Sind Benutzername und Passwort noch ausreichend, um einen Website-Zugang zu schützen. Leider nein und hier kommt die 2 Faktor Authentifizierung (2FA) ins Spiel, die ich im Folgenden genauer vorstelle.
Dabei gehe ich auf die Vorteile ein und wie man herausfinden kann, ob ein Online-Service diese zusätzliche Sicherheit unterstützt.
Zudem schildere ich, wie Website-Betreiber von der 2 Faktor Authentifizierung profitieren können und stelle passende WordPress-Plugins vor.
Was ist die 2 Faktor Authentifizierung?
Ein nicht einfach erratbarer Benutzername und ein zufälliges Passwort sollte doch eigentlich ausreichen, um den eigenen Website Admin-Login oder einen Online-Service-Zugang abzusichern, oder? Zumindest sind das die Empfehlungen, die immer wieder gegeben werden.
Leider ist es aber nicht ganz so einfach, dass auch eine gute Benutzername/Passwort Kombination ist leider nicht 100% sicher. Immer wieder werden Online-Shops und -Services gehackt und die Zugangsdaten gestohlen. Oder auf andere Weise gelangen diese Zugangsdaten in falsche Hände.
Deshalb wurde schon vor langer Zeit das Konzept der 2 Faktor Authentifizierung (2FA) eingeführt, welches nach und nach immer mehr Online-Services und Shops anbieten.
Im Grunde ist es eine zusätzliche Sicherheitsabfrage, die aber dynamisch generiert wird. Dabei ist diese zweite Abfrage unabhängig von der ersten. Hat ein Angreifer doch mal Benutzername und Passwort gestohlen, kann er dennoch nichts anrichten, weil er an der zweiten Sicherheitsabfrage scheitert.
Dabei gibt es unterschiedliche technische Möglichkeiten für diese zweite Sicherheitsstufe. So gibt es Hardware-Authentifizierungen, wie eine Smartcard. Ebenfalls verbreitet ist eine zusätzliche PIN bzw. eine Antwort auf eine Frage. Und es gibt z.B. auch die Fingerabdruckerkennung oder ähnliche biometrische Methoden.
Online sind vor allem Einmal-Passwörter/Codes beliebt und dafür gibt es auch einige Smartphone-Apps.
2 Faktor Authentifizierung per App
Im Online-Bereich ist die 2 Faktor Authentifizierung per App mittlerweile weit verbreitet. So gut wie jeder hat ein Smartphone und da gibt es verschiedene Apps, die das anbieten.
Wie z.B. von Google oder auch von unabhängigen Entwicklern.
Dabei muss man einmalig diese App für einen Service aktivieren (meist per QR Code) und dann werden bei Bedarf meist zeitlich begrenzte Passwörter/Codes generiert, die man eingeben muss.
Nur wenn man Benutzername/Passwort und den Einmalcode korrekt eingegeben hat, erhält man Zugriff auf den Service.
Es gibt viele Anbieter, die die 2 Faktor Authentifizierung über eine App mittlerweile integriert haben. Das Affiliate-Netzwerk AWIN zum Beispiel, natürlich Amazon, eBay, WhatsApp, Skype, Facebook und viele andere.
Aber leider sind noch lange nicht alle Online-Services mit von der Partie.
Zusätzlicher Aufwand?
Manch einen schreckt der zusätzliche Aufwand ab, den so eine zusätzlich Abfrage bedeutet. Man muss im Zweifel jedes mal beim Zugriff auf so einen Service das eigene Smartphone rausholen, die entsprechende 2FA App starten und den generierten Code eingeben.
Deshalb bieten viele Services, aber nicht alle, eine (temporäre) Deaktivierung dieser 2FA für das aktuelle Gerät bzw. den aktuellen Browser an. So kann man bei AWIN auswählen, dass der Zugang 30 Tage gespeichert werden soll, so dass man erst dann wieder den App-Code zusätzlich eingeben muss. Bei Amazon kann man diese zusätzliche Abfrage für einen Browser sogar komplett deaktvieren.
Hier sollte man allerdings vorsichtig sein und dies nur auf Computern machen, zu denen niemand anderes Zugriff hat, z.B. im abschließbaren Büro.
2 Faktor Authentifizierung für Website-Betreiber
Es ist schön, dass immer mehr Online-Services die 2 Faktor Authentifizierung anbieten, aber wie sieht es für Website-Betreiber aus?
Ich hatte ja schon erwähnt, dass es z.B. bei AWIN diese zusätzliche Sicherheit gibt, aber das gilt leider nicht für alle Affiliate-Netzwerke oder Partnerprogramme.
Unter twofactorauth.org bzw. zweiterfaktor.de kann man schauen, welche Anbieter 2FA unterstützen und welche nicht. Zumindest die weiter verbreiteten Services sind dort gelistet.
Bei welchem Hoster gibt es 2FA Support?
Wo ich es schon recht wichtig finde, dass die Sicherheit gewährleistet ist, ist der eigene Hoster. Schließlich wäre es fatal, wenn sich jemand in den eigenen Hosting-Account einloggen kann und z.B. den Umzug der Domain veranlasst.
All-Inkl.com bietet erfreulicherweise eine 2 Faktor Authentifizierung für den Admin-Bereich an, so dass man die Grundeinstellungen des Tarifs, der Domains etc. damit zusätzlich schützen kann. Ebenfalls 2FA-geschützt sind die KAS-Zugänge, wo die eigentliche technische Verwaltung der Website stattfindet. Damit ist dieser Anbieter, der zu meinen Lieblingshostern gehört, sehr vorbildlich.
Ebenfalls 2FA unterstützen Hetzner, Hostnet, IONOS und einige andere. Hier ist auf jeden Fall eine positive Entwicklung zu erkennen.
Leider noch keine 2FA Unterstützung für den Admin-Bereich gibt es z.B. bei DomainFactory und Mittwald, was ich sehr schade finde. Das ist insbesondere merkwürdig, als vor einer Weile erst im DF-Blog das Thema aufgegriffen wurde. Da sollte man doch denken, dass man das selber ebenfalls ernst nimmt.
2FA in WordPress nutzen
Neben der Möglichkeit den eigenen WordPress-Admin Bereich per htaccess zusätzlich abzusichern, gibt es auch Möglichkeiten die 2 Faktor Authentifizierung per Plugin in WordPress zu aktivieren.
Das ist keine schlechte Idee, denn nicht wenige WordPress-Websites werden “gehackt”, in dem einfach per Brute Force die Benutzername/Passwort Kombination erraten wird.
Dafür gibt es z.B. die Plugins Google Authenticator oder Two Factor Authentication, welche es ermöglichen zusammen mit der betreffenden App (gibt es für Android und iOS) Einmalpasswörter zu generieren, um sich in seinem WordPress-Backend einzuloggen.
Man muss den QR Code auf Basis eines Geheimschlüssels einmal generieren und dann über die App einscannen. Und schon wird man beim nächsten Login zusätzlich zur Eingabe des Google Authenticator Codes aufgefordert.
Nutzt du die 2 Faktor Authentifizierung?
Die 2 Faktor Authentifizierung bietet zusätzlichen Schutz und das nicht nur bei Online-Services, sondern auch auf der eigenen Website. So gibt es bei der Auswahl des richtigen Hosters sicher viele Faktoren, auf die man achten sollte, aber die Unterstützung der 2FA sollte dabei auch eine Rolle spielen.
Es ist davon auszugehen, dass immer mehr Services in Zukunft 2FA anbieten werden, da auch die Politik darauf drängt.
Und auch der Einsatz passender Plugins auf der eigenen Website ist eine Möglichkeit die Sicherheit zu verbessern.
Man sollte bei der Aktivierung dieser zusätzlichen Sicherheits-Ebene aber sicherstellen, dass man sich nicht selbst ausschließt. Deshalb ist es wichtig das Smartphone nicht zu verlieren (und per PIN zu schützen). Verliert man es doch mal, wäre es gut, man hat die Authentifizierungs-App auch noch auf einem zweiten Gerät installiert.
Wie sind eure Erfahrungen mit der 2 Faktor Authentifizierung bei Online-Services, aber auch bei eurer Website? Bietet das einen zusätzlichen Schutz, den ihr gern nutzt, oder nervt es euch eher?
Wer wir sind und wie wir arbeiten. In unserem Büro im Zentrum von Köln arbeiten ausgebildete Redakteur/innen an der Ausarbeitung erstklassiger Inhalte, auf die du dich verlassen kannst. Sämtliche Artikel werden nach dem Vier-Augen-Prinzip publiziert: Nach Fertigstellung der Rohfassung werden die Texte von (mindestens) einem/r anderen Redakteur/in auf orthografische und inhaltliche Richtigkeit hin überprüft.
Diese Seite ist ein Angebot der 4pub GmbH mit Sitz in Köln. Wir haben uns auf den Betrieb hochwertiger redaktioneller Online-Portale spezialisiert und berichten stets redaktionell unabhängig.
- Danke für 16 tolle Jahre - 13. Juli 2023
- So erstellst du deine erste Newsletter-Mail in 10 Schritten mit CleverReach - 13. Juli 2023
- Die 5 besten Features des Amazon Affiliate WordPress Plugin – AAWP - 12. Juli 2023
Guten Morgen Peer,
ich habe tatsächlich 2FA bei nahezu allen von mir genutzten Webdiensten aktiviert (siehe auch Zweistufige Anmeldung oder Zwei-Faktor-Authentifizierung (2FA) bei Onlinediensten (Datensicherheit und Datenschutz) bspw. per OTP (One-Time Password, Einmal-Passwort) App auf https://www.andreas-unkelbach.de/blog/?go=show&id=928 und bin sehr begeistert davon, dass selbst im Ehrenamt die Webredakteure für eine WordPress Installation 2FA für WordPress nutzen (siehe https://www.andreas-unkelbach.de/blog/?go=show&id=1119 ).
Einen wichtigen Punkt würde ich zu deinen Ausführungen noch ergänzen. Die meisten Anbieter bieten neben der Aktivierung von 2FA entweder noch eine Alternative zum OTP an oder (was ich noch sinnvoller finde) einmalig verwendbare Backupscodes die man sich ausdrucken und an einen sicheren Ort bspw. beim Verlust des Smartphones hinterlegen kann.
Insbesondere im Zusammenhang mit der digitalen Nachlasspflege kommen solche Themen dann ebenfalls hoch und sollten bei den entsprechenden Unterlagen zur Person sicher verwahrt werden.
Etwas genervt bin ich allerdings davon, dass mittlerweile zumindest der Google Authenticator nicht mehr durch WearOs unterstützt wird und ich daher “eigentlich” meine 2FA Sammlung auf eine Alternative App umziehen müsste ( siehe Vorschläge unter https://www.andreas-unkelbach.de/blog/?go=show&id=1142 bspw. Authenticator Pro). Hier rächt es sich tatsächlich, dass ich nur in einer App die 2FA erfasst habe und diese nicht mit mehreren Apps angelegt habe.
Insgesamt ist der mit 2FA verbundene Aufwand zwar vorhanden, aber in meinen Augen überwiegt hier tatsächlich der Nutzen. Insbesondere bei der Absicherung des Mailzugangs ist in meinen Augen dieses ein enormer Sicherheitsgewinn da über die Mailanschrift oftmals Passwörter zu anderen Zugängen wieder zurückgesetzt werden können.
Viele Grüße und alles Gute
Andreas Unkelbach
Hallo Peer,
ich möchte netcup als Hoster noch mit in den Ring werfen. Dort bin ich seit kurzem Kunde und es wird 2FA geboten.
Bei meinen Seiten biin ich überwiegend auf dem Weg weg von WP, hin zu statischen Seiten. Da gibt es dann kein Backend/Admin Bereich im Sinne von WordPress.
Dass sich die 2FA immer weiter durchsetzt finde ich klasse. Wie mein Vorredner aber schon anmerkt, sollte es eine Möglichkeit geben, den 2ten Faktor (meist das Smartphone) bei einem Defekt auch ersetzen zu können ohne gleich überall ausgesperrt zu sein.
Schönen Gruß
Hallo Peer,
ich glaube die 2FA ist schon etwas, was wichtig geworden ist. Nicht umsonst bieten es immer mehr Dienstleister an.
Aber dazu mal eine Frage. Wenn man sein WordPress mittels httaccess im wp-admin schützt, wäre dann nicht ein 2FA zu viel des Guten? Schließlich braucht der Angreifer dann ja ohnehin schon 2 Nutzernamen und 2 Passwörter. Ich könnte mir vorstellen, dass das 2FA dann zu viel des Guten wird?
Was meinst Du dazu?
VG
Ronny
Ja, das stimmt, das ist dann eher nicht notwendig, da man dann ja 3 Dinge hätte, die man abfragen muss.
Ich persönlich sehe das skeptisch.
Denn ein Smartphone kann verloren gehen oder verlegt werden. Hier im Grenzgebiet ist bei Nebel nicht immer Mobilempfang. Somit ist eine 2Faktor Abfrage über App kaum möglich.
Bei den meisten Lösungen werden Mobilempfang und Smartphone einfach vorausgesetzt.
Das ist natürlich ein gute Einwand, aber insgesamt ist mehr Sicherheit schon besser. Es sollten dann halt Alternartiven vorhanden sein oder man sollte 2F freiwillig nutzen können.
Ich hatte jüngst eine E-Mail von meinem Hoster bekommen, dass eine Anfrage zur Neugenerierung des Zugangspasswortes besteht (Link “Passwort vergessen”). Irgend jemand Fremdes hatte dies veranlasst. Nun erinnerte ich mich an diesen Artikel und daran, dass mein Hoster auch eine OTP-Hürde anbietet. Ich habe mich für die Open-Source-App “andOTP” entschieden. Es ist natürlich sehr wichtig, dass man ein BACKUP der Zugangsgeheimnisse hat, falls das Smartphone verloren geht. andOTP läuft bei mir parallel auf zwei Geräten und ich habe auf der Backup-Festplatte ein Backup der Geheimnisse.
Ich habe mir nun auch für WordPress ein OTP-Plugin installiert. Sicher ist Sicher.