
WordPress kann den neu aufkeimenden Standard FIDO U2F. Was das ist? Yubico erklärt das Verfahren anschaulich auf ihrer Webseite ». Um nicht nur den eigenen Google-Account und hoffentlich bald viele weitere Dienste mit dem eigenen Sicherheitsschlüssel absichern zu können, sondern auch WordPress, braucht ihr Folgendes:
Zutatenliste
- Eigene WordPress-Installation mit https:// Login
- Einen FIDO U2F kompatiblen Sicherheitsschlüssel (z. B. YubiKey)
- Chrome-Browser (> Version 40); Firefox folgt hoffentlich bald
Plugin Teil 1 auf Github (einfach rechts in der Sidebar „Download ZIP“ Button anklicken)veraltet!Plugin Teil 2 auf Github (steht leider nicht in der Dokumentation! Download wie zuvor)- Two-Factor Plugin aus dem WordPress-Repository
Durchführung
- Yubico empfiehlt U2F-Plugin
- Teil 1 des Plugins auf Github
- Achtung! Hier fehlt was!
- Das muss ebenfalls runtergeladen werden, sonst läuft nix!
- Standardmäßig ist der leer – deswegen funktioniert das Plugin nicht sofort.
- Teil 2 (php-u2flib-server auf Github) muss hier rein.
- WordPress-Installation: Plugin manuell installieren.
- Das zusammengesetzte Plugin als u2f.zip hochladen
- Wichtig: die U2F klappt momentan nur im Chrome!
- Register klicken, Schlüssel rein, kurz warten bis er blinkt, draufdrücken.
- Et voilà: so sieht es aus, wenns funktioniert hat.
- Anmeldung wie man’s kennt.
- Das ist jetzt neu: Hallo Zwei-Faktor-Authentifizierung!
HILFE! Klappt nicht!
Ja, leider kann das sein. Die größten Stolperfallen:
- Kein PHP 5.5 oder höher aktiv (all-inkl setzt z. B. bei der Standard-WordPress-Installation PHP 5.4 ein!)
- Du hast die PHP-U2F-Library nicht mit in das Plugin kopiert
- Du verwendest nicht den Chrome Browser (keine Sorge: Mozilla Firefox will bald nachziehen und Microsoft ist ebenfalls in der FIDO-Allianz; die Zukunft wird’s richten)
Und was, wenn ich den sicherheitsschlüssel verliere?
Das U2F Plugin für WordPress ist – abgesehen von der eher komplizierten Installation – eigentlich richtig mächtig: wenn du dein Sicherheitsschlüssel gerade nicht zur Hand hast, kannst du die integrierte Rückfall-Lösung verwenden: du bekommst einen kurzen Schlüssel bestehend aus Buchstaben und Zahlen an die in deinem WordPress-Account hinterlegte E-Mail Adresse zugesendet. E-Mail öffnen, Code rauskopieren, bei der 2FA-Anmeldung eingeben und WordPress normal nutzen wie zuvor!
2FA auch für Benutzer ohne Sicherheitsschlüssel
Einen weiteren Vor- oder auch Nachteil (Bequemlichkeit!) bringt das U2F-Plugin dadurch ebenfalls mit: alle Benutzer, egal ob mit oder ohne registrierten Sicherheitsschlüssel, benötigen bei aktivem Plugin eine Zwei-Faktor-Authentifizierung. Für die ohne Schlüssel heißt das: Mails checken. Eine einfache aber effektive Möglichkeit, unerlaubte Logins in den eigenen WordPress Account abzuwehren.
Update 30. Oktober 2016: Plugin Two-Factor
Ein Plugin, das es eigentlich schon vor geraumer Zeit (zu Recht) in den WordPress-Core schaffen sollte, hört auf den schlichten aber eingängigen Namen Two-Factor.
Das 2FA-Plugin wird noch als dev-Version ausgegeben, funktioniert aber bei meinen WordPress-Installationen absolut reibungslos und ist richtig fein konzipiert: statt nur einen zweiten Faktor einzurichten, kann jeder Nutzer nach persönlicher Vorliebe seine eine oder mehrere 2FA-Lösung verwenden. Sinnvollerweise nisten sich die Möglichkeiten zur Einrichtung da ein, wo sie hingehören: in das persönliche Profil unter das Passwort. Das Plugin erlaubt auch – vorausgesetzt, es wird entsprechend eingestellt – den einfachen Wechsel des zweiten Faktors, sollte der Yubikey grad nicht am Mann sein.
Fazit aus mehreren Wochen Einsatz: so gehört ein Sicherheitsplugin aus Usability-Sicht! Einfach zu bedienen, unaufdringlich und sauber. Bitte weiter so!
- Aktuelle 2FA-Möglichkeiten: OTP via E-Mail, Sicherheitsschlüssel, TOTP und Liste
- Login mit präferierter Methode
- Login mit erlaubter Alternative