WordPress mit FIDO U2F / Yubikey absichern

Für WordPress gibt es verschiedene Plugins, über die sich ein Blog mit dem Yubikey absichern lässt. Eine Möglichkeit ist, die Authentifizierung via Yubikey OTP, die Yubico Server und dieses WordPress Plugin abzuwickeln. Der Vorteil: Yubikey OTPs funktionieren auf jedem Rechner, der eine USB-Schnittstelle hat, weil der Yubikey in diesem Fall nur eine Tastatur simuliert. Nach Nachteil bei dieser Methode: Man verlässt sich auf fremde Server (Die Yubico Authentifizierungsserver), über die man keine Kontrolle hat.

Neben der Yubico OTP-Methode beherrscht mein Yubikey Neo auch die Authentifizierung über das FIDO U2F Verfahren. Auch hierbei werden Einmalpasswörter generiert – allerdings ohne die Hilfe fremder Server. Ein Nachteil hierbei: Damit U2F funktionieren kann, muss der Webbrowser dies unterstützen. Google Chrome / Chromium beherrscht U2F seit Version 40. Firefox kommt noch ohne native U2F Unterstützung. Über ein Browser-Addon kann man das aber nachrüsten. Im Folgenden erkläre ich die Einrichtung der Authentifizierung über U2F. Ich gehe davon aus, dass der Browser U2F bereits beherrscht.

Für WordPress gibt es das „Two Factor“ Plugin, welches mehrere Zwei-Faktoren-Anmeldemechanismen unterstützt: Die Anmeldung über einen via E-Mail zugeschickten Einmalcode, über die Google / Yubico Authenticator App (time-based OTP, TOTP) oder über das U2F-Verfahren mit einem FIDO U2F-kompatiblen USB Key wie dem Yubikey.

Nach der Installation des Plugins kann in den Benutzereinstellungen zu jedem einzelnen WordPress-Account eingestellt werden, welche Authentifizierungsmethoden für den jeweiligen Benutzer zur Verfügung stehen sollen. Ich empfehle, U2F zusammen mit fixen Einmalcodes als Backup zu verwenden. Die Einmalcodes kann man nutzen, wenn der Key verloren gegangen ist oder aus einem anderen Grund nicht genutzt werden kann. Man sollte sie sich ausdrucken und z.B. im Geldbeutel aufbewahren. Durch einen Klick auf „Generate Verification Codes“ werden neues Codes generiert und die alten unbrauchbar gemacht.

Nun aber zur Anmeldung via U2F Key: Weiter unten unter „Security Keys“ kann ein neuer Yubikey registriert werden. Klickt auf „Add new“, vergebt einen Namen und registriert den Key, indem ihr in mit dem Rechner verbindet und die Taste auf dem Key drückt. Damit ist der Yubikey mit WordPress verbunden.

Unter „Application passwords“ habt ihr noch die Möglichkeit, Passwörter für Anwendungen zu generieren, die auf WordPress zugreifen, aber keine 2-factor Authentifizierung unterstützen, wie z.B. die Android App für WordPress. Diese Anwendungen können sich dann nur mit dem zugeteilten Passwort zu WordPress verbinden.

Wenn ihr mit den Einstellungen fertig seid, klickt ganz unten auf „Profil aktualisieren“. Im aktuellen Release des Two Factor Plugins tritt noch ein Fehler beim Speichern auf. Es wird eine Fehlermeldung „Two Factor Authentication not activated, you must specify authcode to ensure it is properly set up. Please re-scan the QR code and enter the code provided by your application.“ ausgegeben, obwohl man die TOTP-Methode (=> scan des QR Codes) gar nicht aktiviert hat. Die Meldung kann man einfach ignorieren. Ich werde den Fehler an die zuständigen Entwickler reporten.

Das war’s auch schon! Beim nächsten Login werdet ihr neben eurem Passwort auch nach dem Yubikey gefragt. Solltet ihr den Yubikey einmal nicht zur Hand haben, könnt ihr auch einen der vorher gesicherten Codes benutzen.

Übrigens: Das Entwicklerteam des Two-Factor Plugins für WordPress hat vor, die Zwei-Faktor Authentifizierung im Februar 2016 direkt in WordPress zu integrieren, sodass kein Plugin mehr nötig ist. Indem ihr Bugs auf GitHub meldet, könnt ihr den Entwicklungs- und Integrationsprozess vorantreiben :)