Über den Author / Internet / WordPress / Plugin / YubiKey – OTP und U2F Authentifizierung

YubiKey – OTP und U2F Authentifizierung

~1 Min. Lesezeit

Fast bei allen Diensten benötigt man Heute ein Benutzername und Passwort. Dies zu erraten oder auszuspähen ist möglich. Um die Sicherheit nochmals zu erhöhen, bieten sich Einmalpasswörter an. Hier zeige ich eine Möglichkeit per YubiKey.

Heute verfügen viele Webseiten und Dienste über die Möglichkeit sich anzumelden, wie auch WordPress:
wordpress-backend-loginHierbei muss ein Angreifer nur den Benutzername und das Passwort erraten. Über Keylogger oder Sniffing-Methoden kann der Angreifer diese Daten erfahren und nutzen.

Hier greift die 2-Step Authentifizierung ein. Es gibt hier viele Beispiele, wie man ein SMS mit einem Code zugeschickt bekommt, zum Online eingeben und verifizieren, dass der Benutzer auch über das Mobilgerät verfügt. Yubikey nutzt hier eine Webschnittstelle. Beim Login generiert der YubiKey eine einzigartige Key, welche vom Backend im Hintergrund überprüft wird. Stimmt dieser Einmalcode, wird das Login zugelassen, anderenfalls nicht.

YubiloginDamit ist sichergestellt, das sogar bei bekannten Username / Passwort kein Login möglich ist. Auch Sniffing wird damit komplett ausgehebelt, da OTP bei jedem Login ein neuen Code generiert, welcher nicht 2 Mal verwendet werden kann.

YubiKey lässt sich beim WordPress per Plugin einbinden und es stehen auch PHP Classen und viele andere Möglichkeiten (wie Windowslogin Standalone / Domain) zur Verfügung.

Je nach YubiKey sind verschiedene Technologien unterstützt. Ich habe den UbiKey mit U2F (für Google Login) und OTP (für WordPress und div Webservices) gekauft. Der Yubikey unterstütz eine 2te zusätzlichen Typ, welcher selbst definiert werden kann, welchen ich für KeePass, Firefox MasterPass und Windowslogin nutze.

Dadurch sind alle wichtigen Services von mir gegen ein Verlust des Passwortes abgesichert. Ein Backup vom Yubikey ist angelegt für den Notfall. Jedenfalls sollte man am Yubikey selbst keine Hinweise anbringen, wem dieser gehört, um den Schutz bei Verlust zu erhöhen. Jedenfalls lässt sich der Key jederzeit sperren und austauschen gegen ein neue UserID.

yubikey
YubiKey könnt ihr unter: https://www.yubico.com/store/ beziehen, ich habe mit den Edge gegönnt.

About Stefan

avatar
Ein männlicher IT Nerd, durchstöbert das Web nach speziellen Gadgets, unentbehrlicher Software und Alles was man im IT Sektor nicht verpassen darf.Immer hilfsbereit wenn Probleme zu lösen sind oder das Unmögliche umgesetzt werden sollte.

Weitere interessante Artikel

PHP Trojaner (Teil 4: Codierte Uploader Infektion)

~2 Min. LesezeitNicht jeder PHP Trojaner kann auf den ersten Blick identifiziert werden, was der …

PHP Trojaner (Teil 3: Spamsender Infektion)

~1 Min. LesezeitSpam ist ein grosses Problem der heutigen Zeit, doch wer verschickt Spam und …

2 Kommentare

  1. avatar

    FYI: WordPress kann auch U2F und bietet somit den Vorteil, auf die von dir angesprochene Web-Schnittstelle verzichten zu können. Hatte zuerst auch das OTP-Plugin von Yubikey für WordPress im Einsatz, jedoch finde ich die Idee, auf externe Services verzichten zu können, ein Stück charmanter. Das Plugin wird weiter entwickelt, ist aber bereits voll lauffähig: https://www.sebastian-eggersberger.de/blog/wordpress-mit-fido-u2f-absichern-so-gehts/

    KeePass nutze ich auch, setzt du hierbei auf die OtpKeyProv-Plugin oder KeeChallenge ein?

  2. avatar

    Hallo Sebastian

    Vielen Dank für dein wertvollen Kommentar. Gerne habe ich den Artikel gelesen. Klar bietet U2F ein Vorteil der Unabhängigkeit, was ich generell auch bevorzugen würde, wäre da nicht ein anderes sehr einschneidende Abhängigkeit. Chrome!

    Ich bin sehr viel unterwegs, mit vielen Geräten und auch Kunden möchten das Feature nutzen, da kann ich keine solche Abhängigkeit schaffen. Dies ist aktuell der Grund für mich U2F nicht zu nutzen, auch für Google nicht.

    Für KeePass habe ich auf dem 2ten Auth Platz ein festes Passwort installiert, sehr kompliziert dort ein „kompliziertes“ Passwort einzuprogrammieren.

    Gruss Stefan

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg