Betrachten wir die passwortlose Anmeldung bei WordPress, ein brandneues Feld, in das die Zukunft Einzug hält.
Passwörter scheinen in absehbarer Zeit obsolet zu werden. Obwohl sie die Sicherheit erhöhen sollten, haben sie letztendlich mehr Probleme als Lösungen hervorgebracht.
Alles begann mit starken Passwörtern, gefolgt von der Zwei-Faktor-Authentifizierung, die zusätzliche Klicks (und damit verbundenen Aufwand) mit sich brachte, mit denen sich kaum jemand auseinandersetzen möchte.
Es gibt eine neuere Alternative, bekannt als Magic Links. Anstatt ein Passwort einzugeben, muss man hier seinen Benutzernamen eingeben und dann den Link in der E-Mail öffnen.
Dies ist zwar sicherer, da man im Grunde nur die E-Mail-Konten schützen muss und diese Sicherheit dann überall nutzen kann, jedoch ist es nicht die schnellste Methode.
Passwortloses Login für WordPress
WordPress ist für den durchschnittlichen Internetnutzer leicht zu handhaben, aber diese Benutzerfreundlichkeit geht oft mit erhöhten Sicherheitsrisiken einher. Und obwohl man mit iThemes Security sichere Passwörter erzwingen kann, ist es das Ziel, den Prozess mühelos und zugleich sicher zu gestalten.
Kurz gesagt, iThemes Security ist ein unverzichtbares Freemium-Sicherheitstool für jedes WordPress-Projekt. Es ist als Plugin verfügbar, das die Sicherheit von WordPress im Handumdrehen erhöht.
Obwohl dies ein unabhängiger Leitfaden ist, ist es hilfreich, wenn man sich zuvor unseren iThemes Security Pro Test ansieht.
Neben zahlreichen weiteren Funktionen ermöglicht iThemes Security Pro auch die Einrichtung benutzerfreundlicher biometrischer Anmeldungen auf einer WordPress-Website. Diese Funktionen können mit Apple (Touch ID, Face ID), Android (Fingerabdruck, PIN, Muster) und Windows (Windows Hello) verwendet werden.
Sobald die Funktion aktiv ist, erhalten die Benutzer diese Eingabeaufforderung in der Anmelde-URL:
Dies bietet eine alternative (und einfache) Methode, um sich bei der WordPress-Seite anzumelden.
Passkeys verstehen
Bei dieser Methode der Anmeldung über Passkeys werden die lokalen Authentifizierungsdaten genutzt, die wir bereits mit Geräten wie Smartphones oder Macbooks verwenden.
Dies ist nicht nur die einfachste Methode zum Entsperren von WordPress, sondern auch die sicherste.
Es besteht beispielsweise eine geringe Wahrscheinlichkeit, dass man Benutzernamen und Passwort auf einer gefälschten WordPress-Anmeldeseite (auch bekannt als Phishing) eingibt. Bei Passkeys gibt es diese Schwachstellen nicht.
Passkeys werden von WebAuthn unterstützt, einem kryptografischen Authentifizierungsverfahren, das ein öffentliches und ein privates Schlüsselpaar verwendet.
Öffentliche Schlüssel werden in der Cloud gespeichert, während sich private Schlüssel auf dem lokalen Gerät befinden. Wenn man also einen Fingerabdruck auf der WordPress-Anmeldeseite verwendet, wird verifiziert, dass man es wirklich ist, und man wird zum Dashboard weitergeleitet.
In diesem Fall muss man nur seine Biometrie schützen, im Gegensatz zu Benutzername und Passwort, die Cyberkriminelle durch Phishing usw. stehlen könnten.
Die Entwicklung von WebAuthn wurde von führenden Technologieunternehmen wie Google, Microsoft, Mozilla, Yubico usw. vorangetrieben.
Kurz gesagt: Es ist sicher und robust.
Biometrische Anmeldung konfigurieren
Obwohl diese Methode eine äußerst ausgefeilte Sicherheit bietet, ist die Anwendung unkompliziert.
Zunächst benötigt man ein iThemes Pro-Abonnement.
Anschließend geht man im Seitenbereich des WordPress-Dashboards zu Sicherheit > Einstellungen. Abschließend aktiviert man die Schalter für die passwortlose Anmeldung und Passkeys.
Ohne Passkeys wäre die Anmeldung mit Magic Links möglich. Diese werden jedoch durch Passkeys ersetzt, wenn diese aktiviert werden, es sei denn, man aktiviert beide (dazu später mehr).
Nun wählt der Administrator die Benutzer für diese neue Anmeldemethode aus. Diese Option findet man im Abschnitt „Benutzergruppen“ des iThemes Security Pro-Dashboards.
Man kann entweder aus vordefinierten Benutzergruppen (Administratoren, Autoren, Redakteure, Abonnenten usw.) wählen oder mit der Option „Neue Gruppe“ eigene Gruppen erstellen.
Als Nächstes erzwingt der Administrator die passwortlose Anmeldung für die ausgewählten Benutzerkategorien:
Konkret kann man beide (Magic Link & Passkey) im Tab Konfigurieren > Anmeldesicherheit in iThemes Security verwenden.
Die Anmelde-URL zeigt jetzt „E-Mail Magic Link“ oder „Use Your Passkey“:
Durch Klicken auf den Magic Link wird eine Anmelde-E-Mail an die registrierte E-Mail-Adresse gesendet. Die zweite Methode zeigt jedoch einen Fehler an, sofern man den Passkey nicht zuvor eingerichtet hat.
Passkeys verwenden
Der erste Schritt zur Einrichtung der biometrischen Authentifizierung ist die Verwendung der Anmeldung mit einem Passwort, die sich unter der Schaltfläche „Use Your Passkey“ befindet.
Zum Zeitpunkt des Schreibens konnte ich die Option zur ausschließlichen Verwendung der passwortlosen WordPress-Anmeldung nicht finden. Daher ist es wichtig, eine Richtlinie für starke Passwörter durchzusetzen, da ein Benutzer sonst immer noch ein schwaches Passwort verwenden kann. Diese Optionen findet man unter Benutzergruppen > Funktionen. Außerdem kann das Passwortalter unter Konfigurieren > Anmeldesicherheit > Passwortanforderungen festgelegt werden.
Sobald man sich regelmäßig angemeldet hat, wird jeder Benutzer aufgefordert, die Passkey-Anmeldung einzurichten. Mit „Passkey hinzufügen“ gelangt man zu den Optionen des jeweiligen Geräts.
Auf einem Windows 10-PC führte mich dies beispielsweise zu Windows Hello.
Nach Eingabe der korrekten PIN konnte ich mich nur noch mit meinem Benutzernamen und der Windows-Anmelde-PIN anmelden.
Ebenso kann man auch auf Android (oder iOS) einen Passkey einrichten:
Dies wird nicht erneut angezeigt, wenn ein Benutzer die Option „Setup überspringen“ wählt. In diesem Fall kann man Passkeys im Abschnitt WordPress-Benutzerprofil einrichten.
Klickt man dort auf „Passkeys verwalten“ und dann auf „Passkey hinzufügen“, beginnt der Einrichtungsprozess.
Die Zukunft ist passwortlos!
Zweifelsohne ist es die Zukunft. Passwortlosigkeit (in WordPress) ist die sicherste und benutzerfreundlichste Form der Authentifizierung, die derzeit verfügbar ist.
Obwohl man Passkeys für jedes Gerät einrichten muss, ist dieser einmalige Aufwand für alle zukünftigen Anmeldungen lohnenswert.
Damit ist die biometrische Anmeldung mit iThemes Security Pro abgeschlossen. Die kostenlose Version ist zwar gut, aber die hier gezeigten Funktionen sind Teil des Premium-Plans, den man mit einer Geld-zurück-Garantie ohne Risiko abonnieren kann.
PS: Backups sind für jede Website essenziell und WordPress-Projekte bilden da keine Ausnahme. Informieren Sie sich, wie dies mit einem anderen iThemes-Produkt möglich ist – Backupbuddy.