Лучшие практики безопасности учетной записи администратора?

Здравствуйте,

Я искал что-то подобное, но не смог найти именно то, что мне нужно.

Я пытаюсь защитить свою учётную запись администратора. Моя главная, хотя и маловероятная, но всё же возможная, обеспокоенность заключается в том, что кто-то может постоянно пытаться угадать имя моей учётной записи администратора (оно видно, так как я использую его для публикации руководств для пользователей и т. д.) и заблокировать меня, просто совершив несколько неудачных попыток входа. Я знаю, что это не приведёт к постоянной блокировке, но я хотел бы избежать этого полностью.

Поможет ли включение двухфакторной аутентификации (2FA) предотвратить это?

Также, следуя лучшим практикам, мне следует иметь отдельную учётную запись модератора для управления форумом и отдельную учётную запись администратора для выполнения всех задач, связанных с администрированием?

Моя путаница, вероятно, проистекает из того, что при первоначальной настройке форума учётная запись «system» выполняла все функции, и мои сообщения публиковались от имени «system».

Спасибо.

Если кто-то пытается подобрать пароль к вашему аккаунту, система, скорее всего, заблокирует его IP-адрес, а не сам ваш аккаунт, насколько я помню.

Использование двухфакторной аутентификации (2FA) определённо сильно поможет, так как это отпугивает злоумышленников.

Если вы используете статический IP-адрес в домашней сети, вы можете добавить его в белый список, чтобы избежать блокировки.

Использование очень длинного пароля также является хорошей мерой для предотвращения подбора пароля.

Если кто-то собирался попытаться войти в вашу учётную запись, ему необходимо было бы знать адрес электронной почты, который вы указали при создании аккаунта. Если вы забудете пароль, злоумышленнику также потребуется доступ к вашему почтовому ящику, чтобы получить ссылку для сброса пароля… при условии, что такая возможность вообще существует.

Вы выходите из системы как администратор? Если нет, то каждый раз, когда вы заходите на форум, ваш IP-адрес и cookie-файлы распознаются, и вы автоматически входите в систему. Если же вы выходите, то при следующем входе вам потребуется снова ввести адрес электронной почты (указанный при создании форума) и пароль.

Судя по вашему описанию, вы беспокоитесь о потенциальной ситуации, которая может произойти, а не о событии, которое уже случилось?

Что касается разделения учётных записей модератора и администратора: если вы не сделаете учётную запись модератора также учётной записью администратора, то как модератор вы не сможете получить доступ к функциям администратора. Я являюсь администратором, но у меня нет отдельной учётной записи модератора. У меня есть один модератор, которому я доверяю, и которого я также сделал администратором… но она не вмешивается в административные обязанности (боится что-то сломать на форуме? ). Но если со мной что-то случится — хотя я планирую прожить до 102 лет, так что у меня ещё 35 лет в запасе — этот модератор сможет взять управление на себя. Мой другой модератор — «просто модератор».

«System» — это программное обеспечение форума. Когда вы настраивали форум, вы ведь создали для себя учётную запись, верно? Кажется, это обязательное требование. Когда вы что-то публикуете, должно отображаться, что сообщение отправлено вами, а не системой. Странно, что ваши сообщения показываются как отправленные от «system», а не от вашего имени пользователя.

Это неверно, вход можно выполнить по имени пользователя.

Двухфакторная аутентификация (2FA) защитит от повторного использования украденного пароля, но только если на ваш компьютер не было установлено вредоносное ПО.

Даже в худшем случае у вас всё ещё будет доступ к серверу через SSH, и вы сможете восстановить доступ оттуда.

Я признаю свою ошибку. Я действительно забыл про доступ через SSH.

Спасибо всем за уделенное время — ваши ответы очень полезны.

Итак, похоже, что двухфакторная аутентификация (2FA) всегда является хорошей идеей, и если всё пойдёт наперекосяк, у меня как минимум останется доступ по SSH. Это логично.

Также,

Вы абсолютно правы. Я создал учётную запись администратора и публиковал сообщения именно от её имени, а не от имени системы. Это была моя ошибка.

Не знает ли кто-нибудь, можно ли изменить настройку, чтобы запретить вход по имени пользователя (то есть требовать вход только по электронной почте)?

Ещё раз спасибо.

Верно. И это применимо везде, а не только в Discourse. Если сайт, которым вы пользуетесь, поддерживает 2FA, вам определённо следует её настроить.