WordPress mit FIDO U2F absichern – so geht’s (mit Update Oktober 2016)

Yubikey Neo und WordPress

WordPress kann den neu aufkeimenden Standard FIDO U2F. Was das ist? Yubico erklärt das Verfahren anschaulich auf ihrer Webseite ». Um nicht nur den eigenen Google-Account und hoffentlich bald viele weitere Dienste mit dem eigenen Sicherheitsschlüssel absichern zu können, sondern auch WordPress, braucht ihr Folgendes:

Zutatenliste

Durchführung

HILFE! Klappt nicht!

Ja, leider kann das sein. Die größten Stolperfallen:

  • Kein PHP 5.5 oder höher aktiv  (all-inkl setzt z. B. bei der Standard-WordPress-Installation PHP 5.4 ein!)
  • Du hast die PHP-U2F-Library nicht mit in das Plugin kopiert
  • Du verwendest nicht den Chrome Browser (keine Sorge: Mozilla Firefox will bald nachziehen und Microsoft ist ebenfalls in der FIDO-Allianz; die Zukunft wird’s richten)

Und was, wenn ich den sicherheitsschlüssel verliere?

Das U2F Plugin für WordPress ist – abgesehen von der eher komplizierten Installation – eigentlich richtig mächtig: wenn du dein Sicherheitsschlüssel gerade nicht zur Hand hast, kannst du die integrierte Rückfall-Lösung verwenden: du bekommst einen kurzen Schlüssel bestehend aus Buchstaben und Zahlen an die in deinem WordPress-Account hinterlegte E-Mail Adresse zugesendet. E-Mail öffnen, Code rauskopieren, bei der 2FA-Anmeldung eingeben und WordPress normal nutzen wie zuvor!

2FA auch für Benutzer ohne Sicherheitsschlüssel

Einen weiteren Vor- oder auch Nachteil (Bequemlichkeit!) bringt das U2F-Plugin dadurch ebenfalls mit: alle Benutzer, egal ob mit oder ohne registrierten Sicherheitsschlüssel, benötigen bei aktivem Plugin eine Zwei-Faktor-Authentifizierung. Für die ohne Schlüssel heißt das: Mails checken. Eine einfache aber effektive Möglichkeit, unerlaubte Logins in den eigenen WordPress Account abzuwehren.


Update 30. Oktober 2016: Plugin Two-Factor

Ein Plugin, das es eigentlich schon vor geraumer Zeit (zu Recht) in den WordPress-Core schaffen sollte, hört auf den schlichten aber eingängigen Namen Two-Factor.

Das 2FA-Plugin wird noch als dev-Version ausgegeben, funktioniert aber bei meinen WordPress-Installationen absolut reibungslos und ist richtig fein konzipiert: statt nur einen zweiten Faktor einzurichten, kann jeder Nutzer nach persönlicher Vorliebe seine eine oder mehrere 2FA-Lösung verwenden. Sinnvollerweise nisten sich die Möglichkeiten zur Einrichtung da ein, wo sie hingehören: in das persönliche Profil unter das Passwort. Das Plugin erlaubt auch – vorausgesetzt, es wird entsprechend eingestellt – den einfachen Wechsel des zweiten Faktors, sollte der Yubikey grad nicht am Mann sein.

Fazit aus mehreren Wochen Einsatz: so gehört ein Sicherheitsplugin aus Usability-Sicht! Einfach zu bedienen, unaufdringlich und sauber. Bitte weiter so!

2 Kommentare Schreibe einen Kommentar

  1. Hast du zufällig eine Lösung für fehler Code 10?
    Ich hab das Plugin erfolgreich installiert, aber wenn ich einen Key registrieren will, bekomme ich den Code:10.
    Die Lösung von dieser Seite: https://github.com/shield-9/u2f-login/issues/21 hat mir leider nicht geholfen. Ich bekomme dann eine unbekannte Fehlermeldung und soll den server admin fragen. :/

    Antworten

    • Hallo Stefan,
      hast du die Stolperfallen ausgemerzt, die ich beschrieben habe? Wenn beim Einloggen ein Fehler auftritt (jetzt schon länger nicht mehr passiert), liegt das oft am „hab ich grad erst eingesteckt“-Modus. Wenn der Yubikey aber schon steckt (und leuchtet) und dann zum Blinken übergeht, sollte es beim zweiten Mal funktionieren. Hast du die verschiedenen Varianten schon mal durchprobiert mit vorher eingesteckt / neu einstecken beim Schlüssel registrieren?
      Welche Versionen (WordPress, Yubikey, PHP, usw.) benutzt du?

      Antworten

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.