Zwei Faktor Authentifizierung

Wenn du eine Webseite betreibst, dann benutzt du höchstwahrscheinlich ein CMS und vielleicht gibt es sogar einen Loginbereich für Besucher. Beides sollte abgesichert werden, ich sag dir wie!

Die meisten von uns, die eine Webseite betreuen, haben irgendeine Form von CMS im Hintergrund laufen. Bei vielen dürfte das zum Beispiel WordPress sein. Manch einer hat vielleicht sogar ein Forum integriert, einen Shop mit Anmeldefunktion oder etwas Ähnliches. Und meist langt es dort, einen Benutzernamen und ein Passwort anzugeben, um sich anzumelden.

Leider ist das alleine nicht gerade die sicherste Variante, um Benutzerkonten abzusichern.

Es kommt immer mal wieder vor, dass panische Kunden bei mir anrufen, weil ihre Webseite gehackt wurde. Ich mache mich dann sofort auf die Suche nach den üblichen Verdächtigen. Infizierte Dateien und andere Späße. Und manchmal finde ich keinen technischen Grund für so einen Hack, keine bekannte Lücke. Meist stellt sich dann ziemlich schnell heraus, das gewählte Passwort für z.B. WordPress war einfach zu schwach.

Sein wir mal ehrlich, die meisten Passwörter sind einfach nicht sicher. Ganz einfach, weil viele von uns Passwörter verwenden, die sie sich auch merken können.Abhilfe schafft hier ein Passwort-Manager wie 1Password, der vernünftige Passwörter generiert und diese für einen Verwaltet. Aber das ist ein anderes Thema.

Ich kann nie davon ausgehen, dass meine Kunden nicht irgendwann mal ihr Passwort ändern und sich gegen meinen Rat für ein einfach zu merkendes entscheiden. Und du kannst niemals davon ausgehen, dass sich jemand, der sich im Forum oder Shop resistiert, immer ein sicheres Passwort benutzt. Also was tun?

Du kannst einen weiteren Schritt zur Authentifizierung hinzufügen und damit eine soggenante zwei Faktor Authentifizierung einführen.

Zwei Faktor Authentifizierung

In diesem Fall meldet sich der Benutzer wie gewohnt mit seinem Benutzernamen und Passwort im System an. Bekommt nach erfolgreicher Anmeldung aber einen Schritt zur Anmeldung angezeigt. Manche Systeme nutzen hierzu USB-Sicherheitsschlüssel, Chipkarten oder Ähnliches. Auf Webseite ist das eher unpraktisch und es haben sich andere Systeme etabliert.

Der User muss nach normaler Anmeldung meist noch einen Zahlencode eingeben. Dieser Code hat nur eine geringe Lebensdauer, meist von wenigen Sekunden. Danach verliert er seine Gültigkeit und ein anderer Code muss eingegeben werden. Diese Codes werden dann z.b. via SMS aufs Telefon geschickt, per Sprachanruf durchgegeben oder direkt in einer entsprechenden 2 Faktor App angezeigt.

Ich habe dann also eine App auf meinem Smartphone installiert, die mir immer einen gültigen Code anzeigt. Nach ein paar Sekunden, folgt der nächste Code. Diesen gebe ich also als zweiten Schritt bei der Anmeldung an und komme dann ins System.

Der Vorteil dürfte klar sein. Selbst wenn mein Passwort unsicher ist, braucht ein Angreifen Zugriff auf mein Telefon, um an den Code für Schritt zwei zu kommen. Der große Nachteil ist natürlich auch genau dieser Punkt: Denn mein Telefon muss eben immer griffbereit und der Akku voll sein. Ansonsten komme ich nicht ins System.

Manche Anbieter geben einem zwar die Möglichkeit, Sicherheitscodes auszudrucken, falls z.b. das Telefon geklaut wurde. Diese Codes sind dann immer gültig. Aber jeder der schon mal drei ungültige Pins ins Handy getippt und dann seine PUK irgendwo in den Unterlagen gesucht hat, wird wissen, dass diese Lösung auch eher… suboptimal ist ;)

Ich empfehle aber trotz dieser Nachteile die Integration. Inzwischen kannst du bei den meisten Diensten 2 Faktor Authentifizierung aktivieren, Google, PayPal, Dropbox und wie sie alle heißen. Aber auch die Integration in die eigene Seite ist inzwischen kein großes Problem mehr.

WordPress-Plugins

Wer WordPress benutzt, kann auf eines der vielen Plugins zurückgreifen. Hier gibt es Plugins die ausschließlich nur diesem einen Zweck dienen, wer aber schon ein Sicherheitsplugin wie iThemes-Security benutzt, der sollte mal genau hinschauen. Meist bieten die Pro-Versionen auch Funktionen wie zwei Faktor Authentifikation an.

Ist das Plugin aktiviert, können die Benutzer nach der nächsten regulären Anmeldung am System ihre 2 Faktor Anmeldung aktivieren. Dazu wird in den meisten Fällen ein QR-Code bereitgestellt.

Diesen Scannt man einfach mit der entsprechenden Smartphone-App ein. Hier kann man z.b. den Google Authenticator wählen oder Tools wie 1Password.

Nach Erfolgreichem Scan, erscheint die Webseite dann in den jeweiligen App und ab sofort wird ein Code für die Seite angezeigt. Bei der nächsten Anmeldung muss dieser dann angegeben werden und der eigene Account ist ein kleines bisschen sicherer geworden.

Links

Allgemeine Informationen zur Technik
1Password Passwortmanager und 2-Faktor-Tool
Google Authenticator für Android und iOs
Liste von WordPress-Plugins

Wie geht's von hier aus weiter?

Wenn du diesen Beitrag (nicht) gut findest, kannst du ihn kommentieren, woanders darüber schreiben oder ihn teilen. Wenn du mehr Beiträge dieser Art lesen willst, kannst du mir via RSS oder ActivityPub folgen, oder du kannst kannst dir ähnliche Beiträge ansehen.