Sind Benutzername und Passwort noch ausreichend, um einen Website-Zugang zu schützen. Leider nein und hier kommt die 2 Faktor Authentifizierung (2FA) ins Spiel, die ich im Folgenden genauer vorstelle.
Dabei gehe ich auf die Vorteile ein und wie man herausfinden kann, ob ein Online-Service diese zusätzliche Sicherheit unterstützt.
Zudem schildere ich, wie Website-Betreiber von der 2 Faktor Authentifizierung profitieren können und stelle passende WordPress-Plugins vor.
Was ist die 2 Faktor Authentifizierung?
Ein nicht einfach erratbarer Benutzername und ein zufälliges Passwort sollte doch eigentlich ausreichen, um den eigenen Website Admin-Login oder einen Online-Service-Zugang abzusichern, oder? Zumindest sind das die Empfehlungen, die immer wieder gegeben werden.
Leider ist es aber nicht ganz so einfach, dass auch eine gute Benutzername/Passwort Kombination ist leider nicht 100% sicher. Immer wieder werden Online-Shops und -Services gehackt und die Zugangsdaten gestohlen. Oder auf andere Weise gelangen diese Zugangsdaten in falsche Hände.
Deshalb wurde schon vor langer Zeit das Konzept der 2 Faktor Authentifizierung (2FA) eingeführt, welches nach und nach immer mehr Online-Services und Shops anbieten.
Im Grunde ist es eine zusätzliche Sicherheitsabfrage, die aber dynamisch generiert wird. Dabei ist diese zweite Abfrage unabhängig von der ersten. Hat ein Angreifer doch mal Benutzername und Passwort gestohlen, kann er dennoch nichts anrichten, weil er an der zweiten Sicherheitsabfrage scheitert.
Dabei gibt es unterschiedliche technische Möglichkeiten für diese zweite Sicherheitsstufe. So gibt es Hardware-Authentifizierungen, wie eine Smartcard. Ebenfalls verbreitet ist eine zusätzliche PIN bzw. eine Antwort auf eine Frage. Und es gibt z.B. auch die Fingerabdruckerkennung oder ähnliche biometrische Methoden.
Online sind vor allem Einmal-Passwörter/Codes beliebt und dafür gibt es auch einige Smartphone-Apps.
2 Faktor Authentifizierung per App
Im Online-Bereich ist die 2 Faktor Authentifizierung per App mittlerweile weit verbreitet. So gut wie jeder hat ein Smartphone und da gibt es verschiedene Apps, die das anbieten.
Wie z.B. von Google oder auch von unabhängigen Entwicklern.
Dabei muss man einmalig diese App für einen Service aktivieren (meist per QR Code) und dann werden bei Bedarf meist zeitlich begrenzte Passwörter/Codes generiert, die man eingeben muss.
Nur wenn man Benutzername/Passwort und den Einmalcode korrekt eingegeben hat, erhält man Zugriff auf den Service.
Es gibt viele Anbieter, die die 2 Faktor Authentifizierung über eine App mittlerweile integriert haben. Das Affiliate-Netzwerk AWIN zum Beispiel, natürlich Amazon, eBay, WhatsApp, Skype, Facebook und viele andere.
Aber leider sind noch lange nicht alle Online-Services mit von der Partie.
Zusätzlicher Aufwand?
Manch einen schreckt der zusätzliche Aufwand ab, den so eine zusätzlich Abfrage bedeutet. Man muss im Zweifel jedes mal beim Zugriff auf so einen Service das eigene Smartphone rausholen, die entsprechende 2FA App starten und den generierten Code eingeben.
Deshalb bieten viele Services, aber nicht alle, eine (temporäre) Deaktivierung dieser 2FA für das aktuelle Gerät bzw. den aktuellen Browser an. So kann man bei AWIN auswählen, dass der Zugang 30 Tage gespeichert werden soll, so dass man erst dann wieder den App-Code zusätzlich eingeben muss. Bei Amazon kann man diese zusätzliche Abfrage für einen Browser sogar komplett deaktvieren.
Hier sollte man allerdings vorsichtig sein und dies nur auf Computern machen, zu denen niemand anderes Zugriff hat, z.B. im abschließbaren Büro.
2 Faktor Authentifizierung für Website-Betreiber
Es ist schön, dass immer mehr Online-Services die 2 Faktor Authentifizierung anbieten, aber wie sieht es für Website-Betreiber aus?
Ich hatte ja schon erwähnt, dass es z.B. bei AWIN diese zusätzliche Sicherheit gibt, aber das gilt leider nicht für alle Affiliate-Netzwerke oder Partnerprogramme.
Unter twofactorauth.org bzw. zweiterfaktor.de kann man schauen, welche Anbieter 2FA unterstützen und welche nicht. Zumindest die weiter verbreiteten Services sind dort gelistet.
Bei welchem Hoster gibt es 2FA Support?
Wo ich es schon recht wichtig finde, dass die Sicherheit gewährleistet ist, ist der eigene Hoster. Schließlich wäre es fatal, wenn sich jemand in den eigenen Hosting-Account einloggen kann und z.B. den Umzug der Domain veranlasst.
All-Inkl.com bietet erfreulicherweise eine 2 Faktor Authentifizierung für den Admin-Bereich an, so dass man die Grundeinstellungen des Tarifs, der Domains etc. damit zusätzlich schützen kann. Ebenfalls 2FA-geschützt sind die KAS-Zugänge, wo die eigentliche technische Verwaltung der Website stattfindet. Damit ist dieser Anbieter, der zu meinen Lieblingshostern gehört, sehr vorbildlich.
Ebenfalls 2FA unterstützen Hetzner, Hostnet, IONOS und einige andere. Hier ist auf jeden Fall eine positive Entwicklung zu erkennen.
Leider noch keine 2FA Unterstützung für den Admin-Bereich gibt es z.B. bei DomainFactory und Mittwald, was ich sehr schade finde. Das ist insbesondere merkwürdig, als vor einer Weile erst im DF-Blog das Thema aufgegriffen wurde. Da sollte man doch denken, dass man das selber ebenfalls ernst nimmt.
2FA in WordPress nutzen
Neben der Möglichkeit den eigenen WordPress-Admin Bereich per htaccess zusätzlich abzusichern, gibt es auch Möglichkeiten die 2 Faktor Authentifizierung per Plugin in WordPress zu aktivieren.
Das ist keine schlechte Idee, denn nicht wenige WordPress-Websites werden „gehackt“, in dem einfach per Brute Force die Benutzername/Passwort Kombination erraten wird.
Dafür gibt es z.B. die Plugins Google Authenticator oder Two Factor Authentication, welche es ermöglichen zusammen mit der betreffenden App (gibt es für Android und iOS) Einmalpasswörter zu generieren, um sich in seinem WordPress-Backend einzuloggen.
Man muss den QR Code auf Basis eines Geheimschlüssels einmal generieren und dann über die App einscannen. Und schon wird man beim nächsten Login zusätzlich zur Eingabe des Google Authenticator Codes aufgefordert.
Nutzt du die 2 Faktor Authentifizierung?
Die 2 Faktor Authentifizierung bietet zusätzlichen Schutz und das nicht nur bei Online-Services, sondern auch auf der eigenen Website. So gibt es bei der Auswahl des richtigen Hosters sicher viele Faktoren, auf die man achten sollte, aber die Unterstützung der 2FA sollte dabei auch eine Rolle spielen.
Es ist davon auszugehen, dass immer mehr Services in Zukunft 2FA anbieten werden, da auch die Politik darauf drängt.
Und auch der Einsatz passender Plugins auf der eigenen Website ist eine Möglichkeit die Sicherheit zu verbessern.
Man sollte bei der Aktivierung dieser zusätzlichen Sicherheits-Ebene aber sicherstellen, dass man sich nicht selbst ausschließt. Deshalb ist es wichtig das Smartphone nicht zu verlieren (und per PIN zu schützen). Verliert man es doch mal, wäre es gut, man hat die Authentifizierungs-App auch noch auf einem zweiten Gerät installiert.
Wie sind eure Erfahrungen mit der 2 Faktor Authentifizierung bei Online-Services, aber auch bei eurer Website? Bietet das einen zusätzlichen Schutz, den ihr gern nutzt, oder nervt es euch eher?