Video

WordPress Login ohne Passwort

Passwörter sind unsicher – oft zumindest.

Login Screen bei aktiviertem Clef

Login Screen bei aktiviertem WPClef

Sehr häufig wird ein Standardbenutzername – in WordPress beispielsweise «admin» – verwendet. Kommt dann noch ein «unsicheres» Passwort dazu, wie «123456», «password» oder sonst ein leicht zu hackender Begriff, öffnet man einem Hacker Tür und Tor. Selbst wenn das Passwort relativ schwierig zu erraten ist, bewirken die Leistungssteigerung von Computern kombiniert mit den Möglichkeit Netzwerke von Computern für «Brute Force Attacken» zu nutzen, dass der Kampf immer aussichtsloser wird.

Unser Hirn wird im Gegensatz zu Computern nicht von Jahr zu Jahr leistungsfähiger. Ein «sicheres» Passwort können wir uns daher gar nicht mehr merken. Wenn wir es dann aufschreiben oder durch eine unsichere Passwort Vergessen Funktion wieder erlangen können, wird es für Hacker immer leichter.

Kosequenz: Passwörter müssen durch eine bessere Technik ersetzt werden.

Eine bekannte Variante ersetzt das Passwort nicht völlig, sondern ergänzt es um eine zusätzliche Sicherheit – zum Beispiel in Form eines zeitabhängigen Codes, welcher via SMS zugestellt wird. Bei dieser sogenannten Two-Factor-Authentication muss man oft nicht nur etwas wissen sondern etwas haben, wie eben das Mobiltelefon, auf welches der Code gesendet bzw.generiert wird (vergl. Google Authenticator).

Two-Factor-Authentication

Zwei-Faktor-Authentifizierung bei Google

Die meisten populären Dienste, wie facebook, Twitter, Microsoft, Banken bieten so etwas an.

Um bei seinem eigenen WordPress Blog einen solchen Service anzubieten, gibt es eine neue App und ein dazugehöriges Plugin:

https://vimeo.com/61393630#at=0

Wenn  man das Plugin installiert hat, kann man das gewöhnliche Passwort-Login ausschalten. Der Login-Screen sieht dann so aus:

Klick, um Login zu starten...

Klick, um Login zu starten…

Login Screen mit App "fötelen" um einzuloggen...

Login Screen mit App «fötelen» um einzuloggen…

Dieses Plugin mit Namen Clef kann bei WordPress.org heruntergeladen werden: https://wordpress.org/plugins/wpclef/

Mehr Infos gibt es auf der Webseite: https://getclef.com/

Nachtrag: Enebfalls eine Pluginlösung bietet https://rublon.com/de/ auf welches in den Kommentaren hingewiesen wurde.

In eine ähnliche Richtung geht ein neues Armband, welches auf Grund einer Art EKG zur Authentifizierung verwendet werden soll:

https://www.getnymi.com/

https://techcrunch.com/2013/09/03/nymi/

Dieses Produkt gibt es zwar noch nicht, aber auch das neue iPhone nutzt ja einen Fingerabdruck-Leser als Alternative zum klassischen Passwort.

Passwörter sind vom Aussterben bedroht!

Verwendest du schon eine Alternative zu gewöhnlichen Passwörtern? Und welche Erfahrungen hast du damiit gemacht?

7 thoughts on “WordPress Login ohne Passwort

  1. Um die Sicherheit der eigenen WordPress-Installation zu erhöhen, macht es Sinn, sich mit Zwei-Faktor-Authentifizierung (2FA) auseinanderzusetzen. Zuletzt hat Vint Cerf (einer der Väter des Internets) Entwickler gebeten, 2FA bei jedem Loginsystem zu verwenden. In Singapur ermöglichen Banken den Login in Online-Banking-Systeme nur noch per 2FA. Wie im Artikel bereits angemerkt, ermöglichen die größten amerikanischen Portale es ihren Nutzern bereits, ihre Accounts mit 2FA zu schützen, um gegen Phishing, Bruteforce-Attacken und Passwortdiebstahl immun zu sein.

    2FA ist die eindeutig stärkste Lösung, was Authentifizierungsmethoden betrifft. Schließlich basiert sie auf einem bereits lange bekannten Mechanismus (Passwörter) und verlangt zusätzlich eine weitere Verifizierung. Somit ist 2FA sicherer und einfacher zu propagieren als jegliche Loginalternative, durch die man von nur einem Identity-Provider abhängig wird. Im Gegensatz zu diesen Alternativen, kann 2FA selbst in der Theorie den Sicherheitsstandard nur erhöhen. Zudem sind diese neuen Login-Methoden noch nicht ausgereift, wodurch sie theoretisch weniger sicher sein können, als der Passwortlogin, der durch sie ersetzt werden soll. Ich muss nicht erklären, was passiert, wenn eine Sicherheitslücke in einem solchen System gefunden wird, oder wenn jemand in die Server eines solchen Providers eindringt.

    Passwörter werden nie verschwinden. Selbst Apps wie die im Artikel genannte nutzen eine PIN (also auch ein Passwort), um sich vor Angreifern zu schützen.

    Somit möchte ich Betreibern von WordPress-Webseiten Rublon empfehlen, weil es die weltweit einfachste 2FA Lösung ist:
    https://wordpress.org/plugins/rublon/

    Rublon schützt Ihren Account vor Zugriff von unbekannten Geräten, sogar wenn Ihr Passwort gestohlen wird. Das ist unsichtbare Zwei-Faktor-Authentifizierung. Im Vergleich zu anderen Lösungen, müssen Sie mit Rublon Ihr Smartphone nur ein mal verwenden, um Ihre Vertrauenswürdigen Geräte zu definieren. Besuchen Sie unsere Webseite, um mehr zu erfahren: https://www.rublon.com/de.

    Unsere Kunden sind begeistert und schreiben 5-Sterne Empfehlungen:
    https://rublon.com/de/clients
    https://wordpress.org/support/view/plugin-reviews/rublon

    Bei Fragen stehe ich jederzeit zur Verfügung 🙂

    • chzumbrunnen says:

      Danke für den Kommentar. Rublon kannte ich noch nicht, aber scheint mir eine interessante Lösung zu sein. Wie sieht es denn mit den Kosten aus? Sowohl die Apps, wie auch das WordPress Plugin lassen sich ja kostenlos herunterladen und auch der Account bei euch ist (noch) kostenlos. Das kann nicht nachhaltig sein.
      Auch bei diesem System gilt natürlich, dass ich als gewöhnlicher Anwender auf die Aussagen eines Anbieters (und seinen Ruf) vertrauen muss. Was, wenn eine solche App bei jedem Login mit einem vertrauenswürdigen Gerät das Passwort ausliest? Dem Paswortdieb dürfte es dann auch leicht fallen sein Gerät als ein vertrauenswürdiges Gerät zu bestätigen. Und schon hat er statt einer zusätzlichen Hürde einen kostenlosen Extrabonus: Bruteforce-Attacke unnötig, direkt das gültige Passwort eingeben.
      Selbst wenn die App, das Plugin, die API und der Service absolut vertrauenswürdig sind: Was wenn jemand eine Fake-App mit Backdoor nutzt?
      Natürlich, dieses Risiko habe ich immer, auch bei allen Passwortspeichern (wie dem von Sascha vorgestellten KeePass etc.)

      • Rublon wird für WordPress kostenlos verfügbar sein. Derzeit bieten wir die gesamte Rublon API für jedermann ebenfalls kostenlos an, jedoch wird dies nicht immer so sein. Webdienste mit einer großen Anzahl von Benutzern werden früher oder später für Rublon bezahlen müssen. Dank Lösungen wie Rublon können beispielsweise an Unternehmen gerichtete Cloud-Dienste mehr Vertrauen erzeugen, was eine direkte positive Wirkung auf den Umsatz hat. Ein Teil der potenziellen Kunden solcher Dienste geht verloren, wenn keine Zwei-Faktor-Authentifizierung angeboten wird.

        Was die Nachhaltigkeit von Rublon betrifft: das Projekt wird im Rahmen einer seit über 20 Jahren bestehenden Gruppe von IT-Unternehmen betrieben. Somit kann man davon ausgehen, dass Rublon in jeglicher Situation stetig online sein wird 🙂

        Der Quelltext des Rublon für WordPress Plugins ist frei verfügbar. Jeder kann ihn einsehen und wird feststellen, dass das Passwort zu keiner Zeit die WordPress-Installation verlässt. Die mobile Rublon App kann per Definition das Passwort nicht auslesen, weil sie zu keiner Zeit mit WordPress kommuniziert.

        Rublon kann auch manuell durch Programmierung in die eigene Web-Anwendung integriert werden. Hierbei verweise ich auf unseren Entwicklerbereich, in dem die Rublon API inkl. Rublon PHP SDK dokumentiert ist: https://developers.rublon.com/

        Vertrauenswürdige Geräte sind einem bestimmten Rublon Account zugeordnet. Selbst wenn jemand das Passwort kennenlernen sollte, wird er sich nicht einloggen können, falls er keinen Zugriff zum Smartphone hat, auf dem der Rublon Account installiert ist, mit dem das jeweilige WordPress-Benutzerkonto geschützt wurde. Jeder Rublon Account basiert auf einem kryptografischen Schlüssel, der sich nur auf dem jew. Smartphone befindet. Genau das ist die Idee von Zwei-Faktor-Authentifizierung: wenn ein Faktor (das Passwort oder in diesem Fall Rublon) gestohlen wird oder eine Lücke aufweisen sollte, schützt der zweite Faktor weiterhin vor dem Zugriff zum Account. Somit kann die Implementierung von Zwei-Faktor-Authentifizierung selbst in der Theorie die Sicherheit eines Benutzerkontos nur erhöhen. Zusätzlich kann die mobile Rublon App mit einer individuellen PIN geschützt werden.

        Die Rublon App ist in den offiziellen App Stores für Android, BlackBerry, iPhone und Windows Phone verfügbar. Dies sind die einzigen Quellen, von denen eine solche App heruntergeladen werden sollte. Das gibt dem Nutzer die Garantie, dass die App direkt vom Produzenten kommt und somit sicher ist. So, wie man jegliche andere Software nur von vertrauenswürdigen Quellen beziehen sollte, so sollte man diese Regel ebenfalls bei Rublon anwenden.

        Wir sind der Meinung, dass Zwei-Faktor-Authentifizierung ein solch einfacher, aber ebenfalls starker Sicherheitsmechanismus ist, dass ihn jeder Webdienst, der Benutzer authentifiziert, anbieten sollte. Nicht ohne Grund teilt diese Meinung auch der Mensch, der das Internet erschaffen hat.

  2. Sascha says:

    Ich benutze schon seit Längerem einen Passwort-Manager (KeePass), der die persönlichen Passwörter verschlüsselt auf dem Computer abspeichert und auch die Möglichkeit bietet, sichere Passwörter von beliebiger Länge zu erzeugen. Dadurch habe ich sehr viele unterschiedliche und lange Passwörter, die ich mir nicht mehr merken muss. Für KeePass gibt es auch schon gut funktionierende Browser-Plugins, dank denen man die Passwörter zum Login nicht jedes Mal aus der Anwendung herauskopieren muss, sondern sie direkt im Browser zur Verfügung hat (ähnlich der Passwort-Speichern-Funktion).

    Wichtig ist dabei, dass man sich die Datenbank-Datei gut sichert und Sicherheitskopien davon erstellt – denn wenn sie einmal verloren geht, wird es problematisch. Wenn man diesen geringen Mehraufwand in Kauf nimmt, hat man viele individuelle und sichere Passwörter, die man auf Wunsch sogar regelmässig ändern kann und sich nie mehr merken muss.

    • chzumbrunnen says:

      Danke Sascha für deinen Tipp. Ein Passwortspeicher ist sicher eine gute Lösung. Wenn es aber einem Unbefugten gelingt den Speicher zu knacken, ist der Schaden umso grösser. Wenn der Datenspeicher lokal ist und nicht in der Cloud (wie bei LastPass oder 1Passwort, KeePass etc. im Zusammenspiel mit Dropbox) hat man zwar selber etwas mehr Kontrolle und vermeitliche Sicherheit aber sobald man wieder ein Browserplugin nutzt um es sich bequemer zu machen, hat man auch wieder eine potentiel hackbare Schnittstelle.

Schreiben Sie einen Kommentar zu chzumbrunnen Antworten abbrechen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert