#offilneday am 15.12.2013
Video

WordPress Login ohne Passwort

Passwörter sind unsicher – oft zumindest.

Login Screen bei aktiviertem Clef

Login Screen bei aktiviertem WPClef

Sehr häufig wird ein Standardbenutzername – in WordPress beispielsweise “admin” – verwendet. Kommt dann noch ein “unsicheres” Passwort dazu, wie “123456″, “password” oder sonst ein leicht zu hackender Begriff, öffnet man einem Hacker Tür und Tor. Selbst wenn das Passwort relativ schwierig zu erraten ist, bewirken die Leistungssteigerung von Computern kombiniert mit den Möglichkeit Netzwerke von Computern für “Brute Force Attacken” zu nutzen, dass der Kampf immer aussichtsloser wird.

Unser Hirn wird im Gegensatz zu Computern nicht von Jahr zu Jahr leistungsfähiger. Ein “sicheres” Passwort können wir uns daher gar nicht mehr merken. Wenn wir es dann aufschreiben oder durch eine unsichere Passwort Vergessen Funktion wieder erlangen können, wird es für Hacker immer leichter.

Kosequenz: Passwörter müssen durch eine bessere Technik ersetzt werden.

Eine bekannte Variante ersetzt das Passwort nicht völlig, sondern ergänzt es um eine zusätzliche Sicherheit – zum Beispiel in Form eines zeitabhängigen Codes, welcher via SMS zugestellt wird. Bei dieser sogenannten Two-Factor-Authentication muss man oft nicht nur etwas wissen sondern etwas haben, wie eben das Mobiltelefon, auf welches der Code gesendet bzw.generiert wird (vergl. Google Authenticator).

Two-Factor-Authentication

Zwei-Faktor-Authentifizierung bei Google

Die meisten populären Dienste, wie facebook, Twitter, Microsoft, Banken bieten so etwas an.

Um bei seinem eigenen WordPress Blog einen solchen Service anzubieten, gibt es eine neue App und ein dazugehöriges Plugin:

http://vimeo.com/61393630#at=0

Wenn  man das Plugin installiert hat, kann man das gewöhnliche Passwort-Login ausschalten. Der Login-Screen sieht dann so aus:

Klick, um Login zu starten...

Klick, um Login zu starten…

Login Screen mit App "fötelen" um einzuloggen...

Login Screen mit App “fötelen” um einzuloggen…

Dieses Plugin mit Namen Clef kann bei WordPress.org heruntergeladen werden: http://wordpress.org/plugins/wpclef/

Mehr Infos gibt es auf der Webseite: https://getclef.com/

Nachtrag: Enebfalls eine Pluginlösung bietet https://rublon.com/de/ auf welches in den Kommentaren hingewiesen wurde.

In eine ähnliche Richtung geht ein neues Armband, welches auf Grund einer Art EKG zur Authentifizierung verwendet werden soll:

http://www.getnymi.com/

http://techcrunch.com/2013/09/03/nymi/

Dieses Produkt gibt es zwar noch nicht, aber auch das neue iPhone nutzt ja einen Fingerabdruck-Leser als Alternative zum klassischen Passwort.

Passwörter sind vom Aussterben bedroht!

Verwendest du schon eine Alternative zu gewöhnlichen Passwörtern? Und welche Erfahrungen hast du damiit gemacht?