
Letzte Aktualisierung des Beitrags am 27. Januar 2018
WordPress kann den neu aufkeimenden Standard FIDO U2F. Was das ist? Yubico erklärt das Verfahren anschaulich auf ihrer Webseite ». Um nicht nur den eigenen Google-Account und hoffentlich bald viele weitere Dienste mit dem eigenen Sicherheitsschlüssel absichern zu können, sondern auch WordPress, braucht ihr Folgendes:
Zutatenliste
- Eigene WordPress-Installation mit https:// Login
- Einen FIDO U2F kompatiblen Sicherheitsschlüssel (z. B. YubiKey)
- Chrome-Browser (> Version 40); Firefox folgt hoffentlich bald
Plugin Teil 1 auf Github (einfach rechts in der Sidebar „Download ZIP“ Button anklicken)veraltet!Plugin Teil 2 auf Github (steht leider nicht in der Dokumentation! Download wie zuvor)- Two-Factor Plugin aus dem WordPress-Repository
Durchführung
- Yubico empfiehlt U2F-Plugin
- Teil 1 des Plugins auf Github
- Achtung! Hier fehlt was!
- Das muss ebenfalls runtergeladen werden, sonst läuft nix!
- Standardmäßig ist der leer – deswegen funktioniert das Plugin nicht sofort.
- Teil 2 (php-u2flib-server auf Github) muss hier rein.
- WordPress-Installation: Plugin manuell installieren.
- Das zusammengesetzte Plugin als u2f.zip hochladen
- Wichtig: die U2F klappt momentan nur im Chrome!
- Register klicken, Schlüssel rein, kurz warten bis er blinkt, draufdrücken.
- Et voilà: so sieht es aus, wenns funktioniert hat.
- Anmeldung wie man’s kennt.
- Das ist jetzt neu: Hallo Zwei-Faktor-Authentifizierung!
HILFE! Klappt nicht!
Ja, leider kann das sein. Die größten Stolperfallen:
- Kein PHP 5.5 oder höher aktiv (all-inkl setzt z. B. bei der Standard-WordPress-Installation PHP 5.4 ein!)
- Du hast die PHP-U2F-Library nicht mit in das Plugin kopiert
- Du verwendest nicht den Chrome Browser (keine Sorge: Mozilla Firefox will bald nachziehen und Microsoft ist ebenfalls in der FIDO-Allianz; die Zukunft wird’s richten)
Und was, wenn ich den sicherheitsschlüssel verliere?
Das U2F Plugin für WordPress ist – abgesehen von der eher komplizierten Installation – eigentlich richtig mächtig: wenn du dein Sicherheitsschlüssel gerade nicht zur Hand hast, kannst du die integrierte Rückfall-Lösung verwenden: du bekommst einen kurzen Schlüssel bestehend aus Buchstaben und Zahlen an die in deinem WordPress-Account hinterlegte E-Mail Adresse zugesendet. E-Mail öffnen, Code rauskopieren, bei der 2FA-Anmeldung eingeben und WordPress normal nutzen wie zuvor!
2FA auch für Benutzer ohne Sicherheitsschlüssel
Einen weiteren Vor- oder auch Nachteil (Bequemlichkeit!) bringt das U2F-Plugin dadurch ebenfalls mit: alle Benutzer, egal ob mit oder ohne registrierten Sicherheitsschlüssel, benötigen bei aktivem Plugin eine Zwei-Faktor-Authentifizierung. Für die ohne Schlüssel heißt das: Mails checken. Eine einfache aber effektive Möglichkeit, unerlaubte Logins in den eigenen WordPress Account abzuwehren.
Update 30. Oktober 2016: Plugin Two-Factor
Ein Plugin, das es eigentlich schon vor geraumer Zeit (zu Recht) in den WordPress-Core schaffen sollte, hört auf den schlichten aber eingängigen Namen Two-Factor.
Das 2FA-Plugin wird noch als dev-Version ausgegeben, funktioniert aber bei meinen WordPress-Installationen absolut reibungslos und ist richtig fein konzipiert: statt nur einen zweiten Faktor einzurichten, kann jeder Nutzer nach persönlicher Vorliebe seine eine oder mehrere 2FA-Lösung verwenden. Sinnvollerweise nisten sich die Möglichkeiten zur Einrichtung da ein, wo sie hingehören: in das persönliche Profil unter das Passwort. Das Plugin erlaubt auch – vorausgesetzt, es wird entsprechend eingestellt – den einfachen Wechsel des zweiten Faktors, sollte der Yubikey grad nicht am Mann sein.
Fazit aus mehreren Wochen Einsatz: so gehört ein Sicherheitsplugin aus Usability-Sicht! Einfach zu bedienen, unaufdringlich und sauber. Bitte weiter so!
- Aktuelle 2FA-Möglichkeiten: OTP via E-Mail, Sicherheitsschlüssel, TOTP und Liste
- Login mit präferierter Methode
- Login mit erlaubter Alternative
2 Kommentare