Passkeys für WordPress: Phishing-sichere Anmeldung mit WebAuthn
Die Passkey-Anmeldung bei WordPress beseitigt das einzige Mittel, auf das Angreifer setzen: ein Geheimnis, das durch Phishing abgegriffen werden kann. ReportedIP implementiert Passkeys mit WebAuthn/FIDO2 direkt im Kern – Face ID, Touch ID, Windows Hello und YubiKey – ohne Abhängigkeit von Composer.
In diesem Leitfaden wird erläutert, warum Passkeys gegen Phishing geschützt sind, wie die hauseigene Implementierung von Hive funktioniert und wie man sie neben den anderen 2FA-Methoden anbieten kann.
Was ist ReportedIP ?
ReportedIP ist ein umfassendes WordPress-Sicherheits-Plugin, das 12 Angriffssensoren, vier 2FA-Methoden, progressive Sperrmechanismen und opt-in-basierte Bedrohungsinformationen aus der Community vereint. Passkeys sind eine der vier kostenlosen 2FA-Methoden. Der vollständige Funktionsumfang von ReportedIP deckt den Rest ab.
Warum Passkeys besser sind als Einmalcodes
Ein TOTP- oder SMS-Code kann auf einer gefälschten Anmeldeseite eingegeben werden; ein Passkey hingegen nicht. WebAuthn bindet die Anmeldedaten an die Herkunftsdomain der Website, sodass der Authentifikator die Authentifizierung für eine gefälschte Domain schlichtweg verweigert. Es gibt kein gemeinsames Geheimnis, das gestohlen werden könnte, keinen Code, der weitergeleitet werden könnte, und nichts, was ein Phishing-Kit abfangen könnte. Deshalb sind Passkeys der stärkste zweite Authentifizierungsfaktor, den Hive bietet.
Eine Eigenentwicklung, keine Abhängigkeit von Drittanbietern
Die WebAuthn-Unterstützung von Hive wurde intern entwickelt, einschließlich einer eigenen CBOR-Parser-Funktion – es wird kein Composer-Paket dafür herangezogen. Dadurch bleibt die Abhängigkeitsfläche überschaubar und nachvollziehbar: Der Passkey-Code ist im Plugin enthalten, das Sie auf GitHub einsehen können, und nicht in einer als Vendor-Datei eingebundenen Blackbox. Die Funktion ist mit plattformbasierten Authentifizierern (Face ID, Touch ID, Windows Hello) und Roaming-Schlüsseln (YubiKey und andere FIDO2-Hardware) kompatibel.
Passkeys als Teil des Gesamtkonzepts der Zwei-Faktor-Authentifizierung
Ein Passkey gilt als gültiger zweiter Faktor, der nicht per E-Mail erfolgt, und erfüllt somit die Anforderung für die Passwortzurücksetzung, die verhindert, dass Nutzer mit reinen E-Mail-Konten ihr Passwort eigenständig zurücksetzen können. Verliert ein Nutzer sein Gerät, ermöglicht ihm der bei der Registrierung gespeicherte Einmal-Wiederherstellungscode den erneuten Zugriff. Der Schutz vor falschen Anmeldeversuchen wird über dieselbe Ratenbegrenzungsleiter mit dem Rest der 2FA-Suite geteilt (3/5/10/15 Fehlversuche → 30 s / 5 min / 30 min / 1 Std., dann eine echte Sperre).
So aktivieren Sie Passkeys
WebAuthn unter Einstellungen → Zwei-Faktor-Authentifizierung, dann registriert jeder Benutzer einen Passkey über sein Profil – der Browser fordert zur Eingabe des Plattform-Authentifikators oder des Hardware-Schlüssels auf. Bei Headless-Abläufen sind die Registrierungs- und Authentifizierungs-Handshakes über die reportedip-hive/v1 REST-Namensraum (/2fa/challenge, /2fa/verify, /2fa/methods).
Verwandte Anleitungen
- Alle vier in den Kern integrierten 2FA-Methoden
- WooCommerce 2FA im Storefront-Theme
- Verwalteter E-Mail- und SMS-Relay-Dienst für OTP-Fallbacks
Die Dokumentation zur Authentifizierung enthält eine Schritt-für-Schritt-Anleitung zur Einrichtung. Sehen Sie sich die vollständigen AnleitungenReportedIP an oder lesen Sie die Spezifikation auf der W3C -Seite zu WebAuthn Level 2.