Heute möchte ich euch eine Möglichkeit vorstellen die Login Sicherheit eures Blogs weiter zu erhöhnen.
Neben den Standard Sicherheitstipps inklusive dem Ändern des Author Slug mittels Plugin – empfehle ich euch die Nutzung einer 2 Faktor Authentifizierung.
Bei dieser Authentifizierung benötigt man, neben dem Passwort noch einen weiteren Faktor für eine erfolgreiche Anmeldung. Dazu gibt es verschiedene Möglichkeiten – unter anderem die des Tokens (Einmalpasswort).
Vergleichen kann man das mit dem Online Banking, hier hat man einen Benutzernamen und ein Passwort zum Login in das Banking Portal – und dann benötigt man, für eine erfolgreiche Überweisung, noch einen anderen Faktor, in diesem Fall eine TAN.
Man spricht oft von Wissen und Besitz bei der 2 Faktor Authentifizierung – wissen ist das Passwort, Besitz ist der Token, den man früher physikalisch in der Hand – und Heute meistens als App auf dem Smartphone hat.
Ich zeige euch die Einrichtung von 2 verschiedenen Plugins
Duo Two-Factor Authentication
Das erste Plugin kommt von Duo Security – “Duo Two Factor Authentication” und man findet es HIER im WordPress Plugin Directory, oder natürlich über die Plugin Suche direkt in eurem Blog.
Nach der Installation und Aktivierung findet ihr die Einstellungen an der üblichen Stelle
Bevor ihr loslegen könnt, müsst ihr euch einen Duo Account anlegen sowie eine Integration einrichten, dazu gibt es auch eine (englische) Anleitung!
Ihr legt euch HIER einen Account an, vergebt ein Passwort und installiert euch die entsprechende App auf eurem Smartphone.
Das Admin Panel bei DUO ist ebenfalls mit 2 Faktor gesichert, ihr erhaltet daher im nächsten Schritt einen QR Code angezeigt, welchen ihr mit der Duo App einscannt.
Ihr müsst jetzt eine Applikation anlegen, dazu wählt ihr unter Applications > New Application den Application Type ‘WordPress’ aus und verpasst dem Kind einen Namen (Blogtitel).
In der Applikation seht ihr dann einen Integration key, einen Secret Key sowie einen API Hostname – diese Informationen benötigt ihr für euer Plugin!
Weiterhin lassen sich auf diese Seite verschiedene Einstellungen anpassen – hier müsst ihr aber für die Grundeinrichtung nichts mehr ändern.
Im Plugin gebt ihr nun diese Daten ein, und wählt aus, welche Blog Rollen die 2 Faktor Authentifizierung benötigen, damit könnt ihr dann z.B. eure Admin Accounts absichern, aber die Anmeldung von (nicht privilegierter) Benutzern ohne 2 Faktor Authentifizierung ermöglichen.
Sobald ihr die Daten abgeschickt habt – müsst ihr noch euren eigenen Account absichern
Dazu wählt ihr das gewünscht Device aus, gebt euer Land und eure Handynummer ein, wählt das entsprechende Betriebssystem aus und scannt wieder einen QR Code ein, kennt ihr ja jetzt schon.
In eurer App müsst ihr nun 2 Duo Accounts haben, einmal mit dem Zusatz Admin, einmal ohne.
Gratuliere – euer Benutzer Account ist nun mit 2 Faktor Authentifizierung mittels Duo Security geschützt.
Ihr könnt jetzt diese Integrationsdaten auf weiteren Blogs eingeben, oder ihr legt für jedes Blog eine eigene Applikation an, etwa wenn der Benutzer Kreis unterschiedlich ist.
Der Vorteil an Duo Security ist, dass ihr euch mittels “Duo Push” anmelden könnt, sprich, ihr erhaltet eine zu bestätigende Meldung an euer Handy gepusht, dadurch entfällt das suchen des korrekten Codes für die jeweilige Seite.
Sehr hilfreich, wenn man mehrere Blogs mit 2 Faktor Authentifizierung ausgestattet hat!
Alle User mit einem Token werden auch in eurem Duo Security Admin Panel angezeigt, hier könnt ihr dann auch Notfall Codes anlegen, dass kann mehr als hilfreich sein, wenn das Handy mal leer sein sollte!
Zudem lassen sich für jeden Benutzer mehrere Devices anlegen, auch ganz praktisch.
Google Authenticator
Einige von euch werden sicher den Google Authenticator schon kennen und wohl auch schon nutzen.
Auch diesen kann man zur sicheren Anmeldung an seinem Blog verwenden.
Ihr findet dieses Plugin im WordPress Plugin Directory (LINK) oder über die Plugin suche in WordPress direkt.
Nach der Installation und dem Aktivieren müsst ihr euch in die Benutzer Verwaltung begeben, dort nehmt ihr die Einstellungen für das Login vor.
Ihr müsst hier das Plugin aktivieren, eine Beschreibung vergeben, die App auf eurem Smartphone installieren, euch den QR Code anzeigen lassen und diesen in der App einlesen.
Ich empfehle euch, dass ihr hier nicht “Wordpressblog” drin stehen lasst, ansonsten findet ihr sehr schnell in der App nix mehr wieder – und bei Google Authenticator müsst ihr den Code abtippen!
Wie ihr seht, geht die Einrichtung des Google Authenticators wesentlich einfach als die von Duo, dafür sind die Konfigurationsmöglichkeiten aber auch eingeschränkter.
Die jeweiligen Einstellungen lassen sich nur für den eigenen User ansehen bzw. ändern, möglicherweise lassen sich allerdings die Daten aus der Datenbank ziehen.
Fazit – was soll ich nutzen?
Ich würde empfehlen die DUO Methode zu nutzen. Die Einrichtung ist zwar aufwändiger, aber die Möglichkeiten sind umfassender. Außerdem ist die Push Methode sehr praktisch, besonders, wenn man einen Haufen an Token zu verwalten hat.
Für DUO gibt es nämlich, neben WordPress, noch einige andere interessante Anwendungen die ihr einrichten könnt, so lässt sich DUO auch z.B. für Lastpass nutzen, für Google Apps, Amazon Web Services, Office 365, Drupal, jede Menge Hardware Firewalls, SSH Logins und und und
Wenn ihr wirklich nur eine Seite schützen möchtet, dann geht das auch mit Google, keine Frage. Und auch der Google Authenticator lässt sich für mehr als nur eine Anwendungen verwenden.