guías relacionadas
- Los cuatro métodos de autenticación de dos factores integrados en el núcleo
- WooCommerce 2FA integrado en el tema de la tienda
- Servicio gestionado de reenvío de correo electrónico y SMS para soluciones alternativas de OTP
La documentación sobre autenticación incluye una guía paso a paso para la configuración. Consulta las guías completas del complementoReportedIP o lee la especificación en la página de WebAuthn Nivel 2 del W3C.