
Das Passwörter nicht optimal sind, ist allen klar. Wenn man sich an die empfohlenen Richtlinien hält, sind sie unbequem – wenn nicht, zusätzlich noch ziemlich unsicher. Der Nachfolger Passkeys steht bereit – kein nerviges Kennwort, ohne Phishing-Gefahr – und kein zusätzliches Gerät ist notwendig. Wie man die eigenen WordPress-Websites schon jetzt auf Passkeys umstellt, zeige ich hier.
Vorbereitung
Um Passkeys zu nutzen genügt ein aktueller PC oder ein Mobiltelefon mit aktivierter Bildschirmsperre. Serverseitig müssen am Webserver die Erweiterungen mbstring
und gmp
installiert sein, was aber im Normalfall (heute erst bei Hetzner ausprobiert) der Fall ist.
Plugin installieren
Das Plugin unserer Wahl in WordPress ist WP-WebAuthn. Dies einfach über Plugins > Installieren
suchen und installieren.

Anschließend in der Liste der installierten Plugins bei WP-WebAuthn auf Settings
klicken.
Einstellungen
Wenn man nur Passkeys verwenden möchte, kann man dies bei Preferred login method
einstellen, was ich empfehle, wenn es möglich ist und alle User Passkeys verwenden bzw. man der einige Benutzer ist. Es empfiehlt sich andernfalls ein zweistufiger Prozess, bei dem man zunächst beide Varianten erlaubt und erst, nachdem sichergestellt ist, dass alles User umgestellt sind, das Deaktivieren des Passwort-Zugangs.
Auch Allow to remember
login sollte man aktivieren, wenn man es etwas bequemer haben möchte.
Allow to login without username
kann man ebenfalls aktivieren, um die Bequemlichkeit, die Passkeys bieten, voll auszuschöpfen.
Nun die Änderungen speichern – und gleich einen Authenticator hinzufügen, damit man sich auch wirklich einloggen kann!
Authenticator hinzufügen
Um für einen User einen Authenticator hinzuzufügen – also beispielsweise Windows mit einem PIN oder ein Mobiltelefon mit einem QR-Code – geht man in die User-Profileinstellungen – oder man klickt direkt auf den Link am Ende der Einstellungsseite des Plugins.
Register new Authenticator
startet den Prozess.
Wenn man nun Any
wählt, einen Namen vergibt (z. B. „Lenovo Notebook“) und Start registration
wählt, übernimmt das Betriebssystem. Man kann auswählen, wo man den Key speichern möchte; beispielsweise sieht es so aus:

Man kann hier also Windows mit einem PIN – oder ein Mobiltelefon mit einem QR-Code verwenden. Ich füge im Normalfall den aktuellen PC und anschließend noch mein Mobiltelefon hinzu. Dies sieht dann so aus:

Das war’s auch schon! Viel Spaß in der neuen Welt ohne Passwörter! 😁