Ziel dieses Beitrages ist es, sein WordPress Login mit einem Yubikey und OTP abzusichern. Aber um seinen WordPress Login abzusichern gibt es verschiedene Plugins mit verschiedenen Methoden. Darunter funktioniert auch die Authentifizierung mit Yubikey OTP. Der Yubikey ist ein Hardware-Token, welcher unter anderem Einmalpasswörter generieren kann, die mit einem Server abgeglichen werden. Das Verfahren ist eigentlich exakt dasselbe was Twitter, Facebook und PayPal auch anbieten, nur schicken sie dir dieses Einmalpasswort per SMS oder E-Mail zu.
Mit dem Yubikey können wir unseren Login für WordPress noch sicherer machen. Mit dieser Methode ist ein Einloggen nur mit Hilfe dieses Einmalpasswortes möglich.
Installation und Konfiguration des Plugins
Die Schnittstelle zum Yubikey und WordPress erfolgt wie so oft über ein Plugin, in unserem Fall ist das dieses Plugin – das erstmal installieren. Um WordPress mit unserem Yubikey bekannt zu machen navigieren wir zu Einstellungen > Yubikey.
Wir rufen nun https://upgrade.yubico.com/getapikey/ auf und generieren uns dort unsere ID und unseren API Key. Dazu geben wir unsere E-Mail ein, schließen unseren Yubikey per USB an und drücken einmal den Yubikey, um ein One-Time-Password (OTP) zu generieren. Das Ergebnis ist dann eine ID und ein Secret Key. Diese Daten übernehmen wir nun in den Yubikey-Plugin-Seite.
Jetzt müssen wir die Benutzereinstellungen noch so vornehmen, dass Benutzer X sich mit dem Yubikey authentifizieren kann. Unter Benutzer -> Alle Benutzer -> Benutzer X. hier geben wir jetzt einmal die Schlüssel ID des Yubikeys an. Dazu einfach ein One-Time-Password generieren und ggf. alle bis auf die ersten 12 Stellen streichen. Das ist eure Schlüssel ID. Oben noch die Authentifizierung gegen den Yubikey Server aktivieren und das war es dann auch schon. Das ganze kann dann wie folgt aussehen:
Erste Zwei-Faktor-Authentifizierung mit dem Yubikey
Dazu am besten einen anderen Browser benutzen, bevor man etwas vergessen hat und sich nun eventuell aussperrt. Steuert eure WordPress-Login Page an und ihr werden das Login-Formular folgendermaßen vorfinden:
Fazit
Die Zwei-Faktor-Authentifizierung mit dem Hardware-Token ist eine schöne und vor allem auch sicheren Sache. Das schöne an der Kombination mit dem Yubikey ist, dass dieser an jedem PC mit USB-Schnittstelle funktioniert, keine Treiber benötigt und direkt als Tastatur erkannt wird. Einstecken und OTP generieren, fertig. Der Vorteil an einer Zwei-Faktor-Authentifizierung ist, dass man allein mit dem Benutzernamen + Passwort nun nichts mehr anfangen kann, weil das generierte Passwort benötigt wird. Auf der anderen Seite bringt es auch niemanden etwas, wenn er nur dieses Einmalpasswort kennt oder den Token besitzt. Die Kombination ist also ziemlich sicher. So sicher es aber auch ist, kann dieser Token auch kaputt gehen. Ist der Token kaputt, verloren oder gestohlen gegangen, sieht es schlecht aus. Hier mit WordPress hat man allerdings die Möglichkeit, bis zu drei Yubikeys pro Benutzer für den Login zu verwenden. Es macht also eventuell Sinn, sich einen Backup-Key anzuschaffen, oder das ganze System wieder auszuhebeln, in dem man einen anderen Benutzer mit Administratorenrechten anlegt und die Authentifizierung nur mit dem Benutzernamen und Passwort ohne eine 2FA zulässt.
