von ,
Twittern 13 Teilen 3

Two-Factor Authentication in WordPress

In den letzten Wochen haben immer mehr Anbieter damit begonnen, eine Authentifizierung über zwei Faktoren (Two-Factor Authentication) einzusetzen, um ihre Mitglieder vor unerwünschten Zugriffen auf ihre Benutzerkonten zu verhindern. Doch was verbirgt sich genau hinter diesem Begriff und wie setze ich es in meinen eigenen WordPress-Projekten ein?

Two-Factor Authentication bewirkt, dass neben der Eingabe eines Nutzernames und eines Passwortes auch ein bestimmtes physisches Gerät zur Nutzung einer Plattform vorhanden sein muss. Das heißt, ein Nutzer registriert seinen Account auf bestimmte Geräte und ist damit vor dem Zugriff von unerwünschten Gästen geschützt (sofern diese keinen Zugriff auf das Gerät haben). Ein einfaches Prinzip, das in der Realität leider nicht ganz so leicht umzusetzen ist. Eine Möglichkeit einer relativ simplen Implementierung bietet Duo-Security. Leider ist der freie Zugang auf maximal zehn User beschränkt. Doch ein Blick ist es auf jeden Fall wert. Eine beispielhafte Integration in ein WordPress-Projekt soll zeigen, wie man mit Duo Security umgehen kann.

Duo Security: Integration von Two-Factor Authentication in WordPress

Zuerst ist eine Anmeldung auf duosecurity.com notwendig. In seinem Verwaltungsmodul legt man dann eine neue „Integration“ mit dem Typ „WebSDK“ an, gibt dem Ganzen einen Namen, wählt unter „New User Policy“ den Begriff „Require Enrollment“ aus und als Visual Style „WordPress“. Dann fügt man in den letzten beiden Zeilen noch beliebige Begrüßungsnachrichten hinzu und die Konfiguration ist bereits beendet.

Anschließend installiert man in seinem WordPress-Blog das Plugin „Duo Two-Factor Authentication“ und gibt die benötigten Daten unter den Plugin-Einstellungen an, die man im Verwaltungsbereich von Duo Security findet. Nachdem ihr die Einstellungen gespeichert habt, müsst ihr euch einmal ausloggen und beim nächsten Einloggen werdet ihr aufgefordert, ein Gerät für euer Blog zu aktivieren. Dieser Aktivierungsprozess ist selbsterklärend und endet damit, dass ihr auf ein paar Links zur Aktivierung in einer SMS klicken müsst und gegebenfalls eine App auf eurem Smartphone installiert. Am Schluss könnt ihr nun eine Bestätigung per Push an euer Smartphone senden und euch normal einloggen. Das Ganze funktioniert natürlich auch per SMS.

Bildschirmfoto 2011 06 28 um 06.25.371
Two-Factor Authentication mit WordPress

Das Problem ist nun natürlich, dass ihr, um euch in euer Blog einzuloggen, immer euer Smartphone bereithalten müsst. Ihr könnt euch aber natürlich auch einen zweiten Account mit eingeschränkten Rechten anlegen, um schnell mal Kommentare zu genehmigen oder Artikel einzustellen. Leider ist aber die Lösung von Duo Security wie gesagt nur bis zehn User kostenlos, was aber für die meisten Blogs reichen sollte.

Ansonsten funktioniert diese Lösung ziemlich gut und schnell in Zusammenarbeit mit dem iPhone und man kann sich erst einmal wieder etwas geschützter fühlen.

Was haltet ihr von der Two-Factor Authentication? Ist das ein Schritt in die richtige Richtung oder macht es alles nur etwas komplizierter?

Bildnachweis für die Newsübersicht: Foto: Nikolay Bachiyski / flickr.com, Lizenz: CC-BY-SA.

Weiterführende Links und aktuelle News zum Thema WordPress: 

Weitere Artikel zu WordPress

Kommentare: 5 Tweets: 13 Facebook-Likes: 3
29.06.2011

Das interessiert dich bestimmt auch

5 Answers

  1. von Joerg 29.06.2011 (11:00Uhr) 1.

    Auf eine solche Funktion habe ich schon gewartet, danke für den Tipp! Hoffe die Push-Funktion klappt auf Dauer reibungsfrei mit dem iPhone.

  2. von Quark 29.06.2011 (12:39Uhr) 2.

    Das ist kein Schritt in die richtige Richtung.

    Was macht man, wenn die Hardware defekt ist oder man sie verkauft?

    Solche "Schutzmaßnahmen" verleiten auch eher dazu, ein schwächeres Passwort zu nehmen, was dann leicht zu knacken ist wenn die vorgestellte Technik überlistet wird. Ein starkes Passwort und das erforderliche Sicherheitsbewusstsein beim Anbieter sind ein guter Schutz.

  3. von Beliebteste Suchbegriffe » Two-Fac… 29.06.2011 (12:49Uhr) 3.

    [...] the rest here: Two-Factor Authentication in WordPress » t3n News Medien zum Thema   Medien by [...]

  4. von Uwe 29.06.2011 (15:24Uhr) 4.

    Das ist doch langweilig.
    Mit Yubikey und dem Plugin "http://wordpress.org/extend/plugins/yubikey-plugin/" ist bereits eine sehr, sehr gute Two-Factor-Authentication vorhanden, die mit einem One-Time-Password arbeitet und jedem BlogUser im Profil zur Verfügung steht. Bis zu drei Yubikeys können für einen Acount verwaltet werden.
    Sollte der Yubikey verloren gehen, kann man einfach einen Neuen nehmen und ändert sein Profil ab.
    Vorteil: Keine SW auf meinem Handy, keine Bandbreite, keine Kosten.
    Aber der größte Vorteil ist definitiv, dass ich das Ganze auch im Internet-Caffee im Urlaub nutzen kann, ohne irgend welche Roaming-Kosten oder ähnliches zu haben.
    Übrigens funktioniert der Yubikey mit dem iPad, iPhone und anderen Tablets und Telefonen und ist mit jedem Computer (Windows, Mac, Linux) nutzbar.

    Also wer auf so eine Funktion schon immer gewartet hat, der hätte mit etwas Suche schon vor Ewigkeiten damit arbeiten können ;-)

  5. von Podcast: AGU #021 – Alles Goooogle… 07.07.2011 (09:21Uhr) 5.

    [...] Artikel zu WordPress Two-Factor-Authentication http://t3n.de/news/two-factor-authentication-wordpress-317169/ [...]

Deine Meinung


(wird nicht veröffentlicht)