Google kwam eerder dit jaar in het nieuws toen ze bekend maakten dat geen van hun 85.000+ werknemer sinds begin 2017 nog last had van phishing op hun werk gerelateerde accounts. Best indrukwekkend. Nu zul je je wellicht afvragen: Wat is het geheim van Google’s beveiliging? En hoe kan ik dat niveau van bescherming voor mijn eigen websites realiseren? Het antwoord is: U2F. En ja, deze techniek is WordPress-ready!
Wat is U2F?
U2F (Universal 2nd Factor) werd ontwikkeld door Google en Yubico en wordt nu gehost door de FIDO Alliance. Het is een authenticatie standaard die gebruikers hun online accounts laat beveiligen met een sleutel – zonder dat je hier drivers of speciale software voor nodig hebt. Je registreert een fysiek aparaat (zoals je laptop) met een online dienst die het protocol ondersteund. U2F sleutels zijn fysieke USB sleutels die eruit zien als een flash drive. Je krijgt alleen toegang tot je account door op de sleutel te drukken zodra deze is ingeplugd.
Waartegen beschermen U2F Security Keys?
U2F Security Keys beschermen tegen verschillende soorten hacks en aanvallen: session hijacking, man-in-the-middle, malware aanvallen en phishing. En denk vooral niet dat jij nooit het slachtoffer zou worden van een phishing scam. Volgens een onderzoek is 97% van de consumenten niet in staat om phishing e-mails te identificeren.
Met een fysieke sleutel kan je login informatie niet gestolen worden door een copycat loginscherm, omdat het alleen werkt op geregistreerde sites. De authenticatie zal falen op neppe websites, zelfs als jij denkt dat ze echt zijn.
Hoe werken U2F Security Keys?
Zodra je je U2F Security Key hebt ingesteld hoef je deze alleen maar in je computer te pluggen en op een knop te drukken. Maar waarschijnlijk wil je weten hoe het werkt op technisch vlak. Ik wil er niet te diep op in gaan, maar het komt erop neer dat Security Keys twee commando’s ondersteunen die als browser API’s aan webpagina’s worden verstrekt:
- Registratie – Je Security Key genereert een nieuw, asymmetrisch sleutelpaar en stuurt de publieke sleutel terug. De server associeert deze publieke sleutel met je fysieke sleutel en gebruikersaccount.
- Authenticatie – Als je wil inloggen, zal je Security Key zowel de aanwezigheid van de USB-stick als van jou zelf controleren. Na verificatie zal de privé sleutel je account ontgrendelen.
U2F en WordPress beveiliging
U2F kan ook gebruikt worden voor het beveiligen van een WordPress website.
Als je dat wil doen, moet je de volgende stappen doorlopen:
- Schaf een U2F Security Key aan. Een YubiKey kost je ongeveer $20. Prijzen kunnen oplopen tot $50.
- Registreer de sleutel bij Google.
- Zorg dat je een browser met U2F ondersteuning gebruikt (zoals de meest recente versie van Google Chrome).
- Zorg dat je website een https-verbinding heeft. Je kunt geen nieuwe Security Keys toevoegen met http.
- Log in op WordPress.
- Installeer en activeer de gratis Two-Factor.
- Om U2F in te stellen op WordPress, moet je ingelogd zijn als admin.
- Ga naar Users > Profile.
- Scroll naar beneden. Onder account management moeten nu de Two-Factor opties staan.
- Schakel FIDO U2F in en stel in als primair.
- Scroll omlaag naar Security Keys en klik op de Register New Key knop.
- Plug je FIDO U2F Security Key in en druk op de ronde knop.
- Wacht tot de pagina ververst is en klik op Update Profile.
Vanaf nu kun je inloggen met je Security Key.
Wat zijn de nadelen van U2F Security Keys?
Hoewel U2F Security Keys vrij eenvoudig te implementeren zijn, zitten er ook wat nadelen verbonden.
Dit niveau van beveiliging is niet gratis. Als je alleen een Security Key voor jezelf nodig hebt, ben je met een paar tientjes klaar. Maar als je Security Keys moet verstrekken aan iedereen die toegang nodig heeft tot een website, kan het behoorlijk in de kosten lopen – zeker voor grote teams. Bovendien wordt aangeraden om een backup Security Key achter te houden voor elk van de gebruikers, voor het geval dat hun sleutel kwijtraakt, beschadigd raakt of gestolen wordt. Als je een team van 10 mensen hebt, zou je dus 20 sleutels nodig hebben.
Zelfs als kosten geen rol spelen, moet je nog rekening houden met het feit dat je geen toegang krijgt tot je website zonder je sleutel. Dat is goed voor de beveiliging van je website, maar het kan ook ongemak veroorzaken. Stel je voor dat je net aankomt op kantoor en beseft dat je je sleutel thuis hebt laten liggen. Je kunt dan niet even iemand bellen die thuis is en even een eenmalig wachtwoord kan opnoemen – want er is geen wachtwoord! Ook als je WordPress website ontwikkeld voor cliënten kan deze beveiligingsmethode mogelijk een probleem vormen.
Is U2F de juiste oplossing voor mij als WordPress gebruiker?
Voor de meeste WordPress gebruikers is een simpele oplossing doorgaans meer dan genoeg. Dan hebben we het over een goede security plugin zoals Defender of WordFence, in combinatie met een login-maatregel. Denk aan beveiligingsvragen toevoegen aan je WordPress login, of de WordPress login pagina verplaatsen of verbergen (Lees ook: WordPress beveiligen zonder security plugins).
Je kunt ook kiezen voor Defenders 2FA met Google Authenticator op je smartphone. De meeste gebruikers hebben echt geen YubiKey nodig.
Maar als je nu een internetbureau runt met meerdere admins en je aan high profile websites werkt, dan zijn U2F Security Keys zeker het overwegen waard. Ze kunnen je in elk geval goed helpen om een “no-phishing zone” te creëren!
