WordPress Login mit 2-Faktor absichern

Transcript

1. Matthias Kurz @ WCVIE 2023 # https://matthiaskurz.com WordPress Login 


   mit 2-Faktor absichern 1

2. Matthias Kurz @ WCVIE 2023 # https://matthiaskurz.com Über mich •

   Matthias Kurz • 1984 im Saarland geboren, wohnhaft in Bern • IT-Projektleiter, Fachinformatiker und Ausbilder • Für Unternehmen im Bereich Hosting, Cloud Computing (GCP, AWS) und Datacenter tätig • Gründer und Geschäftsführer von 
 WP-Projects (https://wp-projects.de) • Twitter: @matthiaskurzcom MATTHIAS KURZ 2

3. Matthias Kurz @ WCVIE 2023 # https://matthiaskurz.com Was ist 2-Faktor-

   Authenti fi zierung? 3

4. Matthias Kurz @ WCVIE 2023 # https://matthiaskurz.com 4 Was ist

   Zwei-Faktor-Authenti fi zierung? Die Zwei-Faktor-Authenti fi zierung (2FA) dient dem Identitätsnachweis eines Nutzers mittels der Kombination zweier 
 unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Das kann typischerweise etwas sein, das er weiß, etwas, das er besitzt, oder etwas, das untrennbar zu ihm gehört. 
 Aus dem Alltag ist dies zum Beispiel vom Geldautomaten bekannt. Erst die Kombination aus Bankkarte und PIN 
 ermöglicht die Transaktion. Die Zwei-Faktor-Authenti fi zierung ist somit ein Spezialfall der Multi-Faktor-Authenti fi zierung. Die Faktoren können sein: • etwas, das der Nutzer besitzt, wie zum Beispiel ein Hardware-Token, eine Bankkarte oder einen Schlüssel, • etwas, das der Nutzer weiß, wie zum Beispiel einen Benutzernamen, ein Kennwort, ein Einmalkennwort, eine 
 Persönliche Identi fi kationsnummer (PIN) oder eine Transaktionsnummer (TAN), • etwas, das als körperliches Charakteristikum untrennbar zum Nutzer gehört, wie zum Beispiel ein 
 Fingerabdruck, das Muster einer Regenbogenhaut (Iris-Erkennung) oder die menschliche Stimme. Quelle: https://de.wikipedia.org/wiki/Zwei-Faktor-Authenti fi zierung

5. Matthias Kurz @ WCVIE 2023 # https://matthiaskurz.com Welche Arten von

   2- Faktor werden unterstützt? 5

6. Matthias Kurz @ WCVIE 2023 # https://matthiaskurz.com 2-Faktor Methoden •

   OTP-Codes (z.B. mit einer Handy-App oder einem Passwortmanager) • Zusendung des zweiten Faktors per E-Mail • Windows Hello (mit unterstützten Kameras) • Touch-ID, Apple Passkey (iPhone / iPad) • Security-Keys (U2F Keys) 6

7. Matthias Kurz @ WCVIE 2023 # https://matthiaskurz.com Was sind Security-Keys?

   7

8. Matthias Kurz @ WCVIE 2023 # https://matthiaskurz.com Was sind Security-Keys?

   • Hardware-Token (Anschluss per USB-A oder USB-C) • funktionieren nach dem U2F-Standard (basierend auf dem Challenge-Response-Verfahren) • sind kostengünstig ab bereits ca. 5,00 EUR erhältlich 8

9. Matthias Kurz @ WCVIE 2023 # https://matthiaskurz.com Was ist U2F?

   9

10. Matthias Kurz @ WCVIE 2023 # https://matthiaskurz.com 10 Was ist

    U2F ? U2F (Universal Second Factor, zu Deutsch: universeller zweiter Faktor) ist ein Industriestandard für eine allgemein 
 anwendbare Zwei-Faktor-Authenti fi zierung, basierend auf einer adaptierten Challenge-Response-Authenti fi zierung. 
 Sie dient neben einem Zugangskennwort dem Nachweis der Zugriffsberechtigung, beispielsweise für webbasierte 
 Dienste, und kann in Kombination mit digitalen Personaldokumenten auch zur Identitätsfeststellung eingesetzt werden. Die U2F-Spezi fi kationen wurden von Google unter Beteiligung der Unternehmen Yubico und NXP Semiconductors 
 entwickelt. Zur Fortentwicklung und Zusammenarbeit der U2F-Anbieter wurde die nichtkommerzielle 
 FIDO-Allianz (FIDO = Fast IDentity online) unter anderem von den Unternehmen In fi neon, Lenovo und PayPal gegründet. Seit Ende 2014 gehören unter anderem auch folgende Unternehmen zu den Mitgliedern der Allianz: Bank of America, 
 Blackberry, Google, Mastercard, Microsoft, Samsung, Visa und Yubico. Ende 2015 ist auch das Bundesamt für 
 Sicherheit in der Informationstechnik (BSI) der Allianz beigetreten. 
 
 Quelle: https://de.wikipedia.org/wiki/U2F

11. Matthias Kurz @ WCVIE 2023 # https://matthiaskurz.com Wer unterstützt U2F?

    • WordPress mit Plugin „two-factor“ • Google Mail (Gmail) • Dropbox • GitHub • Facebook, … • Benutzeranmeldung unter Windows, mac OS und Linux 11

12. Matthias Kurz @ WCVIE 2023 # https://matthiaskurz.com Was passiert, wenn

    ich meinen Schlüssel verloren habe? 12

13. Matthias Kurz @ WCVIE 2023 # https://matthiaskurz.com Notfallzugang zu WordPress

    • Zugang über generierte Sicherheitscodes möglich • … oder über ein One Time Password (OTP) 
 (z.B. mit Google Authenticator auf dem Smartphone) • … oder über eine E-Mail mit einem Authenti fi zierungscode • Im absoluten Notfall: Two-Factor Plugin per SSH / FTP löschen und deaktivieren 13

14. Matthias Kurz @ WCVIE 2023 # https://matthiaskurz.com Welche Plugins müssen

    installiert werden? 14

15. Matthias Kurz @ WCVIE 2023 # https://matthiaskurz.com 2-Faktor Methoden •

    Es müssen aktuell (Stand: April 2023) die beiden unten genannten Plugins installiert werden. „Two-Factor“ stellt die eigentlich Funktionalität bereit, „WebAuthn Provider for Two Factor“ erweitert „Two-Factor“ um den „WebAuthn“-Standard • WordPress Plugin „Two-Factor“ 
 Link: https://wordpress.org/plugins/two-factor/ • WordPress Plugin „WebAuthn Provider for Two Factor“ 
 Link: https://wordpress.org/plugins/two-factor- provider-webauthn/ 15

16. Matthias Kurz @ WCVIE 2023 # https://matthiaskurz.com - DEMO -

    16

17. Matthias Kurz @ WCVIE 2023 # https://matthiaskurz.com Vielen Dank für

    deine Aufmerksamkeit! • Zeit für deine Fragen • Weitere Informationen und Folien des Vortrags auf meiner Website https://matthiaskurz.com 17