Die Idee, bei Anmeldung neben einem Passwort noch eine zweite Bestätigung in Form eines Codes zu verlangen, ist nicht neu. Weil dann für einen Angriff nicht nur ein Passwort erraten, sondern auch etwas physisches (TAN-Liste, Code-Generator, Mobiltelefon) in Besitz gebracht werden muss, erhöht eine richtig implementierte 2-Faktor-Authentifizierung den Schutz – zum Beispiel – des WordPress-Backends erheblich.

Die Qual der Wahl

Seit 2013 fasziniert mich die Idee, meine WordPress-Instanzen mit einem zweiten Faktor zusätzlich zu schützen. Anfänglich war das Angebot an Plugins auf WordPress.org überschaubar (und wenig berauschend).

Mit dem Auftauchen kommerzieller Anbieter wie Duo oder Clef kam etwas Bewegung in die Szene. Für mich persönlich war es aber keine Option, meinen WordPress-Login an einen Drittanbieter zu koppeln, von dessen Infrastruktur am Ende im Zweifelsfall abhängt, ob meine Nutzer sich anmelden können oder nicht.

Open Source Standard

Doch zum Glück gibt es auch für die, für 2-Faktor-Authentifizierung in der Regel genutzten, zeitbasierten Einmalpasswörter einen offenen Standard. Ganz ohne Drittanbieter-Service wird im TOTP-Verfahren alle 30 Sekunden ein neuer Code direkt auf dem Gerät (meist mittels eine Smartphone-App) generiert.

Feature-Project

Meine Suche nach dem richtigen WordPress-Plugin für 2-Faktor-Authentifizierung wurde schließlich dadurch beendet, dass mit der Arbeit am Feature-Project „Two Factor“ begonnen wurde.

Das Plugin, das eines Tages vielleicht hoffentlich Teil des WordPress-Core werden wird, bietet gleich mehrere Möglichkeiten der Login-Absicherung:

• Im bereits erwähnten TOTP-Verfahren können mit Hilfe von Apps zeitbasierte Einmalpasswörter generiert werden.
• Bei jeder Anmeldung kann ein Bestätigungs-Code per E-Mail versendet werden. (ähnlich dem 2-Step-Verification-Plugin von Sergej Müller)
• Key-Generatoren (FIDO U2F) wie der Yubi-Key können zur Authentifizierung eingesetzt werden. Diese Funktion wird aktuell aber nur in Chrome unterstützt.
• Ganz in der Tradition der alten TAN-Listen kann eine Anzahl von Codes generiert werden, die nach einmaliger Benutzung verfallen.

Da es möglich ist, mehrere der verfügbaren Techniken parallel zu nutzen, kommt bei mir meist eine Kombination aus TOTP (als primäres Verfahren) und Backup-Codes in Form der TAN-Liste zum Einsatz, die ich an einem sicheren Ort aufbewahre um mich auch im Fall eines Geräte-Verlusts weiterhin anmelden zu können.

Ist das Plugin einmal aktiviert finden sich die Einstellungen im Menüpunkt „Dein Profil“. Aktuell können die Einstellungen für jedes Konto gesondert getroffen werden. Ich persönlich würde mir noch die Möglichkeit wünschen, 1. die Nutzung eines zweiten Faktors global für alle Konten zur Anmeldung zu erzwingen und 2. auch Einstellungen, welche Methoden zur Verfügung stehen, global treffen zu können. So weit ist es im Moment noch nicht, da das Plugin aber nach wie vor stetige Weiterentwicklung erfährt kann sich das schnell ändern.

Apps

Zum Abschluss noch zwei Takte zu (mobilen) Apps, die mit TOTP genutzt werden können.

Häufig werden TOTP und Google Authenticator synonym verwendet. Und tatsächlich kann besagte App des Suchmaschinen-Giganten für TOTP verwendet werden. Doch durch die bereits erwähnte quelloffene Natur des Verfahrens ist auch eine Vielzahl von alternativen Apps sowohl auf iOS als auch auf Android verfügbar. Mein Favorit auf iOS: OTP Auth.

Und sogar auf dem Computer verstehen sich immer mehr Apps – vorrangig Passwort-Manager wie 1Password auf den Umgang mit Einmalpasswörtern.

Habt ihr Erfahrungen mit 2-Faktor-Authentifizierung? Und welche Apps sind vor allem für Android empfehlenswert?