 Guten Morgen zusammen, freut mich, dass ich hier doch ein paar Gesichter sehe, wer auf die Cookies gewartet hat, leider, leider, wie das im Moment so ist, ist die Gefahr, dass natürlich jemand ausfällt, leider relativ groß. Ich hoffe trotzdem, dass ich euch was über die Absicherung von WordPress mit zwei Faktor-Authentifizierung erzählen kann. Kurz zu mir, mein Name ist Matthias Kurz, ich bin 1984 im Saarland geboren, lebe jetzt seit einiger Zeit in Bern in der Schweiz, ich bin IT-Projektleiter, Fachinformatiker und Ausbilder, bin für Unternehmen im Bereich Cloud Computing auf Google Cloud Platform, Amazon Web Services und im Bereich Datacenter tätig, Gründer und Geschäftsführer vom WordPress Hosting Unternehmen und auf Twitter unter dem Händel Matthias Kurz kommen zu finden und ja, ich berichte eigentlich da häufig über meine Reisen zu WordCams vorträgen etc. Was ist zwei Faktor-Authentifizierung? Das haben mittlerweile wahrscheinlich die meisten schon mal gehört, das ist ja auch glücklicherweise immer verbreiteter. Bei der zwei Faktor-Authentifizierung geht es im Prinzip darum, dass man zwei unabhängige Faktoren benötigt, um sich bei etwas zu identifizieren. Den Text braucht ihr bitte nicht zu lesen, ich fasse das kurz zusammen, das Ganze ist da drin, um entsprechend in den Folien nachher kurz erklärt zu haben. Klassisches Beispiel für die zwei Faktor-Authentifizierung ist der Vorgang des Geldabhebens. Ich gehe zu einem Geldautomaten, schiebe meine Bankkarte ein, das ist mein erster Faktor und dann muss ich mich mit meinem zweiten Faktor, in dem Fall einer Geheimzahl, die ich weiß, die ich kenne, authentifizieren. Die gebe ich ein und nur die Kombination aus Bankkarte und Geheimnummer macht es mir möglich, entsprechend Geld abheben zu können. Und dieser zweite Faktor kann etwas sein, dass jemand besitzt oder dass jemand weiß und die zwei Faktor-Authentifizierung wird mittlerweile auch immer mehr eingesetzt, wenn es darum geht, sich bei Diensten im Internet zu authentifizieren. Welche Arten von zwei Faktor-Authentifizierung werden jetzt in Verbindung mit WordPress unterstützt? Das ist einmal der sogenannte OTP Code, das One-Time Password. Das hat vielleicht der eine oder die andere schon mal verwendet, wenn man sich so eine Authenticator-App auf dem Handy, auf dem Smartphone installiert, damit so ein Code abscanned und dann entsprechend neben einem Passwort auch immer so eine sechsstellige Nummer zum Beispiel bei meinem Login eingeben muss. Dann gibt es die Möglichkeit der Zusendung eines zweiten Faktors per E-Mail. Das heißt, ich melde mich in meinem WordPress Backend an, gebe mein Passwort ein und dann erhalte ich von WordPress eine E-Mail, an die im Benutzer-Account hinterlegte Adresse und kann mit diesem Code in der E-Mail mich dann erst auch in WordPress anmelden. Dann gibt es die Möglichkeit, das zeige ich nachher auch alles in der praktischen Demo nochmal, Windows Hello zu nutzen. Also wer Windows Hello jetzt auf Anhieb nicht kennt, das ist eine Funktion bei Windows, also bei Microsoft Windows auf ausgewählten Notebooks. Die müssen spezielle Anforderungen bei der Kamera erfüllen und damit kann die Kamera quasi mein Gesicht erkennen und mich damit identifizieren beim Login. Ich werde zeigen, wie man Touch ID bei den Apple MacBooks verwenden kann als zweiten Faktor, also den Fingerabdruck oder wenn man das nicht nutzen kann, das Ganze auch mit Apple Passkey machen kann, also zum Beispiel mit seinem iPhone dann einen zweiten Faktor abscannen kann. Und ich werde zeigen, wie man das mit Security Keys macht. Und wer sich jetzt fragt, was Security Keys sind, Security Keys sind Hardware-Token und diese Token gibt es mit dem klassischen USB-A-Anschluss oder mit dem neueren, kleineren USB-C-Anschluss. Die sind kostengünstig erhältlich ab ca. 5 Euro in einer PAP-Variante. Hört sich jetzt dramatischer an, als es ist für den praktischen Einsatz. Das ist eine stabile Pappe mit Kontaktentrennen, das funktioniert wunderbar. Wer das Ganze ein bisschen, wer das Ganze ein bisschen, sag ich mal langlebiger haben will, gibt es diese Keys auch in einer Hard-Plastik-Version für rund 20 Euro zu kaufen. Und diese Keys funktionieren nach dem sogenannten U2F-Standard und ohne das jetzt allzu technisch werden zu lassen, U2F ist ein Industriestandard, der ursprünglich von Google zusammen mit der Firma Ubico, die auch diese Keys sehr verbreitet herstellt, geschaffen wurde. Und daraus ist die FIDO entstanden, diese Allianz, der auch zahlreiche Unternehmen wie Facebook, wie Microsoft, wie PayPal und so weiter angehören. Und die haben es sich also zur Aufgabe gemacht, das Internet ein Stück weit sicherer zu machen durch diese zwei Faktor-Ordentifizierung mit U2F. Wer unterstützt U2F? Das ist jetzt nur exemplarisch, was hier steht. Das ist zum einen Mal WordPress in der Demo heute mit dem Plug-in to Factor. Das ist aber auch Google-Mail, das ist Dropbox, das ist GitHub, das ist Facebook, das sind zahlreiche andere Dienste, bei denen ich den gleichen Hardware-Key im Prinzip verwenden kann. Man kann sich das dann wirklich wie so ein Schlüssel für den Computer vorstellen, das Logins grundsätzlich nur möglich sind, wenn ich dann tatsächlich auch diesen Key gesteckt habe und in Verwendung habe. Und was auch möglich ist, wer es ganz besonders absichern will, man kann damit auch die Benutzeranmeldung selbst bei seinem Windows-Rechner, bei seinem Mac, bei seinem Linux-Rechner entsprechend absichern. Es ist also sehr viel Wert für einen relativ übersichtlichen Einsatz. Was passiert jetzt, wenn ich so einen Schlüssel verliere? Am Beispiel von WordPress kann ich mir Notfallzugänge einrichten. Ich kann also sagen, mein Haupt-Zweifaktor-Merkmal ist mein Security-Key. Ich habe mir aber zusätzlich einen OTP in meinem Smartphone eingerichtet in meiner Authenticator-App oder ich habe zusätzlich die E-Mail-Sicherheit-Codes eingerichtet. Und wenn im schlimmsten Fall wirklich gar nichts mehr geht, aktuell ist es so, dass bei WordPress die zwei Faktor-Authentifizierung über ein Plug-in bereitgestellt wird. Dieses Plug-in lässt sich im allerschlimmsten Fall der Fälle natürlich über SSH oder FDP auch deaktivieren oder löschen und damit ist dann natürlich die zwei Faktor-Authentifizierung auch deaktiviert für WordPress. Wir gehen jetzt zu einer kurzen Demo über. In dieser Demo werde ich zeigen, wie man das Ganze einrichtet, also welche Plug-ins benötigt sind, wie man die Einrichtung mit so einem Security-Key macht, mit dem Google Authenticator einmal so einen OTP erstellt, so ein One-Time-Passwort und wie man Touch ID einrichtet. Ich muss eins vorweg sagen, sollte es notwendig sein, dass ich den Rechner ein oder zweimal neu starten muss, das ist im Moment bei Apple noch so ein bisschen tricky. Apple hat ein Sicherheitssystem, wenn man diesen Key ausstellt und dann zum Beispiel löscht, es ist notwendig, dass der Rechner einmal neu gestartet wird, damit das Ganze funktioniert. Also nicht verwundert sein, wir schauen uns das jetzt einfach mal zusammen an und gucken mal, wie das funktioniert. So, ich habe jetzt hier ganz einfach meine Demo-Seite installiert, in die wir uns jetzt einmal anmelden. Ich glaube, Ton ist da. So, jetzt hat das mit dem ersten Faktor geklappt. Es ist verblüffend, kaum macht man es richtig, schon funktioniert. Also wir haben jetzt hier ein ganz blank installiertes WordPress aktuell, das momentan von Hause aus noch keine zwei Faktor-Unterstützung mit sich bringt. Wir werden jetzt zwei Plug-ins installieren, die das Ganze ermöglicht. Das erste ist das Plug-in-to-Factor, was die eigentliche Funktionalität bietet. Und das zweite Plug-in ist ein sogenanntes Web-Out-N, ein Web-Out-N-Provider für Two-Factor, das klingt jetzt wahnsinnig verwirrend, aber letzten Endes ist es nur eine Unterstützung für das Two-Factor Plug-in. Und das wird jetzt in den nächsten Wochen auch zusammengeführt. Also es wird ein kürzer Ausreichen ein Plug-in entsprechend zu. Das erste ist das Plug-in-to-Factor, das ist das hier. Und das Plug-in-to-Factor ist in einer dauerhaften Entwicklungsversion aktuell Hintergrund dabei ist. Es sind sehr viele namhafte Entwicklerinnen und Entwickler an der Entwicklung dieses Plug-ins beteiligt und Sinn und Zweck und Ziel ist es, dieses Plug-in in den WordPress-Core hineinzubringen. Also das ist dann eigentlich in hoffentlich baldiger Zukunft gar nicht mehr notwendig sein wird, überhaupt Plug-ins zu installieren, sondern dass WordPress diese Funktionalität out of the box mit sich bringt. Ja, genau. Das halbe Security-Team ist da als Contributor mit dabei, richtig. So, wir installieren das jetzt mal und installieren dann das zweite benötigte Plug-in. Dazu suche ich einfach mal nach WebOutn. Ich werde die Folien im Übrigen auch noch mal online stellen im Blog und das Video wird auch aufgezeichnet. Es ist also im Nachgang dann auch verfügbar, was da wie gebraucht wird. Und das zweite Plug-in, das wir brauchen, ist dieser WebOutn-Provider for two-factor. Den installieren wir uns auch einmal dazu und aktivieren auch diesen. Und jetzt ist eigentlich die ganze Voraussetzung dafür geschaffen mit der Installation dieser beiden Plug-ins, die zwei Faktor-Authentifizierung in WordPress nutzen zu können. Um das jetzt einzurichten, gehe ich einmal auf die Benutzer und in dem Fall mein hier verwendeten Nutzer Demo. Und in diesem Profil, neben den üblichen Angaben, die man da findet, findet man jetzt plötzlich hier unten den Bereich Two-Factor-Einstellung. Und wir sehen hier, es gibt als Two-Factor-Möglichkeit Email. Es gibt das zeitbasierte Einmal-Passwort. Es gibt das U2F-Sicherheitsschlüsselverfahren. Da ein bisschen vorsichtig. Das ist ein veralteter Standard, der jetzt nicht mehr zum Beispiel in Google Chrome unterstützt wird. Der funktioniert aktuell nur noch in Firefox. Es gibt Backup-Codes, die man sich erstellen kann. Und das ist das Entscheidende, weswegen wir das zweite Plug-in installiert haben. Es gibt Web-Auth-N. Und Web-Auth-N ist die moderne, nativ integrierte Authentifizierungsmöglichkeit, die maßgeblich von Duo, die jetzt zu Cisco Security gehören, entwickelt wird. Und das ist das, was wir jetzt für unsere Security Keys oder für Touch ID, beispielsweise auch nutzen möchten. Ich habe jetzt hier so ein Ubiqui, so ein Klein mit USB-C Anschluss. Den stecke ich einfach mal am Rechner an und klicke hier bei Security Keys auf Register New Key. Dann erscheint hier Passkey für WC Vienna, Matthias Kurz kommen erstellen, also für diese Seite. Dafür drücke ich einfach nur kurz auf den Schalter an dem Ubiqui, also an meinem kleinen Hardware-Key. Und dann ist dieser Key hier auch schon registriert. Ich kann den jetzt zum Beispiel umbenennen, sagen wir einfach mal, das ist jetzt mein Ubiqui und kann jetzt sagen, ich möchte Web-Auth-N als primäre zwei Faktor-Authentifizierungsmöglichkeit eingerichtet haben, aktualisiere einmal mein Profil. Und wenn ich mich jetzt auslogge und mich wieder anmelde und das mit dem ersten Faktor auf Anhieb klappt, dann sagt das System der Browser zu mir, Passkey verwenden. Und jetzt ist mein Key gesteckt und ich tippe nur einmal auf den Key und bin drin. Also das ist ein sogenannte, in dem Fall ein Ubiqui. Ich möchte jetzt keine direkte Werbung dafür machen, aber du kannst sonst einfach mal nach U2F-Key zum Beispiel suchen. Und da gibt es also ganz unterschiedliche Modelle, 15 Euro oder da musst da einfach mal gucken. So, der namenhafteste Hersteller, den habe ich eigentlich genannt. Ich will den jetzt nicht nochmal explizit erwähnen, aber damit kannst du dir einen solchen, da kannst du solchen Key suchen und dir den entsprechend anschaffen. So. Und jetzt sagen wir einmal, wir möchten aber nicht nur diesen Key verwenden, sondern wir möchten zum Beispiel auch Touch ID vom MacBook verwenden, was mit Sicherheit eine bequeme Lösung ist für Leute, denen Fingerabdruckscanner haben. Das muss im Übrigen auch nicht Touch ID von Apple selbst sein. Das kann auch ein Fingerabdruckscanner an dem Windows Notebook sein oder das kann auch ein externer Fingerabdruck-Reader sein. Das ist relativ egal. Um das jetzt nutzen zu können, müssen wir uns einmal über Safari einloggen. Und jetzt gehen wir hier wieder in unsere Benutzereinstellungen rein und sagen wieder Register New Key. Und jetzt bietet, da es ein Apple-Prowse auf einem Apple MacBook ist, das System ja an Touch ID zu verwenden. Da war ich zu schnell. Okay, das ist tatsächlich, jetzt müssen wir einmal den Rechner neu starten. Das ist dieses Sicherheitsfeature von Apple, was ich eingangs erwähnte. Das machen wir schnell. Es ist leider ein bisschen blöd, das in einer Live-Demo dann zu zeigen, aber auf der anderen Seite ist es auch schön zu sehen, dass es funktioniert. So, also versuchen wir unser Glück nochmal. Ich gehe wieder in das Benutzer-Profil, das sagt Register New Key. Und jetzt sagt einmal Key has been registered, dann kann ich das ganze jetzt z.B. Touch ID nennen. Und wenn ich mich jetzt, wenn ich Web aus N als Authentifizierung wieder auswähle, einmal Profil aktualisieren und auslogge, dann kann ich mich wieder mit meinen Zugangsdaten hier anmelden. Und jetzt sagt das System Touch ID verwenden. Ich leg einfach einmal meinen Finger auf und bin in WordPress eingeloggt. Und das ist eigentlich für die Leute, die halt Touch ID oder in irgendeiner Form ein biometrisches Merkmal, ob jetzt Gesichtserkennung oder Fingerabdruck verwenden, eine sehr bequeme Sache. Bitte. Ja. Die Frage war, wenn du fünf oder sechs verschiedene WordPress-Seiten hast, ob du für jede Seite einen eigenen Key brauchst. Du kannst, am Beispiel eines solchen Keys, den kannst du, da kannst du beliebig viele Seiten drauf speichern und kannst den Key für alle WordPress-Installationen nutzen. Genau. Eine sehr schöne Funktionalität davon ist es übrigens auch, wenn ich jetzt z.B. mit einem Team arbeite, mit Leuten, wo es verschiedene Benutzerberechtigungen gibt. Ich kann natürlich Accounts auch so vorbereiten, dass sie überhaupt nur mit so einem Key funktionieren. Wenn dann ein Mitarbeiter, eine Mitarbeiterin ausscheidet oder irgendwie ein Dienstleister nicht mehr tätig ist, dann kann der hundertmal noch die Zugangsdaten kennen. Das spielt keine Rolle, wenn ich einfach den Key entsprechend rausnehme. Das ist eigentlich eine sehr bequeme Möglichkeit. Du hast eine Frage? Auf der Seite mit den Keys, die du gezeigt hast, stand Fido U2F Keys. Jetzt hast du vorher gesagt, das ist veraltet. Gibt es da unterschiedliche Schlüsse? Nein. Und ist das nur das Protokoll? Danke für die Frage, hätte ich erwähnen sollen. Es ist nur das Protokoll, das sich verändert hat, also Keys, die den Fido U2F Standard unterstützen, unterstützen auch diesen Web-Out-N-Provider. Also es ist nicht so, dass der Key sich geändert hat, sondern im Prinzip hat sich der Standard geändert, womit man den Dienst anspricht. Gerne. Es gibt, das will ich an der Stelle auch noch kurz zeigen, obwohl es nichts mit zwei Faktor zu tun hat, aber wenn wir über Web-Out-N und über Authentifizierung per Fingerabdruck oder per Smartphone reden, es gibt also auch die Möglichkeit, das Plug-in WP Web-Out-N zu installieren und damit ist es dann zum Beispiel möglich, sich komplett Passwort los einzuloggen. Macht es dann natürlich ein Stück weit weniger sicher, logischerweise, aber macht es bequemer. Und je nachdem, in welchem Umfeld man sich bewegt, ist es natürlich angenehm, wenn ich einfach nur mein Face ID, mein Touch ID verwende und überhaupt nicht mit Passwörtern hantieren muss. Vielleicht nutze ich das einfach mal für meinen nächsten Vortrag dazu. Und dann ist es halt eine sehr bequeme Möglichkeit. Also auch das ist von Web-Out-N unterstützt. Bitte. Kommt das Mikro kommt? Ganz kleinen Moment. Gibt es ein Plug-in, was die Log-in-Funktion deaktiviert? Das heißt, dass ich bei meiner Website, was ich habe, stecke meistens einfach über Back-in-Server. Also ein Plug-in, womit man die WP-Log-in-PAP-Anmeldemöglichkeit deaktiviert? Genau, ja. Weil du irgendein Single-Sign-On oder ähnliches verwendest? Genau, dann werde ich einfach immer über meinem Server einstecken. Das WordPress-Dashboard. Ah, okay. Hab ich jetzt ehrlich gesagt, kann ich das so nicht beantworten? Das klingt spannend. Schaue ich gerne mal nach und können wir uns gerne mal im Nachgang an den Talk drüber unterhalten. Ja, wäre ich interessant, weil dann wären die ganzen Quarrel und alles einfach nicht diegernfach. Passwordless WP-Log-in-With-Your-Clans-of-Fingerprint. Ja, das ist wahrscheinlich ähnlich wie das WP-Web-Out-N auch. Aber es geht dir ja darum, dass du im Prinzip die Anmeldemaske komplett deaktiviert hast. Ja, genau. Also kann ich dir auf Anhieb jetzt leider nicht beantworten, können wir uns aber gleich mal gerne anschauen. Es sei denn jemand hat dazu eine Antwort oder hatte die Erfahrung schon. Sonst schauen wir gerne mal. Ja, super. Genau. So, dann gehen wir noch einmal ins Benutzerprofil. Und wenn wir jetzt zum Beispiel ein iPad verwenden oder ein iPhone verwenden, also wer sind jetzt im Apple-Universum, seht es mir nach. Ich bin in diesem Universum unterwegs und ich meld mich jetzt wieder mit meinem Account an und schnappe mir einmal mein iPhone. Dann kann ich also auch sagen, also wir sind jetzt hier natürlich bei Touch ID-Moment, dann machen wir den Chrome wieder auf. Das ist Chrome Canary ist im Prinzip so eine, ich glaube, das ist eine Nightly-Bild-Variante, eine Art Entwickler-Version, die immer auf dem aktuellsten Core basiert von Google Chrome. Und es ist sehr bequem, weil man die parallel zu Chrome installieren kann und das unabhängig vom normalen Chrome-Leut. Chrome Canary. Also links oben siehst du es auch neben dem Apple-Logo. So, jetzt immer hier wieder beim Passkey und ich kann jetzt hier sagen, Smartphone oder Tablet verwenden und jetzt scanne ich einfach mit meinem Smartphone diesen Passkey ab, bestätige das und jetzt fragt mich mein iPhone, möchtest du dich bei WC Vienna anmelden? Ich sage einmal fortfahren und dann bin ich entsprechend eingeloggt. Also auch das ist eine schöne Möglichkeit, wenn man beispielsweise das iPhone oder das iPad verwendet. Bitte, einmal das Mikro, bitte. Hallo, eine Frage, funktioniert das auch, wenn der Rechner auf Windows rennt? Dass er mich mit Apple iPhone anmeldet? Das mit dem? Entschuldigung? Dass wenn der Rechner ein Windows-Rechner ist, was ich mich trotzdem über das iPhone anmeldet, funktioniert das nur, wenn beides Apple-Geräte sind? Das funktioniert genauso bei einem Windows-Rechner, dass du das mit dem iPhone machen kannst. Bei der Einrichtung, es wird jetzt, wir gucken, ob es funktioniert, es wird wegen diesem Sicherheitsfeature wahrscheinlich jetzt eher nicht funktionieren. Aber ich kann hier zum Beispiel auch sagen Register New Key und anderes Gerät verwenden, genau. Also ich gehe auf Register New Key und kann hier unten auswählen, anderes Gerät verwenden, Smartphone oder Tablet. Und wenn ich das jetzt scannen würde, dann würde er diesen Passkey quasi in der WordPress-Installation anlegen und ich könnte den dann auch nutzen, um ganz normal mein iPhone oder mein iPad zu verwenden. So. Dann schauen wir uns mal noch die Backup-Verifizierungscodes an, die tatsächlich auch nicht ganz unwichtig sind, wenn man wirklich mal alle Zugangsmöglichkeiten verlegt hat oder das vielleicht aus irgendwelchen Gründen technisch auch nicht funktioniert. Ich kann hier also Backup-Verifizierungscodes erstellen und würde mir die jetzt speichern und mit jedem dieser Codes, ich leg mir die jetzt einfach mal hier ab oder leg mir mal den ersten ab und erstelle die jetzt, könnte ich beim Login sagen, genau hier unten, das sieht man ein bisschen schlecht, oder Backup-Methode verwenden, Backup-Verifizierungscodes nur einmalige Nutzung. Und jetzt würde ich hier den Verifizierungscode eingeben aus meiner Liste und dann komme ich mit diesem Verifizierungscode auch rein. Wichtig bei den Verifizierungscodes ist zu beachten, dass die nur einmal eingesehen werden können. Also das heißt, gehe ich jetzt hier in mein Profil, ist diese Liste nicht mehr zu sehen und statt wie vorher zehn unbenutzte Codes steht jetzt hier neun unbenutzte Codes verbleiben. Ich könnte jetzt natürlich nochmal neue generieren, das ist kein Problem, aber ich muss die dann wirklich absichern, wenn ich die in Zukunft verwenden will. Also ich kann sie nicht nochmal einsehen. Und dann schauen wir uns noch einmal das zeitbasierte E-Mail-Passwort, einmal Passwort ein, das OTP, weil es einfach auch eine sehr bequeme Sache ist. Dazu gehe ich einfach hin, nehme irgendeine OTP-App meiner Wahl. Viele verwenden wahrscheinlich den Google Authenticator, andere verwenden Aussie, andere verwenden OTP Plus. Also das ist im Prinzip vollkommen egal, was man da verwendet. Ich nehme jetzt hier mal Beispiel, also beispielhaft den Google Authenticator. So, jetzt starten, man sieht das jetzt natürlich nicht, aber die Funktionalität ist ja denk ich bekannt. Also ganz normal einmal abscannen mit dem Tool. Der zeigt mir jetzt hier den entsprechenden Code an. Gehen wir den einmal ein. Und damit ist jetzt quasi dieser OTP-Code im Authenticator mit der WorkPress-Installation gekoppelt. Und ich kann also, wenn ich das Profil jetzt einmal aktualisiere und mich dann wieder einlogge, fragt er mich in dem Fall jetzt nach der Authenticator-App. Ich könnte jetzt hier unten auch wieder umschalten. Also das ist immer so, man übersieht das gerne. Aber hier kann man immer die Methode dann auch noch mal umschalten. Und in dem Fall gebe ich jetzt einfach mein Key hier aus der App ein und bin dann auch eingeloggt. Und man kann das Ganze wirklich miteinander kombinieren und was super bequem ist, wenn man im Team arbeitet. Man kann auch für verschiedene Benutzer und Benutzerinnen unterschiedliche Funktionalitäten bereitstellen. Ich kann zum Beispiel sagen, Leute, die administrative Rechte haben, die können sich, die müssen so ein Key verwenden oder die müssen ein Touch ID verwenden. Ich kann sagen, Leute, die keine administrativen Rechte haben, für die reicht zum Beispiel auch ein Email-Code, der zugesendet wird. Also das kann ich wirklich auf Benutzer-Ebene ganz genau steuern, wie man das im Endeffekt haben möchte. Bitte einmal das Mikro, ganz kleinen Moment bitte. Einmal näher rein, sonst ist es nicht in der Aufnahme. Okay, jetzt noch ganz kurz eine Frage. Wenn ich das Ganze jetzt für WordPress einrichte, mache ich eigentlich meine Seite viel sicherer gegen Hacker. Ist das richtig oder bin ich da falsch? Also ja und nein. Eines der Hauptein oder ich würde sagen die zwei Haupteinfaltstore bei WordPress sind entweder völlig veraltete Plugins oder noch wahrscheinlicher zu einfache Zugangsdaten. Bei Demo-Seiten können wir jetzt hier natürlich spielen, das ist auch alles nicht relevant, aber letzten Endes viele Passwörter sind einfach viel zu einfach gewählt oder es werden dieselben Passwörter in allen Diensten verwendet und dagegen kann ich mich natürlich absichern. Da ist das eine Superlösung für. Gibt es dazu weitere Fragen? Ist das ein Sicherheitsrisiko, wenn ich auf fremden Computern mich einlocke mit dem Kiel? Nee, das ist also das ist nicht als Sicherheitsrisiko zu werten. Letzten Endes ist dieser Austausch zwischen WordPress Installation und Key auf deinem Key gespeichert. Also so ein Key lässt sich auch nicht auslesen beispielsweise. Es ist nicht möglich davon jetzt Daten zu kopieren und eine Kopie zu erstellen oder ähnliches. Also das heißt insofern ist das kein Risiko. Da läuft jetzt auch keine offene Firmware oder ähnliches drauf. Wenn man sollte ja darauf achten, dass man USB-Sticks nicht an irgendwelche Computer einfach so ansteckt, dass es bei diesen speziellen Keys in aller Regel kein Problem. Bisschen näher bitte. Du sagst es vorhin, dass das in der Zukunft einmal integriert wird. Aber jetzt brauchen wir jetzt zwei Plugins dafür. Diese Plugins, wie codelastic sind die eigentlich und gibt es vielleicht bekannte Konflikte mit anderen Plugins? Wir sind bisher in keinem Installation selbst Probleme bekannt geworden oder aufgetreten, dass die sich mit anderen Plugins nicht vertragen würden. Das Two Factor Plugin, ich hatte es eingangs schon mal angeschnitten, wird seit vielen Jahren von sehr namhaften Entwicklern aus dem WordPress Security Team entwickelt. Also das heißt, das ist nicht irgendein Dritthersteller, der sagt, ja unser Plugin ist das Wichtigste und wie das mit dem Rest funktioniert. Das ist jetzt nicht so unser Thema, sondern die achten wirklich darauf, dass das, was da entsteht, auch verträglich ist und auch in einem Zustand ist, dass man es wirklich auch in den Core rein bringen kann. Und ich kam ja jetzt eigentlich auf Anhieb kein wirkliches Szenario vorstellen, wo ich sagen würde, das verträgt sich jetzt mit dem oder dem Sicherheits Plugin zum Beispiel nicht. Also ich habe da zumindest keine praktischen Erfahrungen oder Erlebnisse. Also ich persönlich bin jetzt nicht der riesen Fan von WordPress. Ich habe da deshalb einfach auch keine Erfahrungen mit. Ich habe nichts dafür, nichts dagegen. Also ich weiß, viele nutzen es, ich nutze es einfach nicht. Aber mir sind da jetzt keine direkten Probleme bekannt durch den Einsatz von Two Factor. Bitte. Ich habe das jetzt nicht ganz mitbekommen. Vorher brauche ich für den Einsatz von TouchID auch die Keykarte. Oder ist das unabhängig? Sehr gute Frage. Ich stelle das nochmal ein bisschen klarer. Also für den Einsatz von TouchID oder auch dem iPhone oder dem OTP brauchst du diesen Key nicht. Also dieser Key ist wirklich nur eine zusätzliche Möglichkeit, die Installation abzusichern. Aber du kannst alle anderen Optionen, die das Tool bietet, völlig ohne einen solchen Key verwenden. Der ist dafür keine Voraussetzung. Vielen Dank für die Frage. Das ergänzt es prima. Dankeschön. Bitte. Jetzt haben wir eigentlich das Ganze gesehen im Backend. Kann ich das auch im Frontend nutzen? Ich gehe mal davon aus, ja. Ich kann auch den Two Factor im Frontend für meine User in einem eCommerce-Setting nutzen und kann ich das dann vielleicht mit dem zweiten Web-of-End kombinieren. So wie ich sage, im Frontend. Für die User ist es convenient, sich mit TouchID anzumelden, ohne Passwort. Und im Backend nutze ich aber klassisch User-Passwort und in der dritte zweifagte Möglichkeit. Ich habe das Web-of-End noch nicht verwendet, dieses andere Plug-in, was es möglich macht. Es ist mir einfach nur begegnet, dass es das gibt. Ich wüsste jetzt zumindest technisch nichts, was das unmöglich machen würde. Also auch das ist ein interessanter Punkt, den ich auch gerne mal ausprobieren würde. Oder wir können uns das auch im Nachgang kurz gerne mal zusammen anschauen. Beantworten kann ich es nicht, aber zumindest aus dem technischen Verständnis heraus gibt es da für mich jetzt keinen ersichtlichen Grund, warum das nicht funktionieren sollte. Gibt es weitere Fragen? Ich kriege hier das Signal, die Zeit drängt ein wenig. Bitte schön. Ganz, ganz kleinen Moment, das Mikro kommt. Ich hätte noch fragen, es war wegen dem Plug-in, ich glaube WP Security heißt das, von AIO oder so. Ich glaube vorher haben wir sie gesehen, das ist eine Sicherheit Plug-in, was auch zwei Fakte Autorisierung macht. Hast du da irgendwelche Erfahrungen damit? Habe ich bisher nicht verwendet. Also mir war, es gibt bestimmt andere gute zwei Faktor Plug-ins, auch für WordPress. Mir war halt einfach dieses Two-Factor aus dem Grund, dass es halt so nah am Core entwickelt wird, sehr sympathisch, weswegen ich das von Anfang an eingesetzt habe. Also mit anderen Plug-ins in dieser Richtung habe ich da bisher keine Erfahrungen. Okay, da habe ich noch eine Frage, es war wegen dem Datenschutz bei diesen Security Plug-ins, weil die Sammler glaube ich auch Happy-Adressen und so weiter, teilweise. Also zumindest bei dem Two-Factor wäre mir nichts bekannt, dass da irgendwie Daten übermittelt, gesammelt, übermittelt werden. Da gibt es technisch auch keine Notwendigkeit für, weil der Austausch Verfahrenstechnisch nicht über einen zentralen Authentifizierungs-Sorber läuft. Gibt es weitere Fragen? Dieses Web-Out, also die Frage, ich wiederhole das ganz kurz, war, wie dann, wenn es nicht über ein Authentifizierungs-Sorber läuft, dieses Web-Out-N stellt quasi eine Art lokalen Authentifizierungs-Sorber in der WordPress-Installation bereit und der Austausch funktioniert rein über diesen lokalen Authentifizierungs-Sorber in Verbindung mit meiner OTP oder meinem Security-Key oder meinem Pass-Key. Aber es ist nicht so, dass es jetzt einen externen Authentifizierungs-Sorber im Netz gibt, zu dem ich entsprechend die Verbindung aufbauen würde. Gerne. Ich habe auch noch eine Frage. Du kennst wahrscheinlich OnePassword. Das gibt mir die Möglichkeit, den OTP direkt auch mit im OnePassword, im Password Manager zu verwalten. Genau. Wie schätzt du das ein? Wird dadurch der zwei Faktor eigentlich nicht durch die Hintertübe da ausgehebelt, weil ich habe ja sowohl das Passwort als auch den OTP in einem einzigen Container. Genau. Also ich habe es in der einen Folie erwähnt, dass es die Möglichkeit gibt, denn als OTP nicht eine externe App auf dem Handy zu verwenden, sondern zum Beispiel mein Password Manager, in dem ich dann auch ein OTP-Key hinzufügen kann. Und sicherheitstchnisch bin ich persönlich kein Fan davon, aus dem einfachen Grund, wenn ich halt das MasterPasswort habe oder durch irgendeinen Grund in diesen Passwort Manager reinkomme, dann brauche ich auch keinen zweiten Faktor, weil wenn eh alles offen liegt, dann ja. Ansonsten, ich glaube, ich werde jetzt hier eiskalt abgewirkt. Ich danke für die Aufmerksamkeit und wenn es Fragen gibt, ich bin den ganzen Tag da, gerne melden. Ja, danke euch. Dankeschön, Matthias. Danke,