 Müsste hoch, hoch, hoch, hoch, hoch, hoch, hoch, hoch. Ja, sehr gut. So, hallo zusammen. Ich will euch was zur Absicherung von WordPress mithilfe eines zweiten Faktors erzählen. Zu mir, mein Name ist Matthias Kurz. Ich bin 1984 im Saarland geboren, lebe in Köln oder bald wieder in Köln, wie man das nehmen will. Ich habe eine Ausbildung zum Fachinformatiker für System Integration gemacht, eine Weiterbildung zum geprüften IT-Projektleiter und bin Gründer und Geschäftsführer auf den WP Projects, einem auf WordPress Hosting spezialisierten Unternehmen. Hab dadurch natürlich auch in meinem beruflichen Alltag viel mit der Absicherung von WordPress zu tun. Ich bin auf Twitter zu finden unter Matzo.io mit meinem privaten Account und unter www.wpprojects.de mit dem Firmenaccount. In der Community organisiere ich regelmäßig WordCamps und Meetups. Ich bin unter anderem auch hier im Orgerteam und hoffe, dass es euch gefällt bis jetzt. Was ist zwei Faktor-Autentifizierung? Den Text müsst ihr nicht lesen. Es steht da eigentlich nur drin, dass man nachher was zum Nachlesen hat. Letzten Endes geht es darum, man möchte einen Nutzer identifizieren. Kannst du ein kleines bisschen runter drehen? Danke schön. Jetzt ist weg, ein bisschen hoch oder? So, versuchen wir es so. Hört mich jeder, ja? Perfekt. Es geht letzten Endes darum, einen Nutzer zu identifizieren. Das kann man anhand mehreren Faktoren machen. Ein Faktor kann zum Beispiel etwas sein, dass man besitzt. Ein Faktor kann aber auch etwas sein, dass man weiß. Oder ein Faktor kann auch ein körperliches Merkmal sein, zum Beispiel ein Fingerabdruck. Ein ganz bekanntes Verfahren für mehr Faktor-Autentifizierung ist der klassische Vorgang des Geldabhebens. Wenn ich also zu meiner Bank gehe, schiebe ich meine Bankkarte, meinen ersten Faktor in den Bankautomaten ein. Und der Bankautomat fordert mich dann auf, mich zu identifizieren mit dem zweiten Faktor. Das ist meine Pinnummer, die nur ich kenne und nur im Zusammenspiel ist dieser Vorgang des Geldabhebens erfolgreich. Und eine solche zwei Faktor-Autentifizierung lässt sich auch im IT-Bereich dazu nutzen, Systeme abzusichern. Zum Beispiel kann man das machen mit einem Security-Key. Und solche Security-Key sehen im Prinzip aus wie so ein USB-Stick. Die gibt es mit USB-A-Anschluss oder für die neueren Notebooks auch mit dem kleineren, dem USB-C-Anschluss. Die funktionieren nach dem sogenannten U2F-Standard, was das ist, erzähle ich gleich noch. Und die sind kostengünstig ab bereits fünf Euro erhältlich. Wobei man sagen muss, die bisschen besseren Modelle, die aus Plastik und dann nicht aus Papier sind, kosten um die zehn Euro. Und Modelle, die auch ein bisschen langlebiger sind, sollte man so ungefähr 20 Euro für einen solchen Stick dann einplanen. Ich habe auf meinem privaten Blog unter Matzo.io einen Beitrag dazu geschrieben, welchen Ubiqui man kaufen sollte, ein paar Merkmale dazu geschrieben und das Ganze kann man dann dort entsprechend nachlesen. Was ist U2F? U2F steht für Universal Second Factor, also auf Deutsch universeller zweiter Faktor. Das ist ein Industriestandard, der von verschiedenen Unternehmen geschaffen wurde, um diesen im Internet zu etablieren. Da hängen also sehr namhafte Unternehmen mit drin. Da ist zum Beispiel PayPal mit drin, Lenovo ist mit drin, es sind verschiedene Banken mit drin, Google ist mit drin, Samsung, also wirklich große Internetkonzerne, die diesen Standard gemeinsam geschaffen haben. Und es gibt also auch sehr viele Dienste im Internet, die den U2F-Standard unterstützen. Das wäre zum Beispiel WordPress mit einem Plug-in. Das zeige ich auch gleich live, wie das ganze aussieht und funktioniert. Das wäre Google Mail, kann man damit absichern. Dropbox, GitHub, Facebook, es gibt da kaum Grenzen, also sehr viele Dienste, die sich damit entsprechend absichern lassen. Man kann mit einem solchen Stick aber auch zum Beispiel die Benutzeranmeldung an seinem Windows, Mac oder Linux Rechner absichern, sodass es da nur möglich ist, sich am Rechner überhaupt anzumelden, wenn ich mein Passwort eingegeben habe und dieser Stick überhaupt gesteckt ist. Was passiert denn jetzt, wenn ich mein System so eingerichtet habe, dass ich einen Stick benötige, um mich irgendwo anmelden zu können? Und ich verliere diesen Stick, das kann ja durchaus passieren. Die erste Möglichkeit in einem solchen Fall wäre, immer eine Kopie des Sticks zu haben. Auch da zeige ich gleich in der praktischen Demo, wie das genau aussehen kann. Ansonsten kann man sich aber beim Anwendungsfall WordPress auch verschiedene Codes generieren lassen, die den Sicherheitskey dann ersetzen, die ich zu Hause also irgendwo sicher deponieren kann. Ich kann das ganze über ein sogenanntes One-Time-Passwort machen, zum Beispiel mit einer Authenticator-App auf meinem Smartphone, dem Google Authenticator zum Beispiel. Oder ich kann das auch über eine E-Mail machen, dass mir also WordPress quasi, wenn ich jetzt mein Passwort eingebe und habe mein Stick verloren, eine E-Mail zusendet und ich diese E-Mail zusätzlich bestätigen muss, bevor der Lock-in entsprechend erfolgreich ist. Ich würde euch das jetzt am liebsten mal einmal praktisch zeigen, wie das aussehen kann. Und zwar habe ich dazu eine kleine Demo-Seite vorbereitet. Und das, was wir hier sehen, können wir eigentlich alle ganz normale WordPress-Lock-in-Oberfläche. Jetzt habe ich hier solche Keys dabei. Einmal den Key in Klein mit USB-C Anschluss und einmal in Groß mit dem klassischen USB-Anschluss. Und bevor wir damit jetzt anfangen, schauen wir uns mal bei WordPress.org an. Plug-ins. Wie es überhaupt um solche zwei Faktor Plug-ins bestellt ist, was es da gibt. Wenn man danach sucht, gibt es eine gewisse Auswahl davon, dass womit wir uns hier beschäftigen, ist dieses Plug-in hier das 2-Factor. Es hat einen bestimmten Grund. Wenn man hier unten guckt, wer alles an diesem Plug-in mitarbeitet, das sind alles namhafte Entwickler in der WordPress-Szene. Dieses Plug-in soll irgendwann mal so Gott will in den WordPress Core einfließen. Also irgendwann soll es so sein, dass man diese Sicherheitsfunktionalitäten überhaupt nicht mehr nachrüsten muss, sondern das ganze direkte Funktion ist, die in WordPress entsprechend eingebaut ist. Das Plug-in wird regelmäßig aktualisiert und arbeitet für unsere Zwecke ganz wunderbar. So, um das zu installieren, ganz gewöhnlicher Vorgang. Einmal 2-Factor suchen. Hier wird es mir angezeigt, das Plug-in einmal installieren und entsprechend aktivieren. In meiner Plug-inübersicht sehe ich jetzt, dass ich hier gar nicht so wahnsinnig viele Einstellmöglichkeiten habe, denn die Konfiguration dieses Plug-ins erfolgt komplett im Benutzerprofil. Das heißt, all diese Einstellungen, die ich hier jetzt setze, kann ich für jeden einzelnen Benutzer getrennt setzen. Es ist keine globale Einstellung, sondern es lässt sich wirklich so einrichten, dass zum Beispiel die Benutzer, die Administratorenrechte haben, diesen zweiten Faktor nutzen müssen und Benutzer, die lediglich Autorenrechte beispielsweise haben, diesen zweiten Faktor nicht brauchen. Das lässt sich also sehr granular steuern. Wenn ich jetzt hier in Profil runter gehe, sehe ich hier unten verschiedene 2-Faktor-Optionen. Zum einen hier die E-Mail, zum anderen ein Einmal-Passwort, das ich zum Beispiel mit Google Authenticator nutzen kann und hier dann auch den Fido Universal Second Faktor U2F und das ist genau das, was wir jetzt einrichten möchten. Hier sehe ich also Security Keys und jetzt möchte ich diesen Key erst mal mit meiner WordPress-Installation verbinden. Dazu schließen wir das einmal an, in der Hoffnung, dass das Bild nicht weggeht. Sieht gut aus. Und jetzt klicke ich hier einfach auf neuen Key registrieren. Sehe hier oben, will ein Konto mit einem Sicherheitsschlüssel erstellen und jetzt tippe ich den Schlüssel einfach einmal an. Und jetzt sehe ich hier unten neuer Security Key hinzugefügt. Am 23. März kürzlich verwendet. Ich kann diesen Key jetzt umbenennen. Ich kann also jetzt sagen, das ist der Ubi Key in dem Fall von Matthias Kurz und kann das Ganze speichern. Wenn ich jetzt möchte, dass ich mich in Zukunft nur noch anmelden kann, wenn dieser Key gesteckt ist, dann aktiviere ich hier die U2F-Funktion und aktualisiere das Profil einmal. Und wenn ich mich jetzt auslogge und wieder einloggen möchte, sehe ich hier, dass mir angezeigt wird jetzt Security Key einfügen und antippen. Ich habe den jetzt immer noch drin, ich tippe da drauf und erst wenn ich den Key angetippt habe, bin ich entsprechend in meinem WordPress Admin Bereich eingeloggt. Das bedeutet, in dem Fall, selbst wenn mein Passwort irgendwie erraten wird, bekannt wird oder sonst irgendwas, kann man rein mit dem Passwort überhaupt nichts anfangen. Ist natürlich ein sehr einfacher und trotzdem sehr wirksamer Schutz. Jetzt möchte ich aber hingehen und möchte mich da so ein Stück weit absichern und sage hier zum Beispiel, ich möchte auch, dass zum Beispiel der Google Authenticator verwendet werden kann. Ich mache das jetzt einfach mal mit dem Smartphone. Ich scann den jetzt also im Prinzip ab und jetzt sehe ich in meinem Authenticator hier unten WordPress Camp Osnabrück. Ich gebe einmal den Bestätigungskode aus der App ein, speichere das und sehe jetzt, dass ich also hier den U2F einmal als primäre Option, als Hauptoption aktiviert habe und zusätzlich also die Option des Einmal Passwords drin habe. Aktualisiere das ganze noch mal und wenn ich mich jetzt anmelden möchte und habe den Stick verloren oder nicht dabei oder in einem anderen Computer oder wie auch immer, kann ich mich ganz normal anmelden. Das System sagt mir jetzt jetzt Security Key einfügen und antippen, den habe ich natürlich nicht da. Ich sehe hier unten aber Backup Methode verwenden zeitlich limitiertes Einmal Password. Dann klicke ich hier drauf und gebe dann einfach aus meinem Authenticator entsprechend das jeweils gültige Einmal Passwort ein und bin ebenfalls eingelockt. Ich könnte das jetzt noch beliebig weiterspielen. Ich könnte zum Beispiel auch sagen, bin so schusselig. Ich verliere nicht nur meinen Security Key, sondern mein Handy verliere ich auch ab und zu und was mache ich dann? Kann ich tatsächlich hingehen und Backup Codes erstellen lassen. Das heißt, wenn ich hier jetzt drauf klicke, Verifizierung Codes generieren, dann zeigt er mir 10 Codes an. Die werden nur einmal angezeigt. Ich könnte die jetzt runterladen. Ich kopiere mir jetzt nochmal einfach einen raus. Könnte diese jetzt ausdrucken, abschreiben, irgendwohin speichern, wo sie halt nicht verloren gehen zu Hause. Und wenn ich jetzt das Profil aktualisiert habe und möchte mich dann einloggen, dann kann ich hier unten auswählen eine andere Backup Methode und kann dann sagen Einmal Passwort mit Google Authenticator zum Beispiel oder eben den Backup Verifizierung Codes. Den hatte ich mir jetzt vorher rauskopiert und kann mich dann mit diesem Verifizierung Codes einloggen. Wenn wir jetzt wieder ins Benutzer Profil reinschauen, sehen wir hier das 9 unbenutzte Codes verbleiben. Also das heißt, dieser Code funktioniert dann tatsächlich auch nur ein einziges Mal für einen Login. Die schöne Funktion hierbei ist, ich kann wie ich das vorhin sagte jetzt auch einen neuen Benutzer anlegen und kann dem jetzt zum Beispiel ein Administratorecht geben. Das machen wir anders. Und kann jetzt also sagen, für den Benutzer Testus möchte ich das Ganze komplett unabhängig davon konfigurieren. Ich kann also hingehen, wenn ich jetzt ein größeres Team habe, mehrere Mitarbeiter, jeder Mitarbeiter kriegt seinen Newbie Key zum Beispiel oder auch zwei davon und ich kann jedem Mitarbeiter von vorne herein den Zugang an einen solchen Security Key binden. Das Schöne ist, diese Keys funktionieren gleichzeitig in mehreren WordPress Installationen. Also ich brauche nicht für jede WordPress Installation einen eigenen Key, sondern ich kann meinen Key einfach mit mehreren WordPress Installationen verheiraten quasi und kann das dann entsprechend nutzen. Genau. Ein wichtiger Punkt ist noch, im Moment ist das ein Plug-in. Das bedeutet natürlich auch, da es ein Plug-in ist, lässt es sich wie jedes andere Plug-in deaktivieren. Habe ich also jetzt überhaupt kein Zugriff mehr darauf. Kann ich an gar nichts mehr erinnern. Kann ich mich immerhin noch per SSH oder per FTP verbinden und kann dann das Plug-in entsprechend deaktivieren und dann ist die zwei Faktor Funktionalität auch aus dem System wieder raus. Das habe ich noch nicht ausprobiert, aber grundsätzlich müsste das funktionieren, denke ich. Dürfte nix dagegen sprechen. Also die Frage war, ob man das Ganze als Mastius Plug-in quasi bereitstellen kann. Die Antwort darauf, grundsätzlich müsste das funktionieren, denn die zwei Faktor-Authentifizierungsfunktionalität wird halt erst im Benutzerkonto dann bereitgestellt. Also das Plug-in ist da, die Funktionalität ist aber noch nicht aktiv. Tatsächlich bin ich mit dem Teil auch schon durch. Gibt es Fragen dazu? Bitte. Also die Frage war, ob es möglich ist, sich mit dem Fingerabdruck beispielsweise anzumelden. Da ist mir jetzt im Moment noch nix bekannt, dass das geht. Ein kurzer Hinweis noch, diese U2F-Funktionalität, die notwendig ist, um einen solchen Stick betreiben und bedienen zu können, das Ganze geht nur dann, wenn ich den Firefox oder den Chrome-Browser verwende. Safari hat diese Funktion nicht integriert. Warum? Keine Ahnung, es sollte eigentlich mittlerweile einfach Standard sein. Es gibt Möglichkeiten, das bei Safari nachzurüsten bei irgendwelche inoffiziellen Extensions und wie gut das funktioniert, weiß ich nicht. Offiziell sind nur Firefox und Chrome entsprechend unterstützt. Bitte. Die Frage ist, wenn das Google-Passwort, also dieses Einmal-Passwort benutzt wurde, ist es weg? Ist es nicht mehr gültig? Wie bekommt man das nächste Passwort? Also in dieser Authenticator-App ist es so, dass hier immer angezeigt wird, dass eine gewisse Zeit abläuft. Das heißt, es wird jetzt rot. Rot heißt, es ist nur noch ein kurzen Moment gültig und dann ist ein neues Kennwort da. Das heißt, das System selbst, wie auch die App auf dem Gerät, wissen genau, welches der nächste Token sein wird. Und wenn das eine abgelaufen ist, verwende ich einfach das nächste, das automatisch generiert wird. Bitte. Also die Frage war, wenn ich jetzt keine weiteren Methoden wie ein Einmal-Passwort verwende, sondern nur den Ubiky verwende und ich möchte das Ganze am iPad nutzen, wie es sich dann verhält. U2f beim iPad habe ich tatsächlich noch nie ausprobiert. U2f basiert aber, es wird jetzt ein bisschen technisch, ich führe es nicht aus, basiert auf dem sogenannten Challenge-Response-Verfahren. Und da findet ein Austausch von Schlüsseln statt bzw. ein Austausch von einem Hash-Wert. Und es gibt auch Passwort-Manager, Bitwarden zum Beispiel, der auf dem iPad läuft. Und bei Bitwarden kann ich den Ubiky mit USB-C Anschluss auch problemlos nutzen. Also da lässt sich das Ganze als zweiter Faktor nutzen. Wenn du Lust hast, ich habe ein iPad Pro da, wir können uns das einfach gleich mal angucken, testweise. Können wir nach der Session gerne mal machen. Die Frage war jetzt, ist es sicherer, nur eine statt drei oder vier Methoden des zweiten Faktors in der Benutzerverwaltung zu aktivieren. Ob das sicherer ist, es ist schwer zu sagen. Also je weniger Zugangsmöglichkeiten da sind, umso besser ist es natürlich. Auf der anderen Seite setzt ja diese zwei Faktor-Autentifizierung wirklich voraus, dass ich beide Faktoren habe. Also ich muss entweder den Key haben und das einmal Passwort haben und ich muss natürlich, damit sich überhaupt was tut, das richtige Kennwort überhaupt für einen WordPress-Admin-Account haben. Das heißt, wenn ich zwei Faktoreinsätze, befreit mich das natürlich nicht davon, ein sicheres Kennwort zu haben. Das sollte ich so oder so. Ich würde einfach mal sagen, zwei Faktor ist gewöhnungsbedürftig. Das heißt, ich halte zu zwei Faktor seit drei Jahren Vorträge zu verschiedenen Themen, was man alles mit zwei Faktor machen kann. Und ich sitze heute noch gerne am Schreibtisch und denke mir, der Schlüssel ist im Rucksack. Also das passiert mir heute auch noch, weil man muss es sich angewöhnen. Ich versuche das mittlerweile so ein bisschen wie den Haustürschlüssel für zu Hause zu betrachten. So betrachte ich den als Computerschlüssel quasi. Und wenn es mir jetzt wirklich passiert, dass ich den Stick immer dort habe, wo ich grad nicht rankomme, dann würde ich vielleicht einen zweiten, dann würde ich eine Backup-Methode wie Google einmal Passwort aktivieren. Und ansonsten würde ich eher dazu hingehen, zum Beispiel mit dem Benutzerkonto in der WordPress-Installation einfach zwei oder vielleicht auch drei Keys zu verbinden. Das geht nämlich genauso. Und dann kann ich halt sagen, okay zur Not den Key, den ich am Schlüsselbund vielleicht habe, den kann ich immer noch mal verwenden. Da war die Frage zuerst, bitte. Richtig. Die Frage war oder der Hinweis zuerst war, dass ich jetzt von den verfügbaren vier Backup-Methode nur drei gezeigt habe und die Backup-Methode den zweiten Faktor über eine gesendete E-Mail darzustellen, nicht gezeigt habe und die Frage, die damit verbunden war, ist, ob ich das als unsicherer Empfinde als die anderen Backup-Methoden, sagen wir mal so, der Link wird natürlich auch unverschlüsselt irgendwo übers Netz übertragen. Es ist eine normale E-Mail. Ich finde einfach, dass ich davon keinen wirklichen Komfort gewinnen habe. Man kann das mit Sicherheit nutzen und den zweiten Faktor mit einer E-Mail ist mit Sicherheit besser als nur einen Faktor zu haben. Wenn ich mir aber die Mühen-Anführungszeichen machen möchte, sowas wirklich abzusichern, dann würde ich es mit einer der möglichst sichersten Funktionen machen. Da fällt jetzt meiner Meinung nach E-Mail nicht unbedingt runter. Aber man kann das nutzen, das ist jetzt kein No-Go oder so. Bitte. Also der Hinweis war, dass das für die Absicherung von WordPress eine gute Lösung ist, dass aber das größere Einfallstor ja gerne noch die Hoster-Verwaltungsoberflächen sind. Und ich sage mal so, je nach Hoster kann man diese Verwaltungsoberflächen auch mit einem zweiten Faktor absichern. Also man kann das, ich würde persönlich tatsächlich auch ein bisschen auswählen oder nachfragen, ob mein Anbieter oder Dienst, den ich nutzen möchte, sowas anbietet. Denn ich kann zum Beispiel auch hingehen, nicht nur mein WordPress absichern und nicht nur meine Hoster-Plattform absichern, sondern zum Beispiel auch meinen Passwortmanager, den ich verwende, absichern, damit ich auch da an Passwörtern nicht nur mit dem Masterpasswort rankomme, sondern auch da nur rankomme, wenn ich entsprechend dort einen zweiten Faktor im Einsatz habe. Gibt es weitere Fragen? Sieht nicht so aus. Dann vielen Dank für Ihre Aufmerksamkeit. Und ich werde die Folien unter www.wpprojects.de im Blog hochladen. Beziehungsweise, die sind sogar schon drin. Ich prüfte es noch mal. Und ja, dann wünsche ich euch einen vergnügsamen Abend. Dankeschön. Vielen Dank.