Passwörter sind gebrochen. WebAuthn ist der neue Standard für die Authentifizierung

Kürzlich hat iThemes Security Pro Passkeys als primäre Authentifizierungsmethode für WordPress-Sites hinzugefügt. Diese bahnbrechende Version ist die erste ihrer Art im WordPress-Bereich und etwas, das Sie kennen sollten. Wieder einmal hat iThemes Security eine Führungsrolle bei der Bereitstellung außergewöhnlicher Sicherheitsfunktionen für WordPress-Benutzer bewiesen.

In diesem Beitrag gehen wir auf das Passwortproblem ein, was WebAuthn ist und warum Sie diese Technologie überall einsetzen werden. Wenn Sie ein WordPress-Site-Eigentümer sind, der die Anmelde- und Sicherheitsfunktionen für Ihre Endbenutzer verbessern möchte, steht Ihnen jetzt der neueste Standard für reibungslose Anmeldungen zur Verfügung.

Verstehen des Passwortproblems, das WebAuthn löst

Unser Online-Leben, einschließlich der von WordPress verwendeten Benutzerkonten, basierte auf Benutzernamen- und Passwortzugriff. Das ging eine Weile gut. Aber dann haben wiederverwendete Passwörter, Wörterbuch-Brute-Force-Angriffe und die Weitergabe von gehackten Kontodaten durch böswillige Akteure unser passwortbasiertes Sicherheitssystem ineffektiv gemacht.

Tatsächlich berichtet der DBIR-Bericht von Verizon für 2022, dass über 80 % der Sicherheitsverletzungen gestohlenen Zugangsdaten zugeschrieben werden können und dass gestohlene Zugangsdaten als primärer Angriffsvektor gegenüber der Ausnutzung von Sicherheitslücken um 30 % gestiegen sind.

Anmeldeinformationen bezieht sich auf die Kombination aus Benutzername und Passwort. Und die Daten von Verizon sagen uns eines: Passwörter sind gebrochen. Die Hinzufügung der Zwei-Faktor-Authentifizierung (2FA) war hilfreich, aber leider hat die zusätzliche Reibung und Komplexität dazu geführt, dass sie nur von 28 % der Benutzer übernommen wurde. Wir kapieren es; 2FA fügt Angreifern eine weitere Reibungsebene hinzu, erschwert aber auch die Anmeldung für Benutzer. Und im Fall von SMS-basiertem 2FA ist es einfach nicht sicher genug. Berichte über SIM-Port-Angriffe auf hochwertige Ziele sind nicht üblich, aber sie sind katastrophal, wenn sie auftreten.

Die FIDO (Fast Identity Online) Alliance hat daran gearbeitet, diese Probleme zu beheben, und WebAuthn ist die Spezifikation, die aus dieser Arbeit hervorgegangen ist.

In dieser Phase unseres digitalen Lebens werden Passwörter geknackt. Zum Glück gibt es einen neuen und besseren Weg zur Authentifizierung, und das ist WebAuthn.

Was ist WebAuthn?

WebAuthn ist die Abkürzung für Web Authentication API. Dies ist eine Spezifikation, die vom W3C und FIDO unter Beteiligung von Apple, Google, Mozilla, Microsoft, Yubico und anderen geschrieben wurde. Die WebAuthn-API ermöglicht Servern die Registrierung und Authentifizierung von Benutzern mithilfe der Kryptografie mit öffentlichen Schlüsseln anstelle eines Kennworts. Seit Januar 2019 wird WebAuthn auf Chrome, Firefox, Microsoft Edge und Safari unterstützt. Zum Zeitpunkt der Erstellung dieses Artikels wird WebAuthn von weit über 90 % der Geräte und deren Browser unterstützt.

WebAuthn ist Teil des FIDO2-Frameworks, einer Reihe von Technologien, die eine passwortlose Authentifizierung zwischen Servern, Browsern und Authentifikatoren ermöglichen. WebAuthn wurde vom World Wide Web Consortium standardisiert.

Jetzt, da so viele unserer Geräte biometrische Authentifizierung verwenden, wie FaceID auf Ihrem iPhone oder Fingerabdruckerkennung auf Ihrem MacBook, Windows Hello und vielen anderen, haben wir eine neue Methode, um festzustellen, ob ein Anmeldeversuch tatsächlich der gültige Benutzer ist oder nicht und kein Brute-Force-Angriff.

Wie funktioniert WebAuthn?

WebAuthn verwendet Public-Key-Kryptografie, um Verbindungen zwischen Benutzern und den von ihnen verwendeten Systemen zu sichern. Mit WebAuthn können Sie auf jeder Website, die den Standard unterstützt, eine einzelne Authentifizierungsmethode verwenden, z. B. die Biometrie auf Ihren Geräten oder einen YubiKey. Auf diese Weise benötigen Sie als Benutzer keine Passwörter für jede Website, die Sie besuchen, sondern nur einen starken Authentifikator, der mit WebAuthn funktioniert.

Mit dieser starken Authentifizierung anstelle eines Passworts können wir ein privates öffentliches Schlüsselpaar für eine Website erstellen. Der private Schlüssel wird sicher auf Ihrem Gerät (z. B. Ihrem Telefon oder Computer) gespeichert, und der öffentliche Schlüssel und die zufällig generierten Anmeldeinformationen werden zur Speicherung an den Webserver gesendet. Der Webserver und im Fall von iThemes Security Passkeys Ihre WordPress-Site können den öffentlichen Schlüssel verwenden, um die Identität des Benutzers zu überprüfen.

Dieser öffentliche Schlüssel ist kein Geheimnis. Wenn der Webserver oder die WordPress-Site jemals gehackt wird, sind die mit dem öffentlichen Schlüssel gespeicherten Anmeldeinformationen für einen Angreifer nutzlos. Der öffentliche Schlüssel kann einfach nicht ohne den privaten Schlüssel verwendet werden.

Um zu verstehen, wie WebAuthn tatsächlich funktioniert, bietet das FIDO2-Projekt einige großartige Ressourcen.

WebAuthn verändert die Sicherheitslandschaft

WebAuthn ist wirklich bahnbrechend in der Welt der Sicherheit. Datenbanken sind für Hacker nicht mehr so ​​attraktiv, weil die öffentlichen Schlüssel für sie nicht nützlich sind. Außerdem erschwert WebAuthn den Diebstahl von Anmeldeinformationen.

Und für Endbenutzer beseitigt WebAuthn die Notwendigkeit, sich mehrere Benutzernamen und Kennwörter zu merken. Alles, was ein Benutzer auf einem MacBook zum Beispiel braucht, ist sein Fingerabdruck, um sich bei seiner Website anzumelden, die mit iThemes Security Passkeys aktiviert ist.

Apple, der WebAuthn implementiert hat, weist auch darauf hin, dass WebAuthn vor Phishing-Angriffen schützt. Ein Phishing-Angriff, der Benutzern per E-Mail Links zu gefälschten Anmeldebildschirmen zusendet, wäre ohne Passwörter nicht effektiv. Ein Benutzer, der Passkeys für die Kontoanmeldung verwendet, hätte nicht einmal ein Passwort, das er einem böswilligen Phishing-Formular zur Verfügung stellen könnte. Die Authentifizierung wird vollständig durch den auf ihrem Gerät gespeicherten privaten Schlüssel abgewickelt, der mit dem auf dem Webserver gespeicherten öffentlichen Schlüssel kommuniziert. WebAuthn macht sowohl zufällige Phishing-Angriffe als auch gezielte Spearphishing-Angriffe effektiv völlig unwirksam.

Das Sicherheitsspiel hat sich mit WebAuthn geändert. Es kann zwar einige Zeit dauern, bis Brute-Force-Angriffe und Passwortdiebstahl für böswillige Angreifer weniger attraktiv werden, aber proaktive Websitebesitzer, die sich für die Implementierung von WebAuthn entscheiden, werden führend sein, wenn es darum geht sicherzustellen, dass ihre Websites nicht mehr Teil des Spiels sind.

Reibungslose Anmeldungen sorgen für zufriedenere Kunden

Diese Websitebesitzer bieten ihren Benutzern, Kunden, Studenten oder allen, die sich bei ihren WordPress-Websites anmelden, auch eine zusätzliche wertvolle Funktion. Anstatt reibungslose Multi-Faktor-Authentifizierungsprotokolle zu verlangen, um sicherzustellen, dass die WordPress-Site sicher bleibt, ermöglicht WebAuthn, das von iThemes Security implementiert wird, Websitebesitzern, eine reibungslose passwortlose Anmeldung bereitzustellen, während ihre Website für Hacker weniger attraktiv wird.

Weitere Implementierungen von WebAuthn sind in Vorbereitung

Sie könnten sich ansehen, wie lebensverändernd diese Technologie ist, und sich fragen, warum nicht mehr Websites, Dienste und Apps WebAuthn verwenden. Diese Technologie ist zwar bahnbrechend, aber auch sehr neu. Das Hinzufügen von WebAuthn zu Legacy-Diensten erfordert eine gewisse Umgestaltung. Aber wie wir bei vielen neuen Technologien gesehen haben, die die Landschaft verändern, kommt sie. Die Notwendigkeit, über Kennwörter hinauszugehen, ist ein eindeutiger Treiber. Und da immer mehr Benutzer reibungslose Anmeldefunktionen erleben, werden wir allmählich Benutzeranfragen sehen, um passwortlose Anmeldungen zu erweitern.

Auf diese Weise hat sich iThemes Security als führender Anbieter von WordPress-Sicherheit etabliert und die Art und Weise verändert, wie sich WordPress-Benutzer anmelden. iThemes Security Passkeys ist die erste Implementierung von WebAuthn im WordPress-Bereich und wird sicherlich der Standard für die Zukunft sein.

Um jetzt iThemes Security Passkeys für Ihre WordPress-Site zu erhalten, benötigen Sie iThemes Security Pro. Glücklicherweise können Sie dies derzeit zu einem reduzierten Preis erhalten. Diese niedrigen Preise werden Sie jedoch nicht lange sehen. Der Verkauf endet am 30. September 2022.

Kathy Zant

Kathy ist Product Marketing Manager für Kadence bei StellarWP und arbeitet seit über einem Jahrzehnt mit WordPress. Sie hat sowohl technische als auch Marketingerfahrung und hat mit einer Reihe von Marken im WordPress-Bereich gearbeitet. Sie hat zahlreichen Organisationen geholfen, ihre Geschäfte mit WordPress zu stärken. Sie hat bei der Organisation von WordCamp Phoenix und WCUS geholfen. Sie lebt derzeit außerhalb von Denton, TX, wo sie oft mit Golden Retrievern spazieren geht oder in Pferdeställen herumhängt.