Eintauchen in die WebAuthn API von Joomla 4

Hast du auch schon bemerkt, dass es eine neue Web-Authentifizierungs-Schaltfläche auf dem neuen Joomla 4 Anmeldebildschirmen gibt?

Das liegt an der neuen WebAuthn-API von Joomla, die sichere Anmeldungen mit einem FIDO-zertifizierten Schlüssel ermöglicht.

Dies ist eine Übersetzung des Artikels «A Dive into the WebAuthn API in Joomla4» von Brendan Hedges aus dem Joomla! Community Magazine 04/22 (Link zum Original)

Also, lasst uns eintauchen in Passwörter, Sicherheit und WebAuthn, und herausfinden, wie man es im Benutzerkonto von Joomla 4 aktiviert.

Wenn du dir Joomla 4 angeschaut hast, dann weisst du bereits, dass der Admin-Bereich überarbeitet wurde, einschliesslich des Anmeldebildschirms für Benutzer und Administratoren. Aber, hast du bemerkt, dass es anders aussieht, je nachdem, ob du mit einer Website mit https oder http verbunden bist?

Wenn du sicher über https verbunden bist, dann wird der neue Webauthentifizierungs-Button von Joomla sichtbar. Diese Schaltfläche ist Teil von Joomla's neuer WebAuthn-Funktion, die es dir ermöglicht, dich sicher mit einem WebAuthn (FIDO2)-Schlüssel anzumelden, anstatt ein Passwort zu benutzen.

Passwörter sind der Fluch des Lebens eines jeden.

Mit der zunehmenden Verflechtung der Technologie mit dem Leben jedes Einzelnen wird auch deine Passwortliste immer länger. Wenn du den allgemeinen Ratschlag befolgst, kein Passwort zu verwenden, das leicht zu erraten ist, es nicht aufzuschreiben, sondern auswendig zu lernen und eine Mischung aus Buchstaben, Zahlen und Sonderzeichen zu verwenden, hast du eine schwere Aufgabe vor dir.

Wusstest du das:

"123456" ist das meistgenutzte Passwort der Welt!

Zum Spass gibt es hier eine Liste von Nordpass mit den zehn meistgenutzten Passwörtern weltweit im Jahr 2021. Die Liste zeigt auch, wie lange es dauern würde, sie mit einem gezielten Brute-Force-Angriff zu knacken, und wie häufig sie im Jahr 2021 verwendet wurden.

1. 123456 - Braucht weniger als eine Sekunde zum Knacken, wurde mehr als 103 Millionen Mal verwendet
2. 123456789 - Braucht weniger als eine Sekunde zum Knacken, wurde mehr als 46 Mio. Mal verwendet
3. 12345 - Braucht weniger als eine Sekunde zum Knacken, mehr als 32M mal benutzt
4. qwerty - In weniger als einer Sekunde zu knacken, mehr als 22 Mio. Mal verwendet
5. password - In weniger als einer Sekunde zu knacken, mehr als 20 Mio. Mal verwendet
6. 12345678 - Braucht weniger als eine Sekunde zum Knacken, wurde mehr als 14 Millionen Mal verwendet
7. 111111 - Braucht weniger als eine Sekunde zum Knacken, wurde mehr als 13 Millionen Mal verwendet
8. 123123 - Dauert weniger als eine Sekunde zum Knacken, wurde mehr als 10 Millionen Mal verwendet
9. 1234567890 - Dauert weniger als eine Sekunde zum Knacken, wurde mehr als 9,6 Mio. Mal verwendet
10. 1234567 - In weniger als einer Sekunde zu knacken, mehr als 9,3 Mio. Mal verwendet

Gehörst du auch zu den Schuldigen, die schwache Passwörter verwenden? Steht deines auf dieser Liste?

Gute Passwortgewohnheiten sind wie jede gute Gewohnheit. Sie sind leichter gesagt als getan!

Mehr Konten und mehr Anwendungen erfordern mehr Passwörter, was wiederum mehr Möglichkeiten für Diebstahl und Datenschutzverletzungen schafft. Der Bedarf an sichereren Anmeldeverfahren ist daher von grösster Bedeutung. Das ist etwas, was sich GoDaddy, T-Mobile und DailyQuiz gewünscht hätten, als sie im Jahr 2021 von riesigen Datenpannen betroffen waren.

Glaube ja nicht, dass dir das nicht auch passieren kann. Du musst keinen multinationalen Konzern leiten, auch deine kleine Mama & Papa-Website könnte angegriffen und als Host für Spamming- und Phishing-Zwecke genutzt werden. Lasse es nicht zu, dass schwache Passwörter deine Joomla-Website zu einem leichten Ziel für Hacker machen.

Natürlich sind leicht zu merkende Passwörter, die von Natur aus schwach sind, verlockend zu benutzen. Sicherere Passwörter sind die vernünftige Option, aber da sie schwer zu merken sind, brauchen wir Hilfe.

Im Laufe der Jahre haben wir verschiedene Lösungen für dieses Problem gesehen, aber jede hat ihre Vor- und Nachteile. Zwei der gängigsten Lösungen zum Schutz deiner Passwörter und damit des Zugangs zu deinen Konten sind Passwort-Manager und 2-Faktor-Autorisierung.

Passwort-Manager

Es gibt sowohl kostenlose als auch kostenpflichtige Passwort-Manager, und sie funktionieren alle auf ähnliche Weise.

Passwort-Manager müssen auf deinem PC, Smartphone oder Tablet installiert werden und werden zum Speichern deiner Passwörter verwendet. Die meisten verwenden dazu eine 256-Bit-Verschlüsselung. Du meldest dich mit einem "Master-Passwort" beim Passwort-Manager an und dieser speichert oder generiert sichere Passwörter für alle deine Online-Konten. Ausserdem meldest er dich automatisch bei diesen Konten an.

Allerdings gibt es auch einige Nachteile. Vor allem: Du vertraust deine Daten einer dritten Partei an. Wenn du dein Hauptkennwort verlierst, verlierst du den Zugang zu all deinen Konten. Dein Hauptkennwort ist nicht vor Keyloggern und Phishing-Angriffen geschützt.

Zwei-Faktor-Authentifizierung (2FA)

Die Zwei-Faktor-Authentifizierung gibt es schon seit einer Weile. In der Tat war Joomla das erste CMS, das dies bereits im November 2013 mit der Einführung von Version 3.2.0 implementierte. Du brauchst also nicht nur den Benutzernamen und das Passwort, sondern auch einen einmalig generierten Schlüssel. Die Schlüssel werden von einem externen Dienst wie z. B. Google Authenticator generiert und dann an dein Mobiltelefon gesendet. Du kannst ihn dann manuell in den Joomla-Anmeldebildschirm eingeben.

Wie bei der Verwendung eines Passwortmanagers gibt es auch hier einige Probleme in Bezug auf die Sicherheit und den Zugang zum Verwaltungsbereich deiner Website. Allerdings weniger als bei der Verwendung eines Passwortmanagers. Das liegt daran, dass der Key-Logger-/Phishing-Aspekt aus der Gleichung entfernt wurde, da die für die Zwei-Faktor-Authentifizierung generierten Codes nur einmal verwendet werden kann.

Allerdings muss man sich das Passwort trotzdem merken und geheim halten. Allerdings kann jemand ohne den "zusätzlichen Schlüssel" immer noch nicht auf Ihr Konto zugreifen, selbst wenn er dein Kennwort und deinen Benutzernamen in Erfahrung gebracht hat.

Die Hauptprobleme bei der Zwei-Faktor-Authentifizierung beginnen mit der Zeit, die für die Anmeldung benötigt wird, da sie zunimmt. Es gibt mehr Möglichkeiten, Fehler zu machen. Du kannst den Zugriff auf den Authentifizierungsdienst verlieren, den du ausgewählt hast. Oder du kannst den Zugriff auf das Gerät verlieren, das du für den Zugriff auf diesen Authentifizierungsdienst verwendest. Ein weiteres Problem könnten die Notfall-Zugangscodes sein, die im Voraus generiert und dann für eine mögliche spätere Verwendung ausgedruckt werden müssen. Eine unbefugte Person, die diese Codes beim Stöbern auf deinem Schreibtisch gefunden hat, könnte sie verwenden, um auf dein Konto zuzugreifen.

Jetzt gibt es noch eine dritte Möglichkeit:

WebAuthn & FIDO2

Wir haben jetzt eine neue Option zur Anmeldung in Joomla, WebAuthn.

WebAuthn ist eine aufstrebende Webtechnologie, die es schon seit einiger Zeit gibt, aber sie gewinnt jetzt an Zugkraft, da immer mehr Websites und Anwendungen diese sichere Form des Einloggens anbieten.

WebAuthn, oder The Web Authentication API, ist ein Projekt des World Wide Web Consortium (W3C) und der FIDO, einer internationalen Gemeinschaft. Die Mitglieder der Gemeinschaft setzen sich aus Mitgliedsorganisationen, hauptamtlichen Mitarbeitern und der Öffentlichkeit zusammen, die gemeinsam an der Entwicklung von Webstandards arbeiten. Und einige der weltweit grössten Akteure im Internet wie Microsoft, Apple, Yubico und Google stehen dahinter.

Die WebAuthn-API ermöglicht es Websites, sich zu registrieren und Benutzer zu authentifizieren, indem sie ein öffentliches/privates Schlüsselpaar anstelle eines Passworts verwenden.

Die WebAuthn-API macht es einfach, die Vorteile der starken Authentifikatoren zu nutzen, die jetzt in Geräte wie Windows Hello oder Apples Touch ID eingebaut sind.

Bei WebAuthn wird der private Schlüssel, in diesem Fall dein FIDO2-Schlüssel, sicher auf dem Gerät oder der Anwendung des Nutzers gespeichert. Dann wird ein zufällig generierter öffentlicher Schlüssel auf dem Server/der Website/der Anwendung gespeichert. Wenn du dich mit deinem FIDO2-WebAuthn-Schlüssel anmeldest, verwendet der Server diesen öffentlichen Schlüssel, um deine Identität nachzuweisen, indem er ihn mit dem auf deinem Schlüssel gespeicherten Schlüssel abgleicht.

 Da der auf dem Server gespeicherte öffentliche Schlüssel ohne den privaten Schlüssel nutzlos ist, bedeutet dies, dass die Inhalte von Datenbanken weniger attraktive Ziele für Hacker sind. Das ist ein Pluspunkt.

WebAuthn gibt es in verschiedenen Formen: Fingerabdruckscanner, Schlüssel und Handys sind gängige FIDO-Geräte.

Werfen wir also einen Blick auf die Einrichtung deines Joomla 4-Benutzerkontos für die Arbeit mit einem WebAuthn FIDO2 zertifizierten Schlüssel.

Anmeldung bei Joomla mit einem FIDO2 WebAuthn Schlüssel

Das erste, was du tun musst, ist, dir einen FIDO2 zertifizierten Schlüssel zu besorgen. Ich habe mir einen einfachen USB-Schlüssel von TOKEN2 für ca. 20 CHF gekauft. Er wird von https://www.token2.com hergestellt, aber es gibt auch andere. Yubico hat eine grössere Auswahl, die auch verschiedene WebAuthn-Protokolle wie FIDO2, U2F, Smartcard, OTP, OpenPGP 3 abdeckt. Die Schlüssel sind auch mit verschiedenen Anschlüssen erhältlich: USB-A, USB-C, NFC und Lightning. Man musse also etwas recherchieren, um eine passende Lösung zu finden. Meiner verlangt übrigens bei jeder Verwendung nach einem PIN.

Starte deinen Browser und gehe zu deinem Joomla-Anmeldebildschirm. Oder, wenn du Zugang zum Admin-Bereich von Joomla hast, https://deine-website.com/administrator

Melde dich wie gewohnt mit Benutzernamen und Passwort an. Sobald du eingeloggt bist, klickst du auf die Schaltfläche "Benutzermenü" in der oberen rechten Ecke des Bildschirms. Klicke dann im Dropdown-Menü auf "Konto bearbeiten".

Auf dem nächsten Bildschirm siest du, falls du dich über https angemeldet hast, eine Registerkarte mit der Bezeichnung "WC3 Web Authentifizierung (WebAuthn) Anmeldung". Öffne diese Registerkarte.

Um deinen FIDO2-Schlüssel hinzuzufügen, klicke auf die Schaltfläche "Neuen Authentifizierer hinzufügen". Daraufhin wird ein Pop-up-Fenster angezeigt, in dem du aufgefordert wirst, deinen Schlüssel einzulegen und zu berühren. Stecke also deinen Schlüssel in einen USB/Lightning-Slot und berühre ihn (bei manchen Schlüssel muss eine Taste gedrückt werden). Überprüfe die Anweisungen, die deinem Schlüssel beiliegen, denn der Vorgang kann unterschiedlich sein, oder der Schlüssel muss zuerst beim Hersteller registriert werden. Bei meinem Schlüssel war dies nicht notwendig.

Warte ein paar Sekunden, während der Schlüssel, der Browser, die Website und der Server die kryptografischen privaten/öffentlichen Schlüssel für die Anmeldung synchronisieren. Der nächste Bildschirm, der erscheint, informiert darüber, dass ein neuer Schlüssel für dein Konto registriert wurde. Zu diesem Zeitpunkt ist ein allgemeiner Schlüsselname (samt Zeitstempel) mit ihm verknüpft. Der Name kann an der Stelle in etwas persönlicheres abgeändert werden.

Klicke dazu auf die blaue Schaltfläche "Name bearbeiten", gebe einen neuen Schlüsselnamen in das Feld ein und speichere ihn ab.

Und das war's schon. Du hast nun dein Benutzerkonto so eingerichtet, dass es mit deinem neuen Schlüssel funktioniert. Melden dich sich also vollständig ab, kehre zur Anmeldeseite zurück, stecke deine Schlüssel in einen USB/Lightning-Anschluss, gebe deinen Benutzernamen ein und klicke auf die Schaltfläche "Webauthentifizierung".

 Wenn alles geklappt hat, bist du jetzt in deinem Benutzerkonto in Joomla angemeldet.

Einige Fragen und Ratschläge

Wenn du bis hierher gelesen hast und es dir so geht wie uns, hast du wahrscheinlich einige Fragen zur Verwendung dieser neuen API in Joomla 4. Obwohl WebAuthn und FIDO2-Schlüssel sicher sind, ist kein System perfekt. Es wird immer Situationen und Ausnahmen von den Regeln geben. Die folgenden Fragen habe ich (der Autor) bei der Recherche zu diesem Artikel über die neue WebAuthn Login API von Joomla gestellt. Auf einige gibt es bereits Antworten, über andere wundere ich mich noch!

Kann ein Administrator meinen Schlüssel von meinem Konto entfernen?

Nein, Joomla-Administratoren können keine Authentifikatoren im Namen von Benutzern hinzufügen oder entfernen. Die Benutzer müssen sich anmelden und ihre eigenen Geräte einrichten.

Muss ein Schlüssel beim Schlüsselhersteller registriert werden?

Bei meinem Schlüssel war es nicht erforderlich, den Schlüssel vor der Verwendung zu registrieren, aber bei anderen Schlüsseln können andere Verfahren gelten.

Ist mein privater Schlüssel sicher?

Ja, das Schlüsselpaar wird auf dem FIDO2-Gerät erzeugt, bei dem es sich normalerweise um einen USB-Sicherheitsschlüssel handelt. Der private Schlüssel ist sicher an das Gerät gebunden.

Funktioniert mein Passwort noch?

Ja, und dies ist ein Aspekt, der meiner Meinung nach von Joomla noch weiter durchdacht werden muss, um die Sicherheitsvorteile der Verwendung eines FIDO2 WebAuthn Key voll auszunutzen.

Während ein Passwort, das mit deinem Benutzerkonto verknüpft ist, praktisch sein kann, wenn du den Zugang zu deinem Schlüssel verlierst, stellt es immer noch eine Möglichkeit für Hacker dar, auf dein Konto zuzugreifen. Wenn du bei der Anmeldung kein Passwort mehr verwendst, können Keylogger und gefälschte Phishing-Websites die Anmeldedaten zwar nicht mehr stehlen. Brute-Force-Angriffe könnten aber immer noch funktionieren.

Die Umgehung dieses Problems, zumindest im Moment, besteht darin, ein neues, sicheres Passwort zu erstellen, nachdem du deinen Schlüssel zu Joomla hinzugefügt hast. Ein Passwort, das fast unmöglich zu knacken ist und das man sich nicht merken kann. Schreibe es also auf, kopieren es nicht und füge es nicht ein (Key Logger können deine handschriftlichen Notizen nicht lesen). Wusstest du, dass sogar Microsoft in Windows 10 und 11 einen Key-Logger eingebaut hat?). Nicholas von Akeeba schlägt vor, ein 128 Zeichen langes Passwort zu verwenden, um einen erfolgreichen Brute-Force-Angriff auf dein Konto nahezu unmöglich zu machen.

Wenn du der Super-User für Ihre Joomla-Website bist, könnte es sinnvoll sein, die Standard-Passwortanforderungen für Benutzer standardmässig auf etwas Sichereres zu erhöhen. Erhöhe die erforderliche Passwortlänge von 12 auf mindestens 20 Zeichen und füge Zahlen, Sonderzeichen und Grossbuchstaben hinzu. Du findest diese Einstellungen unter Benutzer > Optionen > Passwortoptionen.

Was passiert, wenn ich meinen Schlüssel verliere?

Du wirst ihn nicht mehr benutzen können, um dich sicher bei deinem Joomla-Benutzerkonto anzumelden. Du musst das neue, lange, sichere Passwort verwenden, das du erstellt hast, nachdem du deinen FIDO-Schlüssel für dein Joomla-Konto registriert hast. Vergiss in diesem Fall nicht, ein neues, superstarkes Passwort zu erstellen, um das soeben verwendete zu ersetzen, und notiere es genau wie beim letzten Mal.

Ein verlorener WebAuthn FIDO2-Schlüssel stellt kein Sicherheitsrisiko dar. Die Schlüssel sind so konzipiert, dass sie für öffentliche Online-Dienste anonym sind, und auf dem Schlüssel selbst sind keine Informationen über deine Identität oder Konten gespeichert.

Was passiert, wenn mein Schlüssel nass wird?

Dies könnte ein ernstes Problem darstellen, wenn du den Schlüssel in einer Tasche aufbewahren, die nass werden könnte. Oder du lässt ihn in eine Pfütze fallen! Ich kann keine Informationen über meinen Schlüssel finden, aber die Yubico-Schlüssel haben die Schutzklasse IP68, d. h. sie sind staubdicht und können eine Stunde lang in 1,5 Meter tiefes Wasser getaucht werden.

Kann ich mich mit einem Schlüssel bei mehreren Websites anmelden?

Ja, aber die Anzahl ist von Hersteller zu Hersteller unterschiedlich. Sie hängt von der Grösse des Speichers ab, der im Schlüssel verwendet wird.

Sollte ich einen sichereren Benutzernamen verwenden?

Ja. Es ist immer ein guter Rat, es skrupellosen Personen zu erschweren, auf dein Konto zuzugreifen. john2!4*6smith anstelle von johnsmith ist viel besser. Wenn du einen sicheren Benutzernamen verwendest, wird es für jemanden, der Zugang zu deinem Schlüssel hat, schwieriger, ihn böswillig zu verwenden.

Sollte ich einen Backup-Schlüssel haben?

Das ist keine schlechte Idee. Auch wenn die Schlüssel keine Batterien oder beweglichen Teile haben und nach IP68 zertifiziert und bruchsicher sind, könnten sie trotzdem nicht mehr funktionieren, verloren gehen oder beschädigt werden.

Kann ich 2 Schlüssel für ein Joomla-Benutzerkonto haben?

Ja, du können mehrere Schlüssel für dein Joomla-Benutzerkonto registrieren. Es macht also Sinn, einen Backup zu haben.

Kann mein Schlüssel geklont oder kopiert werden?

FIDO2-Schlüssel sind sicher, deshalb können sie nicht kopiert werden. Wenn sie nicht kopiert werden können, ist es logisch, dass auch das Klonen kein Problem darstellt.

Muss ich meinen FIDO2-Schlüssel nach dem Einloggen im USB/Lightning-Anschluss lassen?

Nein, wenn du eingeloggt bist, mussen der Schlüssel nicht im USB/Lightning-Anschluss stecken gelassen werden.

Kann ich meinen FIDO2-Schlüssel unter Linux verwenden?

Ja und nein. Einige neuere Versionen von Linux haben von Haus aus eine integrierte Unterstützung für Sicherheitsschlüssel. Bei vielen älteren Versionen ist dies nicht der Fall, und du musst eine kleine Änderung der Systemkonfiguration vornehmen, damit dein Schlüssel funktioniert. Google ist hier Ihr Freund!

Welche Browser unterstützen meinen FIDO-Schlüssel?

Die Dinge verbessern sich schnell. Als die ursprünglichen Joomla-Dokumente für diese Funktion geschrieben wurden, war die Unterstützung ein wenig lückenhaft. Aber jetzt, ab März 2022, ist die Unterstützung für Desktop-Browser viel besser, da alle wichtigen Akteure an Bord sind. Obwohl die mobilen Browser immer noch hinterherhinken, mit Ausnahme von Firefox.

Hier sind die Tabellen mit der Browserunterstützung von caniuse.com sowohl für WebAuthn als auch für Fido.

WebAuthn

https://caniuse.com/?search=webauthn

FIDO

https://caniuse.com/?search=fido

Was ist mit DSGVO?

Da FIDO-Schlüssel nur kryptografisch gepaarte private/öffentliche Schlüssel und keine anderen Informationen speichern, geben sie keine persönlich identifizierbaren Informationen an FIDO-Dienste oder Computer weiter, bei denen sie registriert sind. Daher sind sie DSGVO-konform.

Abgesehen von der Anmeldung bei meinem Joomla-Konto, wofür kann ich meinen WebAuthn FIDO2-Schlüssel noch verwenden?

Es gibt buchstäblich Tausende von Websites, die diese Art von sicherem Anmeldesystem verwenden. Joomla ist natürlich das beste. Hier ein paar Beispiele aus der Yubico-Liste von Websites und Anwendungen, die die WebAuthn FIDO2-Protokolle unterstützen.

Cloud Single Sign-On

Sichere Sofortanmeldung bei Millionen von Websites und Anwendungen.

Passwort-Manager

Schütze und verwalte deine Passwörter über das Internet.

E-Mail

Schütze persönliche, sensible Daten in deinem Posteingang.

Soziale Medien

Schütze deinen Ruf, indem du deine sozialen Profile absicherst.

Gaming

Bewahre deine hart verdiente Ausrüstung und deinen Ruf in den eigenen Händen.

Entwickler-Tools

Schütze deinen Code und Ihr geistiges Eigentum vor Hackern.

Cloud-Speicher

Speichere Bilder und andere sensible Dateien vertraulich online.

Kryptowährung

Der sicherste Weg, um Ihre Kryptowährung auf einer Börse zu speichern.

Computer-Zugang

Verhindere unbefugten Zugriff auf deinen Offline-Computer.

Du kannst sogar deinen WebAuthn FIDO2-Schlüssel verwenden, um auf dein Tesla-Konto zuzugreifen!

Schlussfolgerung

Wie bei jeder aufkommenden oder sich entwickelnden Technologie gibt es auch bei Google eine Menge widersprüchlicher Ratschläge. Vieles davon ist inzwischen veraltet, überholt und unbedeutend. Wenn du dich sicher bei deinen Websiten und Anwendungen anmelden möchtest, solltest du dir die Zeit nehmen, die neuesten Informationen zu finden, zumindest was die Kompatibilität betrifft.

Ich bin der Meinung, dass jeder technologische Fortschritt, der dazu beiträgt, dass deine Online-Aktivitäten sicher sind, ein Gewinn ist. Vor allem, wenn wir so unfähig sind, uns mit sicheren Passwörtern zu schützen. Das erinnert mich an den Gesichtsausdruck meiner Kunden, wenn ich ihnen die Anmeldedaten für ihre neuen Websites überreiche. Das ist der Moment, in dem sie merken, dass sie nicht "fred123" als Passwort verwenden können!

Ich persönlich verwende immer starke, sehr leicht zu vergessende Passwörter, aber ich bin sicher, dass ich in der Minderheit bin. Daher ist diese neue Funktion, die ein sicheres Einloggen in dein Joomla-Konto ermöglicht, grossartig. Alles, was Phishing, Key-Logging und Brute-Force-Angriffe aus der Gleichung entfernt, ist für mich in Ordnung. Verliere nur nicht deinen Schlüssel!

Aus der Sicht eines Entwicklers wäre es auch eine gute Idee, ein paar FIDO2-Schlüssel, die bereits auf der Joomla-Website registriert sind, mitzuliefern, wenn Sie diese an Ihren Kunden übergeben. Dann wäre es nicht einmal nötig, ein Passwort zu übergeben. Allerdings könnte der Kunde über die Funktion für verlorene Passwörter in Joomla immer noch selbst eines generieren, wenn er es aus irgendeinem Grund benötigt.

Nun, da die WebAuthn API in den Kernfunktionen von Joomla enthalten ist, werde ich sie sicherlich als eine Option für die Anmeldung auf allen meinen Joomla 4-Websites sowie auf den Websites meiner Kunden verwenden. Die Suche nach der neuesten Version eines längst vergessenen Passworts auf einer von mehreren Festplatten ist damit beendet.

Abschliessend ein grosses Dankeschön an Nicholas von Akeeba für seinen Einblick und seine Informationen bezüglich dieser neuen Joomla-Funktion.

Icons für Webauthn-Diagramm von www.flaticon.com