2-Faktor-Authentifizierung

QR-Code-Beispiel mit dem Text:
Liebe_r Mitbewohner_in!
Bitte gehe zu deinem Profil und aktiviere die 2 Faktor-Authentifizierung.
Danke und alles Liebe!
Adrian

Es handelt sich hierbei um eine Sicherheitsmaßnahme, die die Website deutlich beständiger gegen Angriffe aus dem Internet macht. Die Idee ist, dass neben einem Passwort (etwas das du weißt) auch ein Gerät (etwas das du hast) eine Rolle spielt. Man muss dir also auf zwei Ebenen zu Leibe rücken.

Alle registrierte Nutzer_innen dieser Website, insbesondere jene mit der Berechtigung eigenständig Beiträge zu verfassen, Beiträge anderer zu bearbeiten bitte ich, wenn es euch nicht schwer fällt, diese Methode der Anmeldung an der Website zu verwenden. Jene User, die gar administrative Tätigkeiten auszuführen in der Lage sind, wie zum Beispiel Plugins oder Themes zu ändern bitte ich mit Nachdruck darum, dies zu tun.

Notiz: Personen, die über kein Smartphone verfügen werden nicht dazu verdonnert dieses Methode anzuwenden. Einen Stand-Computer oder ähnliches hat man nicht immer mal zur Hand. es gibt zwar die alternative dies über Mail zu tun, aber da wir noch keinen eingerichteten Mail-Server haben, steht diese Option noch nicht zur Verfügung.

Begründung der Maßnahme

Dies ist eine WordPress-Seite. Dies sind die häufigsten Websites im Internet. Quasi jede dritte Website ist eine WordPress-Website. Kein wunder, dass es inzwischen so viele ersonnene Angriffsmethoden gibt. Wird man von einem professionellen Hacker persönlich angegriffen hat man heutzutage als “Normalsterblicher” eigentlich eh keine guten Karten. Gut, dass wir wirtschaftlich uninteressant sind. Private Daten wollen wir allerdings dennoch nicht verlieren, ebenso wenig zu einer unfreiwilligen Verbreitungsstätte für Schadsoftware umgewandelt werden, und auch nicht von Google gesperrt werden. Wer sollte uns dann also hacken? Die meisten Hacker-Angriffe werden heutzutage nicht mehr von Personen verübt, sondern von Bots. Das sind Programme, die auf unzähligen Servern im Internet aktiv sind und mehr oder weniger systematisch das Internet nach Orten absuchen, wo es entweder was zu holen geben könnte oder man Schaden anrichten kann. So ein Angreifer könnte zufällig auch auf uns treffen.

Was ein besonders wahrscheinliches Szenario ist: Bots arbeiten oft als Netzwerk und so kann es vorkommen, dass nicht ein einziger Bot mittels Brute-Force-Attacken (=Passwörter ausprobieren) versucht hinter unsere Verteidigungslinie zu gelangen, sondern ein ganzer Schwarm. Das können auch mal Tausende sein. Selbst wenn die IP-Adresse jedes dieser Bots nach 10 versuchen gesperrt werden ist dies kein zuverlässiger Schutzmechanismus. Bis dahin sind vielleicht 10.000 Versuche durchgeführt worden. OWASP hat vor einigen Jahren analysiert, dass ein Drittel aller Passwörter in den Top 10.000 sind. Die Bots haben also eine nicht vernachlässigbare Chance. Fügt man eine zweite Ebene der Authentifizierung hinzu, die ein Gerät beinhaltet, das die Bots nicht kennen, ist dieser Angriffsvektor quasi zwecklos.

Technische Umsetzung

Zusätzlich zu dem Passwort, dass du weißt kommt ein zweites Passwort, öfter genannt Geheimnis, das an ein Gerät von dir gebunden ist. bei dem Gerät kann es sich um einen Computer, ein Tablet oder ein Smartphone handeln. Damit sich dadurch die Sicherheit gegenüber einem Passwort signifikant erhöht ist das Geheimnis, das dein Gerät kennt um ein Vielfaches länger ist als jedes, dass du dir merken könntest. Und auch viel zu lang, als dass du es in einer vernünftigen Zeit bei der Anmeldung an der Website eingeben könntest. Hier kommt der Clou: Mittels der Uhrzeit wird aus dem Geheimnis ein kurzer Zahlencode errechnet, der in regelmäßigen Abständen neu generiert wird. Dieses verfahren nennt man TOTP (Time-based One-time Password). Der Dienst (die Website) an der du dich anmelden möchtest errechnet ebenfalls aus der Uhrzeit den kurzen Zahlencode und vergleicht mit deiner Eingabe. Daher ist es wichtig, dass die Uhren von der Website und deinem Gerät übereinstimmen.

Hier gibt es ein kleines gutes WordPress-Plugin: https://en-gb.wordpress.org/plugins/two-factor/

Notiz zum Thema 2-Faktor und SMS: Das ist auch nicht mehr das, was es mal war: https://www.kaspersky.de/blog/ss7-attack-intercepts-sms/13148/
TOTP ist da klar im Vorteil: Die SMS jedes mal neu generiert und versendet, kann also abgefangen werden. Die Quelle ist immer der gleiche Server und der Transportweg spätestens im Telefonnetz unverschlüsselt. Das TOTP-Geheimnis wird nur ein einziges Mal übertragen (über verschlüsseltes HTTPS vom Server zu deinem Computer und dann von deinem Bildschirm optisch zur Kamera deines Smartphones), und zwar bei der Erstellung des Geheimnisses. Wenn man als Angreifer nicht genau dann dabei ist, ist das Geheimnis fortan außer Reichweite.

Anleitung

Software besorgen

Zunächst besorgt man sich eine TOTP-App für ein Gerät, das man möglichst oft zu Hand hat. Ein Smartphone ist da besonders nahe liegend. Im folgenden einige Beispiele, die man verwenden kann:

Falls du zufällig schon ein Smartphone in der Hand hältst und einen QR-Code-Scanner hast hier sind die Links:

Google Authenticator für
Android:

Google Authenticator für Android

Google Authenticator für
iOS:

Google Authenticator für iOS

2-Faktor Authentifizierung aktivieren

Nach der Installation der Software geht man zu seinem Profil im WordPress-Backend. Also hier hin: https://website.mauerseglerei.at/wp-admin/profile.php

Wenn man etwas hinunter scrollt kommt man zu einem Block, in dem man die 2-Faktor Authentifizierung aktivieren kann. (Speichern der Einstellungen nicht vergessen)

Man erhält einen Schlüssel, den man nun auf das Gerät übertagen kann. Entweder macht man das mit Hilfe des QR-Codes (obiges schwarz-weißes Bildchen) oder mit hilfe des darunter stehenden Buchstaben-und-Zahlen-Codes. Da die Apps mit einem Scanner für QR-Codes aufwarten ist ersteres natürlich viel bequemer.

Dazu öffnet man die Authentifizierungs-App, hier im Beispiel Google Authenticator und tippt auf das Plus-Symbol. Der Scanner öffnet sich. Sobald man mit der Kamera auf den QR-Code zielt, erkennt der Scanner dies quasi sofort und merkt sich den Schlüssel. Mit dem Schlüssel und der aktuellen Uhrzeit errechnet sich Google Authenticator einen sechsstelligen Zahlencode.

Anmeldung mit dem 2. Faktor

Ab nun ist es so, dass man zwei Schritte bei der Anmeldung an der Website hat. Im ersten schritt gibt man wie gehabt Username und Passwort ein. Stimmen diese erscheint ein weiteres Feld, in das man nun die aktuellen 6 Ziffern eingibt. Achtung, man muss zügig arbeiten, denn dieser Code wird alle 30 Sekunden neu generiert.

Fertig. Eine ausgesprochen sichere Anmeldung ist erfolgt.
Danke für eure Mitarbeit!

Zuletzt bearbeitet am 5. März 2021 von Adrian_Kowar

Schreibe einen Kommentar