In mijn constante zoektocht naar beveiligingsmaatregelen voor WordPress kwam ik onlangs een plugin tegen die twee-stap login wel heel makkelijk maakt.
Helaas ontving ik net een mail van de plugin auteur dat per 6 maart 2017 de plugin niet meer actief wordt ondersteund en zal worden uitgefaseerd.
Om er voor te zorgen dat je naast een sterk wachtwoord en andere maatregel toch gebruik kunt blijven maken van twee stap login, heb ik een aantal alternatieven gezocht:
- Two-Factor
- Two Factor Authentication
- Authy
- Google Authenticator
- Google Authenticator – Two Factor Authentication
- Keyy
Het lijkt alsof in bovenstaande lijst twee plugins dubbel worden genoemd, maar dat is niet zo, het zijn allemaal verschillende.
Zojuist (09-05-2018) heb ik Keyy aan de bovenstaande lijst toegevoegd. Keyy leunt op de technologie die Clef gebruikte, en wordt ontwikkeld door het team achter Updraftplus.
Ik gebruik overigens zelf de Google Authenticator – Two Factor Authenication. Die maakt gebruik van de Google authenticator functie, maar biedt net wat extra’s, zoals de mogelijkheid om de app op je telefoon te kunnen beveiligen met een pincode. Zodat als je telefoon ooit gestolen wordt, je logins toch veilig zijn. De reguliere Google authenticator app maakt alleen unieke codes aan, en laat die als platte tekst zien. Die codes zijn dus verder niet beveiligd op je telefoon.
Hieronder verder het bericht over Clef dat ik vorig jaar schreef:
Clef zorgde dat je in kunt loggen zonder je wachtwoord in te hoeven vullen. De plugin werkte samen met een App die je op je telefoon installeert.
In plaats van het vertrouwde inlogscherm geeft je inlogscherm een ‘synchronisatie waterval’ weer, waarop je de camera van je telefoon richt. Je hebt dus altijd je telefoon nodig om in te loggen. Ongeautoriseerd inloggen via een server of een botnet kan dus gewoon niet meer.
Hier is de video:
Bijkomend voordeel is dat je kinderlijk eenvoudig op een andere computer in kunt loggen op je site. Als je je telefoon maar bij je hebt.
Dat was voor mij nogal eens een probleem als ik op m’n site in wilde loggen vanaf m’n laptop of zo, ik kon nooit m’n wachtwoord onthouden. Da’s het nadeel van een bizar lang en ingewikkeld wachtwoord en niet synchroniseren tussen mijn browsers of via een wachtwoorddienst.
Hier stond de link naar de Clef Two-Factor Authentication WordPress plugin: