Du solltest deinen WordPress-Login unbedingt mit einer Multi-Faktor-Authentifizierung sichern, um es Angreifern zu erschweren, deine Website zu kapern. Und Passkeys sind sogar noch praktischer.

Die Verbesserung deiner Anmeldung mit einer Multifaktor-Authentifizierung verhindert, dass sich Angreifer anmelden können, selbst wenn sie deinen Benutzernamen/deine E-Mail-Adresse und dein Passwort besitzen, da sie einen weiteren Faktor für eine erfolgreiche Anmeldung benötigen. Dies kann ein zeitbasiertes Einmalpasswort, ein Sicherheitsschlüssel, Backup-Verifizierungscodes oder ein an deine E-Mail-Adresse gesendeter Code sein. Um dies in WordPress einzubauen, gibt es ein kleines, aber feines Plugin namens Two-Factor, das als sogenanntes „featured plugin“ gestartet wurde, dessen Absicht es normalerweise ist, in Zukunft in den WordPress Core integriert zu werden.

Solange dies nicht der Fall ist, empfehle ich dringend, dieses Plugin zu installieren und einzurichten, um einen zweiten Faktor für den WordPress-Login zu aktivieren. Es enthält die oben genannten Methoden für einen zweiten Faktor.

Um auch Passkeys zu verwenden, gibt es ein weiteres Plugin, das Two-Factor um WebAuthn, den Standard für die Verwendung von Passkeys, erweitert. Dieses Plugin heißt WebAuthn Provider for Two Factor und ist kostenlos im WordPress Plugin Repository zu finden.

Nach der Installation gehe auf deine Profilseite im Backend und dann um Eintrag „WebAuthn“ in den „Two-Factor-Einstellungen“. Um WebAuthn zu verwenden, benötigst du ein „Gerät“ zur Authentifizierung, das eines der folgenden sein könnte:

  • YubiKey
  • „Secure Enclaves“ wie Touch ID/Face ID oder Windows Hello
  • Passwordmanager (nicht jester Passwortmanager unterstützt bereits Passkeys, unter den populärsten jedoch unter anderem diese: 1Password, Bitwarden, Dashlane, Keeper, Keypassium, Strongbox)
  • Browser (z. B. Google Chrome kann es)

Klicke auf „Neuen Schlüssel registrieren“ und folge den Anweisungen. Anschließend kannst du WebAuthn als primäre Methode für deinen zweiten Faktor festlegen, damit du immer zuerst nach deinem Passkey gefragt wirst (du kannst jederzeit zu einer anderen aktivierten Methode wechseln).

Abhängig von deinem Arbeitsablauf ist die Verwendung von Passkeys in der Regel einfacher als die Verwendung von zeitbasierten Einmalpasswörtern, da du sie nicht eintippen oder kopieren und einfügen musst. Hier ein Beispiel mit einem in Strongbox gespeicherten Passkey:

Als zusätzliches Plus kannst du Passkeys für weitere andere Dienste verwenden. Eine umfassende Liste gibt es unter Passkeys.directory.

Eine kleine Notiz für Multisite-Benutzer mit mehreren Domains: Da Passkeys auf eine Domain beschränkt sind, musst du für jede Domain einen Sicherheitsschlüssel (WebAuthn) registrieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert