Was ist die Zwei-Faktor-Authentifizierung?
Die Zwei-Faktor-Authentifizierung, kurz 2FA, ist ein Sicherheitsverfahren, das bei der Anmeldung zwei voneinander unabhängige Nachweise der Identität verlangt. Der erste Faktor ist das bekannte Passwort. Der zweite Faktor ist ein Einmalcode, der nur kurze Zeit gültig ist und aus einer separaten Quelle stammt, etwa einer Authentifikator-App auf dem Smartphone, einer SMS oder einem physischen Sicherheits-Token. Erst wenn beide Faktoren korrekt eingegeben wurden, wird der Zugang gewährt.
Das Konzept folgt dem Prinzip „etwas, das Sie wissen“ kombiniert mit „etwas, das Sie besitzen“. Selbst wenn ein Angreifer Ihr Passwort kennt, nützt ihm das ohne den zweiten Faktor nichts, da der zugehörige Einmalcode nur auf Ihrem Gerät erzeugt wird und nach 30 Sekunden verfällt.
Was bedeutet das für Ihre Website?
WordPress bietet von Haus aus keine Zwei-Faktor-Authentifizierung. Sie können diese Funktion jedoch über Sicherheits-Plugins wie Two Factor, WP 2FA oder über Sicherheitspakete wie Solid Security (ehemals iThemes Security) nachrüsten. Besonders empfehlenswert ist die Absicherung aller Administrator-Konten, da diese im Angriffsfall vollständigen Zugang zu Dateien, Datenbank und Einstellungen haben.
Die am weitesten verbreitete 2FA-Methode für WordPress ist die zeitbasierte Einmalkennwort-Methode (TOTP), bei der eine App wie Google Authenticator oder Authy alle 30 Sekunden einen neuen sechsstelligen Code erzeugt. Die Einrichtung erfolgt durch das Einscannen eines QR-Codes im WordPress-Profil. Danach muss bei jeder Anmeldung zusätzlich zum Passwort dieser Code eingegeben werden.
2FA ist besonders wichtig, wenn Ihre Website mehrere Redakteure oder Autoren hat. Jedes Konto mit Schreibzugriff ist ein potenzielles Einfallstor, falls das Passwort dieses Nutzers anderswo abgegriffen wurde. Passwort-Leaks aus anderen Diensten werden von Angreifern systematisch auf WordPress-Logins ausprobiert. Mit 2FA ist dieses Risiko praktisch eliminiert, solange das Mobilgerät des Nutzers nicht ebenfalls kompromittiert ist.
Bei WooCommerce-Shops ist 2FA noch kritischer: Administratoren haben Zugang zu Bestelldaten, Kundendaten und Zahlungsinformationen. Ein kompromittiertes Administrator-Konto kann direkte DSGVO-Konsequenzen haben, wenn Kundendaten in falsche Hände geraten. In diesem Fall besteht zudem eine Meldepflicht gegenüber der zuständigen Datenschutzbehörde innerhalb von 72 Stunden.
Neben der App-basierten TOTP-Methode gibt es auch Hardware-Token wie den YubiKey, der per USB oder NFC an das Gerät gehalten wird. Diese Lösung ist noch sicherer als eine Smartphone-App, da Hardware-Token nicht durch Schadsoftware auf dem Gerät kompromittiert werden können. Für Websites mit sehr sensiblen Daten oder hohen Sicherheitsanforderungen ist diese Option eine Überlegung wert.
Tipp
Erstellen Sie Backup-Codes, wenn Sie 2FA einrichten, und bewahren Sie diese sicher und offline auf. Wenn Sie Ihr Smartphone verlieren oder die Authentifikator-App durch ein Geräte-Reset verlieren, sind Backup-Codes der einzige Weg, noch in Ihr WordPress-Konto zu gelangen. Ohne Backup-Codes müssen Sie über den Hosting-Anbieter oder direkt per Datenbankzugriff vorgehen, was zeitaufwendig und fehleranfällig ist.
Verwandte Begriffe
Brute-Force-Angriff |
Sicherheit |
Passwort |
Plugin |
Malware