Ein Benutzername und ein Passwort alleine reichen nicht mehr aus, um wichtige Dienste zu schützen. Aus diesem Grund bieten immer mehr Anbieter die Authentisierung mit einem weiteren Faktor, z. B. Einmalpasswörter per generiertem Code oder per E-Mail, an. Da WordPress standardmäßig noch keine Zwei-Faktor-Authentisierung anbietet, musste ich eines der vielen Plugins verwenden.
Wichtig war mir dabei, dass der zweite Faktor Einmalpasswörter verwendet, die auch von 1Password verwendet werden können, damit meine Anmeldung sicherer, aber nicht komplizierter wird.
Auf der Suche nach einem kleinen und einfachen Plugin, das nichts weiter macht als Benutzern die Möglichkeit zur Nutzung einer Zwei-Faktor-Authentisierung zu bieten, bin ich auf Two-Factor gestoßen.
Two-Factor ist eine Entwicklung von George Stephanis, die bereits im Jahr 2014 erschien. Trotz der Versionsnummer 0.3.0 läuft das Plugin sehr stabil und macht genau das, was es soll: einen zweiten Faktor verwenden.
Nach der Installation und Aktivierung des Plugins, findest Du in Deinem Benutzerprofil alle Optionen.
Bei der ersten Einrichtung der Zwei-Faktor-Authentisierung solltest Du auf jeden Fall noch die Optionen „E-Mail“ und „Backup-Verifizierungs-Codes“ verwenden, damit Du Dich auch noch anmelden kannst, falls Probleme mit dem generierten Code auftauchen. Wenn die Anmeldung problemlos klappt, solltest Du im Anschluss auch die Anmeldung über die beiden anderen Verfahren testen. Sind alle Deine Tests erfolgreich, so kannst Du die Option „E-Mail“ auch wieder deaktivieren, da E-Mails generell nicht sicher genug sind.
Die „Backup-Verifizierungs-Codes“ solltest Du an einem sicheren Ort aufbewahren, für den Fall dass Du irgendwann nicht an Deine generierten Codes gelangst. Mit diesen zehn Codes ist sichergestellt, dass Du Dich auch weiterhin in WordPress anmelden kannst.
Nachdem Du alles eingestellt hast, kannst Du nun Deine Anmeldung mittels Zwei-Faktor-Authentisierung ausprobieren. Nach der Eingabe Deines Benutzers und des dazugehörigen Passwortes, erscheint folgende Maske – trage Deinen generierten Code ein, um die Anmeldung abzuschließen:
Solltest Du keinen „Authentifizierungs-Code“ erhalten haben, hast Du immer noch die Möglichkeit, Dir einen Code per E-Mail senden zu lassen oder einen Deiner zehn Backup-Verifizierungs-Codes zu verwenden.
Als Administrator einer Seite, erhältst Du in der Benutzerübersicht einen Überblick, über die aktivierte oder deaktivierte Zwei-Faktor-Authentisierung eines jeden Benutzers:
