Sicheres WordPress Login ohne Passwörter oder CAPTCHAs

21.08.2014 / 0 Comments

Zwei-Faktor Authentifizierung für WordPress

Wenn Sie wie die meisten WordPress-Administratoren vorgehen, werden Sie vermutlich Ihre Webseite mit passwortbasierten Anmeldungen schützen. Sie könnten ebenfalls ein CAPTCHA verwenden, um sicher zu gehen, dass die Anmeldeversuche von menschlichen Nutzern sind und keine Angriffe durch Bots darstellen, die z.B. versuchen, automatisierte Werbepost, die auf mit Malware infizierte Seiten führt, auf Ihrer Seite zu veröffentlichen. Bedauerlicherweise sind diese Login-Methoden heutzutage nicht mehr sicher und machen Ihre Webseite automatisch zu einem Angriffsziel von Hackern und anderen Kriminellen, die versuchen, Benutzerkonten zu kompromittieren, an die Daten Ihrer Webseite zu gelangen und Passwörter oder andere Zugangsdaten zu stehlen. Auch von anderen Webseiten oder Servern gestohlene Benutzernamen und Passwörter könnten dafür verwendet werden, um sich z.B. auf Ihrer Seite als Admin anzumelden.

Wenn Sie passwortbasierte Logins zur Absicherung Ihrer WordPress-Seite nutzen, laden Sie potentiellen Ärger quasi zu sich nach Hause ein. Das primäre Ziel von Hackern ist es, an Passwörter zu gelangen. Wenn Kriminelle erfolgreich auch nur auf ein einziges Passwort für ein Benutzerkonto zugreifen können, besteht die Möglichkeit, dass sie auch Zugang zu den anderen Konten dieses einen Nutzers für andere Webseiten und -dienste erlangen können.

Als Konsequenz hätte der Angreifer also leichtes Spiel, wenn er eine andere Webseite kompromittiert hat, auf der Passwörter nicht ausreichend gesichert sind, und ein Nutzer dasselbe (dem Angreifer nun bekannte) Passwort auch auf Ihrer Webseite nutzt.

Kriminelle haben diverse Optionen zur Verfügung, um an Passwörter zu gelangen, sei es durch SQL-Injection- oder Phishing-Angriffe oder mithilfe von Schadprogrammen. Wenn Sie Passwörter für die Anmeldung verwenden, so ist die Sicherheit Ihrer Webseite nur so hoch wie der dort angemeldete Nutzer mit dem schwächsten Passwort. Sollte ein Administrator oder ein Kontoinhaber dasselbe Passwort für mehrere Webseiten und -dienste benutzen (einschließlich Ihrem eigenen), so bringt dies Ihre Seite und Ihre Daten in ernste Gefahr.

Schlimmstenfalls könnten Kriminelle, die mithilfe dieser gängigen Angriffsmethoden an ein administratives Passwort für Ihre WordPress-Seite gelangen, vollständigen Zugriff auf Ihre Seite und Nutzerdaten erhalten, und das würde eine Katastrophe größeren Ausmaßes bedeuten.

CAPTCHA ist langfristig gesehen zudem keine wirksame Lösung zur Abwehr von Brute-Force-Angriffen. Hacker arbeiten unermüdlich am Schreiben neuer Bot-Skripte und  -programme, um bild- und textbasierte Lösungen wie CAPTCHA auszutricksen. So ist es immer nur eine Frage der Zeit, bevor Hacker herausfinden, wie man jede neue Lösung besiegen kann. Sobald sie herausgefunden haben, wie man das neueste Plugin überlistet, können sie ihre Bots so programmieren, dass diese während des Angriffs wie menschliche Nutzer erscheinen. Und wer hat nicht schon die Erfahrung gemacht, dass man heute immer öfter auf CAPTCHAs stößt, die man als Mensch kaum noch entziffern kann. Muten Sie Ihren Nutzern das nicht länger zu!

Wie können Sie nun also Ihre WordPress-Seite ohne den Gebrauch von Passwörtern oder CAPTCHAs nicht nur schützen, sondern auch die bestmögliche Sicherheit für Ihre Nutzerkonten gewährleisten? Die Lösung ist einfach und so sicher, dass es mit ihr nahezu unmöglich ist, dass Ihre WordPress-Konten jemals in Gefahr geraten.

Schützen Sie Ihre Webseite mit einer mobilen Authentifizierung der nächsten Generation

Die SecSign ID ist eine Anmeldemethode der nächsten Generation und ersetzt passwortbasierte Logins mit 2048-Bit Schlüsselpaaren und mobiler Authentifizierung. Sie nutzt kryptographische Verfahren, die bereits seit über 15 Jahren für die Sicherheit von EC-Karten genutzt werden: Wissen plus Besitz.

Mithilfe eines einfachen Plugins für WordPress erlaubt es die SecSign ID den Nutzern, sich auf Ihrer Seite durch Eingabe eines nicht vertraulichen, in der App selbstgewählten Benutzernamens in WordPress anzumelden. Die Nutzer müssen nun kein Passwort mehr benutzen bzw. sich merken. Sobald sie ihren Benutzernamen eingegeben haben, bestätigen sie ihre Identität durch den Besitznachweis eines verschlüsselten privaten Schlüssels, der sich auf ihren Mobilgeräten befindet.

Dies funktioniert durch die Nutzung der kostenlosen SecSign ID App. Die App benachrichtigt den Nutzer automatisch, wenn eine Authentifizierungsanfrage gestartet wurde , und der Nutzer kann daraufhin innerhalb von Sekunden die Sitzung bestätigen oder ablehnen. Der Besitz des privaten Schlüssels des Nutzers wird mit dem richtigen Wissen, nämlich der Eingabe einer einfachen vierstelligen PIN bzw. eines Passcodes in der App bestätigt.

In einem letzten Schritt für die Identitätsprüfung zeigt die App vier Symbole an. Der Nutzer muss nun das Symbol antippen, das auch in der Anmeldemaske bei WordPress erschient. Sobald die Überprüfung beendet ist, gewährt Ihre Webseite dem Nutzer den Zugang.

So kann sich der Nutzer innerhalb weniger Sekunden auf Ihrer WordPress-Seite anmelden, ohne Passwörter oder CAPTCHAs zu benutzen. Und noch besser: Im Gegensatz zu allen passwortbasierten Methoden werden keine sensiblen Nutzerdaten jemals auf einem Server gespeichert oder zwischen einem Server und dem Mobilgerät des Nutzers übertragen. Somit existiert praktisch nichts, was Kriminelle während der Übertragung oder von einem Server stehlen könnten. Hacker- und Phishing-Angriffe sowie Schadprogramme bleiben erfolglos.

SecSign ID enables WordPress logins by using a simple user ID and mobile authentication that eliminates passwords and makes it virtually impossible for criminals to compromise user accounts.

Die SecSign ID ermöglicht Anmeldungen bei WordPress durch die Verwendung einer einfachen Benutzernamens und einer mobilen Authentifizierung, die Passwörter überflüssig macht und kriminelle Angriffe und Gefährdung von Benutzerkonten vereitelt.

Flexible Sicherheitsvarianten – inklusive der Überprüfung durch Apples Touch ID Fingerprint

Mit Apples bevorstehender Veröffentlichung von iOS 8 bietet die SecSign ID Nutzern von iOS 8 die Möglichkeit, ihre Identität mithilfe ihres hinterlegten Touch ID-Fingerabdrucks zu bestätigen. Der Vollständigkeit halber sei hier noch einmal erwähnt, dass auch der Fingerabdruck selbstverständlich niemals übertragen wird.

Somit können sie ihren Fingerabdruck anstelle von PIN oder Passcode verwenden oder ihn aber auch mit einer PIN oder einem Passcode kombinieren, um den biometrischen Schutz noch zu erhöhen.

Die SecSign ID kann als eine alternative Anmeldeoption für Ihre Webseite konfiguriert werden und könnte so zusammen mit einer herkömmlichen Kombination von Benutzername und Passwort angeboten werden. Sie können mit ihr auf diese Weise Ihre Admin-Konten schützen und gleichzeitig weiterhin herkömmliche Login-Methoden für Ihre anderen Nutzer unterstützen. Sie könnten aber auch, um Ihrer Webseite die höchstmögliche Sicherheit zukommen zu lassen, die SecSign ID für all Ihre Konten als Login-Anforderung bestimmen, indem Sie das standardmäßige WordPress-Login deaktivieren und durch die sicherere Methode der SecSign ID ersetzen.

Durch die Integration des SecSign ID-Plugins in Ihre WordPress-Seite ermöglichen Sie es Ihren Nutzern, sich auf Ihrer WordPress-Seite anzumelden und Blog-Kommentare zu posten, und zwar ohne die Verwendung von Passwörtern und das zur Herausforderung werdende Entziffern von CAPTCHA-Bildern oder -Texten. Auch die Mitglieder Ihrer Webseite werden davon profitieren, von möglichem Ärger durch Passwörter oder CAPTCHAs erlöst zu sein.

Einfache Nutzerregistrierung und Verknüpfung bestehender Konten mit der Zwei-Faktor-Authentifizierung

Die Registrierung eines SecSign ID-Kontos funktioniert einfach und schnell mithilfe der SecSign ID App. Somit ist es nicht erforderlich, IDs für alle Nutzer Ihrer Webseite einzurichten oder zu verteilen. Die Nutzer können sich durch die SecSign ID App eigenständig registrieren. In der App können Nutzer schnell und problemlos eine neue SecSign Benutzer-ID generieren und die Überprüfung durch PIN, Passcode oder Fingerabdruck aufsetzen.

Sie als Administrator der Seite können selber entscheiden, ob Sie den Nutzern erlauben wollen, eine Zwei-Faktor-Authentifizierung als alternatives oder als einzig mögliches Login zu nutzen. Dies regeln Sie einfach und bequem über Checkboxen in der Konfiguration des SecSign ID-Logins.

 

SecSign ID uses 2048-bit encrypted key pairs, including a secured private key stored on the user's mobile device, to authenticate user logins.

Das kodierte 2048-Bit-Schlüsselpaar der SecSign ID inklusive eines gesicherten privaten Schlüssels auf dem Mobilgerät des Nutzers zur Authentifizierung der Nutzeranmeldungen.

Die App generiert die kodierten Schlüsselpaare für die sichere Authentifizierung und sendet den öffentlichen Schlüssel an den Authentifizierungs-Server, wo er gespeichert wird. Der private Schlüssel wird auf dem Mobilgerät des Nutzers mit einem patentierten SafeKey-Verfahren für zusätzlichen Schutz gegen Brute-Force-Angriffe gesichert. Selbst wenn dem Nutzer das Gerät gestohlen wird oder verloren geht, kann kein Brute-Force-Angriff Zugang zu dem privaten Schlüssel verschaffen. Selbst für den Fall, dass Verbrecher es schaffen, irgendwie an diesen Schlüssel zu gelangen, so ist dieser ohne die dazugehörige PIN (bzw. den dazugehörigen Passcode oder Fingerabdruck) völlig nutzlos.

Auch kann der Nutzer selbstverständlich diese ID aus der Ferne über die Admin-Webseite sperren.

Mit der einfachen und passwortlosen Selbstregistrierung wird ein weiteres bekanntes Risiko umgangen, das die WordPress-Verwaltung durch das Aufsetzen und Übertragen von Passwörtern für andere Administratoren mit sich bringt. Normalerweise ist es für passwortbasierte Anmeldungen erforderlich, dass ein Administrator ein Passwort für jeden weiteren Administrator erstellen und dieses an ihn weiterleiten muss.

Das führt zu zwei signifikanten Sicherheitsrisiken: Zum einen kennt der erste Administrator das Passwort für das Benutzerkonto eines anderen, und zum zweiten ist die Übermittlung über E-Mail oder andere Dienste hochriskant. Ein potentieller Angreifer könnte so die Benutzerdaten während der Übertragung oder aus einem Text bzw. Dokument, das auf einem Server gespeichert ist, stehlen.

Sowohl die erwähnten Gefahren als auch andere Schwachpunkte bei Passwort- und CAPTCHA-Verfahren kann die SecSign ID beseitigen.

Die Installation der SecSign ID für Ihre WordPress-Seite erfolgt innerhalb von wenigen Minuten.

Unter  https://wordpress.org/plugins/secsign/ können Sie das WordPress-Plugin herunterladen, die Anleitung für die Installation abrufen und sich ein anschauliches Video ansehen. Ebenfalls steht Ihnen eine Kurzanleitung unter https://www.secsign.com/de/entwickler/wordpress-zwei-faktor-authentifizierung/ zur Verfügung. 

 

Letzte Blog Einträge, Neuigkeiten & Funktionen

Crowd SSO

21.09.2017

Read More
Do NOT follow this link or you will be banned from the site!