Titelbild: by foto-gustav
Begriffe
Vorab ein paar Begriffe, kurz erklärt:
YubiKey 5c ist ein Hardware-Security-Token des Herstellers Yubico (USA, Schweden) mit USB-C Schnittstelle, das verschiedene Möglichkeiten zur Erhöhung der Sicherheit von verschiedenartigen Online-Konten (Accounts), Zugängen etc. von unterschiedlichen Endgeräten aus, wie zB MacBook, iPad, iPhone etc. bietet.
Das Prinzip ist, wenn die Zugangsdaten wie Login-Anmeldename und -Password erraten oder gestohlen wurden oder die Hoheit des Endgeräts zum Beispiel durch einen Trojaner in unbefugte Hände mit möglicherweise bösen Absichten geraten ist, trotzdem noch ein Login auf das zu schützende Konto zu verhindern, da der Angreifer im körperlichen Besitz des Tokens sein muss. Additiv muss/kann das Token während der Einlog-Prozedur körperlich berührt werden, um sicherzustellen das derjenige körperlich am Endgerät ist.
Ziel ist es, dass das Risiko einer feindlichen Übernahme des eigenen Online-Kontos weitgehend auszuschließen oder zumindest deutlich zu minimieren. Das wird in letzter Zeit für dich immer relevanter, da Online-Dienste, wie Google und andere sogenannte High-Tech-Giganten Dich am allerwenigsten unterstützen, unsere rechtsstaatliche Abwehr in Europa eher schlecht als recht funktioniert und der Verfall der Regeln durch die profit- und machtgierigen Despoten und Diktatoren dieser Welt und deren Arschkriecher deutlich beschleunigt wird.
FIDO2 und WebAuthn: FIDO2 (Fast Identity Online Version 2) ist eine moderne Authentifizierungsmethode zur Multifaktor-Authentifizierung, die (ggf. erratene/gestohlene) Passwords bei der Anmeldung an Onlinediensten durch die Kombination von unterschiedlichen kryptografischen Methoden (u.a. WebAuthn-Protokoll, Verschlüsselung etc.) ersetzt oder ergänzt.
OTP ist die Abkürzung für ein Einmal-Verschlüsselungsverfahren (One-Time-Password)
Meine Best Practice
Schritt-für-Schritt-Anleitung für WordPress
- Voraussetzungen:
a) Admin-Zugang in‘s WordPress Backend (wp-admin)
b) Physischer Zugang zB USB-C für den YubiKey 5c
c) Endgerät mit aktuellem Betriebssystem und WebAuthn-fähigem Browser - auf einem zweiten unabhängigen Browser als weiterer Admin während der Konfiguration eingeloggt bleiben, um im Falle einer Fehlkonfiguration den Fehler ggf. korrigieren zu können – ohne sich selber auszusperren. Das bitte unbedingt vorher testen.
- Plugin
a) Plugin WebAuthn von Axton installieren, aktivieren und automatische Updates aktivieren
b) Plugin WebAuthn konfigurieren: Settings/Einstellungen
Prefered login method: WebAuthn Only/Nur WebAuthn (weitere Settings siehe Bild x)
Allow a specific type of authenticator (Roaming (e.g. USB security Keys/z.B. USB-Sicherheitsschlüssel)
Änderungen speichern - Profil des Admins bearbeiten
a) zum Abschnitt WebAuthn navigieren
b) WebAuthn Only: Disable password login/Passwortanmeldung deaktivieren wählen
c) Registriere Deinen YubiKey5c (siehe Bild y)
d) Profil speichern - Back-up registrieren
a) wiederhole Punkt 4. mit einem Back-up Key
b) beware den Back-up Key an einem sicheren Ort auf
Bilder folgen …
Text folgt …
Video folgt …
Weitere Beiträge für die Absicherung von Google-, mailcow– Instagram-Konten etc. mit Hardware-Token habe ich geplant und folgen demnächst.
Hinweis: Ich bevorzuge in meinen Texten aus Gründen der besseren Lesbarkeit das Generisches Maskulinum. Weibliche und andere anderweitige Geschlechtsidentitäten werden dabei ausdrücklich mit gemeint, soweit es für die Aussage erforderlich ist.
Dieser Blog verfolgt keine kommerziellen Interessen. Etwaige Werbung ist kostenfrei! #supportyourlocal
Neben dem hier vorgestellten Hardware-Token gibt es natürlich noch andere Zwei Faktor Authentifizierungsverfahren, wie zum Beispiel Telefon-Anruf oder SMS oder E-Mail oder zweites Endgerät etc. oder auch die biometrischen Möglichkeiten. Wie immer haben die einzelnen Methoden/Verfahren jeweils ihre Vor- und Nachteile.
Klar ist natürlich auch, dass es neben dem hier vorgestellten Produkt mit USB-C Anschluss auch noch andere Anschlusstechnologien und Übertragungsmöglichkeiten, sowie selbstredend andere Hersteller gibt.