La oss dykke ned i verdenen av passordfri innlogging for WordPress, et område i rask utvikling som peker mot fremtiden.
Passord, som en gang var selve symbolet på sikkerhet, ser nå ut til å være på vei ut. Ironisk nok har de skapt flere utfordringer enn de har løst.
Først forsøkte vi å håndtere dette med komplekse passord, deretter kom tofaktorautentisering, noe som medførte ekstra trinn, og merarbeid som de færreste ønsket seg.
Nylig har en annen tilnærming dukket opp, kjent som «magiske lenker». Med denne metoden skriver du inn brukernavnet ditt og klikker deretter på en lenke som sendes til e-posten din i stedet for å bruke et tradisjonelt passord.
Selv om dette regnes som sikrere, ettersom du kun trenger å beskytte e-postkontoen din og nyte godt av den sikkerheten alle andre steder, er det ikke den raskeste løsningen.
Passordfri Innlogging i WordPress
WordPress er kjent for sin brukervennlighet, noe som samtidig medfører en økt risiko for sikkerhetsbrudd. Selv om det er mulig å kreve bruk av sterke passord gjennom iThemes Security, er målet å gjøre det enkelt og sikkert på samme tid.
Kort fortalt, iThemes Security er et viktig sikkerhetsverktøy for WordPress-prosjekter, tilgjengelig i både gratis- og betalversjoner. Det er et plugin som forenkler sikkerhetsarbeidet i WordPress.
Selv om dette er en selvstendig guide, kan det være nyttig å lese vår anmeldelse av iThemes Security Pro først.
iThemes Security Pro tilbyr, i tillegg til en rekke andre funksjoner, muligheten til å implementere brukervennlige biometriske innlogginger på WordPress-siden din. Dette betyr at du kan bruke funksjoner som Apple (Touch ID, Face ID), Android (fingeravtrykk, PIN-kode, mønster) og Windows (Windows Hello).
Ved aktivering vil brukerne se denne meldingen på innloggingssiden:
Dette gir et alternativ (og enklere) måte å logge inn på WordPress-nettstedet.
Forståelse av Adgangsnøkler
Denne innloggingsmetoden uten passord benytter den lokale autentiseringsinformasjonen som vi allerede bruker på enhetene vi eier fysisk, som smarttelefoner eller bærbare datamaskiner.
Dette er ikke bare den enkleste måten å låse opp WordPress på, men også den sikreste.
For eksempel er det en risiko for at du kan oppgi brukernavnet og passordet ditt til en falsk (phishing) WordPress-innloggingsside. Det er ingen slike svakheter med adgangsnøkler.
Adgangsnøkler støttes av WebAuthn, en kryptografisk autentiseringsmetode som bruker et offentlig og privat nøkkelpar.
De offentlige nøklene lagres i skyen, mens de private nøklene er lagret lokalt på enheten din. Når du bruker fingeravtrykket ditt på WordPress-innloggingssiden, bekreftes identiteten din, og du sendes videre til dashbordet.
I praksis betyr dette at du kun trenger å beskytte den biometriske informasjonen din, i stedet for brukernavn og passord, som nettkriminelle kan stjele gjennom phishing.
Utviklingen av WebAuthn har også sett deltagelse fra ledende teknologigiganter som Google, Microsoft, Mozilla, Yubico og andre, noe som gjør løsningen trygg og robust.
Kort sagt, det er en sikker og solid løsning.
Konfigurasjon av Biometrisk Innlogging
Selv om denne metoden er basert på avansert sikkerhet, er implementeringen svært enkel.
Først trenger du et iThemes Pro-abonnement.
Deretter går du til Sikkerhet > Innstillinger i sidepanelet i WordPress-dashbordet. Til slutt aktiverer du bryterne for passordfri innlogging og passord.
Uten adgangsnøkler ville innlogging kun vært mulig med «magiske lenker». Men dette vil bli erstattet med adgangsnøkler hvis du slår dette på, med mindre du aktiverer begge deler (dette vil vi diskutere nærmere senere).
Nå velger administratoren brukerne som skal benytte denne nye innloggingsmetoden. Du finner dette alternativet under «Brukergrupper» i iThemes Security Pro-dashbordet.
Du kan enten velge fra forhåndsdefinerte brukerklasser (administratorer, forfattere, redaktører, abonnenter osv.), eller opprette en egendefinert gruppe med «Ny gruppe»-alternativet.
Deretter aktiverer administratoren passordfri innlogging for de valgte brukergruppene:
Du kan også aktivere både «magisk lenke» og «adgangsnøkler» fra kategorien Konfigurer > Innloggingssikkerhet i iThemes-sikkerheten.
Dette vil nå vise innloggingssiden med enten «E-post magisk lenke» eller «Bruk din adgangsnøkkel»:
Ved å klikke på den «magiske lenken» sendes en e-post med en innloggingslenke til den registrerte e-postadressen. Den andre metoden vil imidlertid gi en feilmelding med mindre du først oppgir passordet.
Bruk av Adgangsnøkler
Det første trinnet i oppsettet for biometrisk autentisering er å bruke innlogging med passord, som du finner under knappen «Bruk din adgangsnøkkel».
I testfasen var det ikke mulig å bruke passordfri innlogging utelukkende med WordPress-innlogging. Derfor er det viktig å sørge for en streng passordpolicy, da en bruker fortsatt kan bruke et svakt passord. Disse alternativene finner du under «Brukergrupper > Funksjoner». Du kan også angi passordets alder under «Konfigurer > Innloggingssikkerhet > Passordkrav».
Når du har logget inn på vanlig måte, vil hver bruker bli bedt om å konfigurere passordinnlogging. «Legg til passord» fører deg til alternativene som er tilgjengelige basert på den lokale enheten.
For eksempel ble jeg videresendt til Windows Hello på en Windows 10-PC.
Etter å ha oppgitt riktig PIN-kode, kunne jeg logge inn med bare brukernavnet og Windows-innloggings-PIN-koden.
På samme måte kan en adgangsnøkkel også settes opp på Android (eller iOS):
Det er viktig å merke seg at man ikke vil bli spurt om dette igjen hvis en bruker velger «Hopp over oppsett»-alternativet. I så fall kan man sette opp adgangsnøkler i WordPress brukerprofil.
Klikk på «Administrer adgangsnøkler» nederst, deretter på «Legg til en passord» for å starte konfigurasjonen.
Fremtiden er passordfri!
Det er ingen tvil om at dette er fremtiden. Passordfri tilgang i WordPress er den sikreste og mest problemfrie autentiseringsmetoden som er tilgjengelig i dag.
Selv om du må sette opp adgangsnøkler for hver enhet du eier, er dette en engangsinnsats som vil lønne seg ved alle fremtidige innlogginger.
Dette avslutter guiden for biometrisk innlogging med iThemes Security Pro. Selv om gratisversjonen er bra, er funksjonene som er omtalt her en del av premium-abonnementet, som du kan prøve uten risiko med en pengene-tilbake-garanti.
PS: Sikkerhetskopier er avgjørende for alle nettsteder, og WordPress-prosjekter er intet unntak. Les om hvordan du gjør dette med et annet iThemes-produkt – Backupbuddy.