WordPress-Websites mit Zwei-Faktor-Authentifizierung sichern

WordPress-Login mit Zwei-Faktor-Authentifizierung
WordPress-Login mit Zwei-Faktor-Authentifizierung

Was ist Zwei-Faktor-Authentifizierung?

Beim E-Banking ist es selbstverständlich, nicht allein auf Passwörter zu vertrauen: Dort muss man bei jedem Login einen nur einmal gültigen Code eingeben, den man entweder per SMS zugeschickt erhält, mit einer Smartphone App generiert, von einem RSA Key abliest oder (heute kaum noch verbreitet) einer Papier-Strichliste entnimmt. Alle diese Verfahren basieren auf dem Prinzip, dass man nicht nur das Passwort kennen muss, sondern auch noch ein physisches Objekt (ein Smartphone, einen Code-Generator, eine Liste) besitzen muss, um sich einloggen zu können.

Diese sogenannte Zwei-Faktor-Authentifizierung macht ein Login wesentlich sicherer, denn das Risiko, dass ein Unbefugter sowohl das Passwort in Erfahrung bringt als auch in den Besitz des physischen Objekts kommt, ist vergleichsweise gering. Und falls letzteres ein Smartphone ist, dann kann man es durch einen PIN noch zusätzlich absichern.

Weil Brute-Force-Attacken auf Websites und gross angelegte Passwortdiebstähle zunehmen, werden immer mehr Online-Logins mit einer Zwei-Faktor-Authentifizierung abgesichert. Insbesondere grosse Dienste wie z.B. Gmail oder Facebook bieten eine solche Option; die Logins von Content-Management-Systemen sind hingegen in aller Regel nur durch Passwörter geschützt. Wenn man sich überlegt, welchen Schaden ein Einbrecher auf einer Website schlimmstenfalls anrichten könnte, dann wäre auch hier eine Zwei-Faktor-Authentifizierung oft angebracht. Bei WordPress kann man die entsprechende Funktionalität über verschiedene Plug-ins nachrüsten.

Das Google Authenticator Plug-in für WordPress

Mit knapp 50’000 Downloads eines der populärsten Plug-ins ist Google Authenticator. Es bewirkt, dass das WordPress-Login mit einem dritten Eingabefeld ausgestattet wird: Nebst Benutzername und Passwort muss man einen Code eingeben, den man von der kostenlosen Google Authenticator Smartphone App abliest. Diese App gibt es für Android, iOS und BlackBerry OS, und sie generiert alle 30 Sekunden einen 6-stelligen Code.

WordPress-Plugin Google Authenticator: Einstellungen im Benutzerprofil
WordPress-Plugin Google Authenticator: Einstellungen im Benutzerprofil

Die Benutzung der Zwei-Faktor-Authentifizierung ist also denkbar einfach, und auch die Einrichtung ist nicht sonderlich kompliziert. Ist das Plug-in einmal installiert, muss man es im Benutzerprofil aktivieren. Zudem muss man den Geheimschlüssel, den das Plug-in generiert, in die Smartphone-App übertragen; dazu kann man entweder den QR-Code mit der Smartphone-Kamera scannen oder aber die angezeigte Zeichenfolge abtippen. Dieser Geheimschlüssel ist unbedingt vertraulich zu behandeln und kann bei Bedarf neu generiert werden, falls man Grund zur Annahme hat, dass ein Geheimschlüssel in falsche Hände gelangt ist.

Wichtige Details

Auch wenn die Einrichtung und der Betrieb von Google Authenticator denkbar einfach ist, so sollte man sich doch einiger potentieller Stolpersteine bewusst sein:

Einsatz in Blog-Netzwerken: Bekanntlich kann man mit einer einzigen WordPress-Installation mehrere eigenständige Blogs betreiben. Administratoren können Plug-ins entweder für das gesamte Blog-Netzwerk oder nur für einzelne Blogs aktivieren. Bei Google Authenticator ist es empfehlenswert, das Plug-in global zu aktivieren, damit nicht einzelne Blogs ohne Zwei-Faktor-Authentifizierung das gesamte Netzwerk gefährden.

Aktivierung pro Benutzer: Wie oben gezeigt muss Google Authenticator im Benutzerprofil eingerichtet werden, d.h. jeder einzelne Benutzer muss die Einrichtung auf seinem Smartphone selbst vornehmen. Falls dies ein Benutzer nicht tut, dann ist dessen Login nicht durch die Zwei-Faktor-Authentifizierung geschützt und somit ein potentieller Schwachpunkt im ganzen Sicherheitskonzept. Leider hat der Administrator keine elegante Möglichkeit, seine Benutzer zu zwingen, Google Authenticator zu benutzen. Man kann allerdings diese Funktionalität über das separate Plug-in Google Authenticator – Encourage User Activation nachrüsten, was sehr zu empfehlen ist.

Uhrzeit-Einstellung: Die Codes, welche Google Authenticator benutzt, sind nur sehr kurze Zeit gültig. Damit das Login funktioniert, müssen die Uhren auf dem Web-Server und auf dem Smartphone synchron laufen. Eine minimale Zeitdifferenz stellt kein Problem dar, und im optionalen “Relaxed Mode” kann man den Toleranzbereich noch um einige Minuten ausdehnen. Wenn allerdings ein Benutzer in eine andere Zeitzone reist und sein Smartphone auf Lokalzeit umstellt, dann werden seine Codes nicht mehr akzeptiert; der Benutzer muss wissen, dass er in diesem Fall sein Smartphone vorübergehend auf die Server-Zeitzone umstellen muss, um sich einloggen zu können.

Sichere Computer: Bei den meisten Zwei-Faktor-Logins kann man einen Computer als sicher deklarieren – dann muss man bei zukünftigen Logins keinen Code mehr eingeben, sofern dieses Login vom gleichen Rechner bzw. Browser aus erfolgt. Das schwächt zwar das Sicherheitskonzept ein Stück weit, dafür ist die Zwei-Faktor-Authentifizierung für regelmässige Benutzer weniger nervig und wird deshalb besser akzeptiert. Das Google Authenticator Plug-in bietet leider keine solche Option; das ist zwar sicherer, aber auch ein bisschen anstrengend.

Zugriff ohne Smartphone: Es gehört zum Konzept der ganzen Lösung, dass man sich ohne sein Smartphone nicht an seinem WordPress-Blog anmelden kann. Was aber, wenn das Smartphone abhanden kommt oder neu aufgesetzt werden muss (wodurch der Geheimschlüssel gelöscht wird)? Oft wird deshalb bei der Einrichtung einer Zwei-Faktor-Authentifizierung ein Notfall-Schlüssel angegeben, den man auf Papier an einem sicheren Ort verwaren kann. Auch diese Funktion gibt es im Google Authenticator Plug-in nicht – was allerdings weniger dramatisch ist, als es klingt: In diesem Fall muss der Benutzer ganz einfach einen Administrator um Hilfe bitten. Und falls man selbst der einzige Administrator ist und sein Smartphone verliert? Dann kann man das Plug-in immer noch per FTP-Zugriff temporär deinstallieren.

Alternativen

Es gibt inzwischen eine ganze Reihe von Plug-ins, welche WordPress mit einer Zwei-Faktor-Authentifizierung ausstatten. Hier eine kleine Auswahl:

  • WP Google Authenticator heisst nicht nur sehr ähnlich wie das oben vorgestellte Plug-in, es funktioniert auch sehr ähnlich. Die Unterschiede liegen im Detail: Hier kann ein Administrator die anderen Benutzer zwingen, Google Authenticator zu benutzen. Ausserdem generiert dieses Plug-in einen Recovery Code den Fall, dass man sein Smartphone nicht mehr nutzen kann. Allerdings hat WP Google Authenticator erst gut 2’500 Downloads und ist somit noch weniger erprobt.
  • Clef ist insofern eine spannende Variante, als man beim Login nicht manuell einen Code eintippen muss, sondern mit der Smartphone-Kamera einen speziellen Login Screen scannen kann. Dieses Video zeigt, wie es funktioniert. Das Plug-in ist mit über 70’000 Downloads ebenfalls sehr populär.
  • Authy Two-Factor Authentication bindet WordPress an den Authentifizierungs-Service von Authy an. Dieser ist eine universelle Lösung für verschiedenste passwortgeschützte Systeme und kann den Login-Code bei Bedarf auch per SMS-Nachricht zustellen; das ist dann von Vorteil, wenn man ein Mobiletelefon besitzt, auf dem die Authy App nicht installiert werden kann. Authy bietet auch sonst noch einige schöne Features, ist allerdings eine kostenpflichtige Lösung. In dieselbe Kategorie gehören auch Clockwork SMS Two-Factor Authentication und Duo Two-Factor Authentication.

Fazit

Google Authenticator ist problemlos zu installieren und so einfach in der Benutzung, wie eine Zwei-Faktor-Authentifizierung eben sein kann. Wer Sicherheit ernst nimmt, sollte dieses Plug-in (oder eine der oben genannten Alternativen) unbedingt installieren. Zwei Dinge muss man sich allerdings bewusst sein: Erstens ist das Backend-Login nur einer von verschiedenen potentiellen Angriffspunkten bei einem WordPress-Blog; veraltete WordPress-Versionen, unsachgemäss programmierte Plug-ins und präparierte Gratis-Themes stellen ein mindestens so grosses Sicherheitsrisiko dar. Und zweitens muss man sicherstellen, dass sämtliche Benutzer in sämtlichen Blogs Google Authenticator auch tatsächlich nutzen.

Hinterlassen Sie einen Kommentar