WordPress mit Zwei-Faktor-Authentifizierung absichern

Nach langer Zeit endlich mal einen neuen Beitrag von mir… In den letzten Tagen habe ich mich einmal ein wenig damit beschäftigt, meine diversen Zugänge etwas besser abzusichern und natürlich musste dann auch bei WordPress etwas passieren. Durch Zufall bin ich über die Zwei-Faktor-Authentifizierung gestolpert. Das Verfahren war mir bereits durch die RSA SecurID bekannt, aber dass man es auch in WordPress einsetzen kann, war mir neu.
Die Idee dahinter ist, dass man zusätzlich zu seinem Benutzernamen und Login noch einen Code eingeben muss, der über einen anderen Kanal (z.B. eine Smartphone App, einen USB Key, …) generiert wird und nur für einen kurzen Zeitraum gültig ist (TOTP – Time Based One Time Password). Auf diese Weise verhindert man, dass jemand, der sowohl Benutzername, Passwort und Code kennt, sich später mit diesen Daten neu einloggen kann, da der Code bereits ungültig geworden ist.

FreeOTPDie Installation in WordPress ist sehr einfach. Installiert in eurem Blog einfach das „Google Authenticator“ Plugin. Wer jetzt schon wieder einen Schreck wegen Google bekommt: Keine Panik! Das System setzt die RFC6238 um und das Plugin baut keinerlei Verbindung zu Google auf, zumindest habe ich im Quellcode keinerlei Hinweis darauf gefunden. Bevor ihr jetzt in den Benutzereinstellungen der einzelnen Benutzer das Plugin aktviert, solltet ihr euch noch einen Codegenerator herunter laden. Erste Wahl – zumindest für Android Nutzer – wäre vermutlich der „Google Authenticator“, allerdings wurde der Quellcode seit einigen Version nicht mehr herausgegeben. Ich verwende deshalb „FreeOTP„. FreeOTP basiert auf der letzten Version des Google Authenticator Quellcodes und wird von Red Hat gepflegt. Man kann es auch im bekannten F-Droid Store bekommen, in dem nur Programme angeboten werden, die im Quellcode verfügbar sind und von den Buildservern des Projektes gebaut wurden.

Ok, das war es eigentlich auch schon, denn jetzt braucht man nur noch im Benutzerprofil unter „Google Authenticator Einstellungen“ das Login aktivieren, eine vernünftige Beschreibung eingeben und den QR-Code mit der App einscannen. Wenn ihr das gemacht habt, sollte FreeOTP direkt damit beginnen, Einmalpasswörter zu generieren und eurem ersten Login steht nichts mehr im Wege.

GoogleAuthenticator-Plugin

Tipp: Solltet ihr euch mal aus eurem Weblog ausgesperrt haben, dann löscht einfach im Plugin Verzeichnis das Google Authenticator Plugin und schon könnt ihr euch wieder ganz normal an eurem Weblog anmelden.

P.S.: Es gibt noch jede Menge andere Dienste, die den Zugang über Zwei-Faktor-Authentifizierung unterstützen. Bspw. kann man bei Github, App.net, aber auch bei Dropbox, Facebook und den Google Diensten diese Zugangsart aktivieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.