Bents Blog

 

Ein IT Blog mit Themen aus dem Windows Server Umfeld.

Zwei-Faktor-Authentifizierung für WordPress mit dem Google Authenticator

Heute mal ein kleiner Beitrag in eigener Sache, also zu einer neuen Funktion, die ich seit einigen Tagen hier im Backend meines Blogs nutze. Auch ich setze – wie so viele – auf WordPress, da ich mit diesem Content Management System (oder auch einfach Blog-Software) einfach nur zufrieden bin.

Vor 2 Wochen erfuhr ich über Twitter von der Existenz eines neuen Plugins für WordPress: dem Google Authenticator für WordPress. Dabei handelt es sich um eine Erweiterung, die die Sicherheit des WordPress-Blogs im Bezug auf Angriffe (bei dem Versuch der Anmeldung) durch Fremde um ein Vielfaches erhöht. Das Geheimnis dahinter heißt Zwei-Faktor-Authentifizierung. Deren Funktionsweise hatte ich bereite in meinem Beitrag zur Zwei-Faktor-Authentifizierung mit VASCO beschrieben.

Voraussetzungen

Was wird für den Einsatz der Lösung benötigt?

  1. ein WordPress-Blog
  2. ein Account bei Google
  3. ein Android, IPhone oder Blackberry

Sind diese „Tatbestände“ erfüllt, so ist die Installation und Einrichtung eine Sache von wenigen Minuten. Das Plugin wird heruntergeladen und installiert – eine genaue Beschreibung findet man auf der Plugin-Seite.

Funktionsweise

Nach der Installation des Plugins im Blog, der Einrichtung des Benutzers und der Installation des Google Authenticators auf dem Smartphone, erscheint das folgende Fenster bei der Anmeldung am Blog:

Es werden nun nicht mehr nur der Benutzername und das zugehörige Passwort verlangt, sondern auch der dynamisch erzeugte Google-Authenticator-Schlüssel. Selbiger besteht aus 6 Ziffern, die sich zyklisch, innerhalb kurzer Zeit ändern. Die Anzeige des Schlüssels erfolgt über die Anwendung auf dem Smartphone und sieht so aus:

Damit ist sichergestellt, dass selbst wenn das eigene Passwort in fremde Hände gelangen sollte, mit diesem allein keine Anmeldung möglich ist, da ja auch der Google Authenticator Schlüssel benötigt wird. Und dieser wird eben nur auf dem Smartphone des verknüpften Benutzers angezeigt – das Erraten eines 6-stelligen Zufallscode ist innerhalb von etwa 30 Sekunden unwahrscheinlich.

Fazit

Sind die oben genannten Voraussetzungen erfüllt, so lässt sich die Sicherheit des eigenen Blogs schnell und unkompliziert erhöhen – und das um Längen!

Es macht ganz sicher keinen Sinn deswegen extra auf eines der aufgeführten, unterstützten Geräte zu wechseln, bei Vorhandensein empfehle ich aber dringend die Installation. Klasse finde ich auch die individuelle Zuweisung des Plugins für die Benutzer. So ist mein Administrator-Zugang durch die neue Methode sicher geschützt, während die registrierten Redakteure (deren Rechte durch WordPress begrenzt sind) weiterhin Zugang über ihre bisherige Name-Passwort-Kombination erhalten.

Ich bin mit dem Plugin rundum zufrieden und kann deshalb diese Lösung uneingeschränkt empfehlen. Wie bei allen meinen Beiträgen gilt: Bei Tipps, Vorschlägen sowie Fragen oder Kritiken hinterlasst bitte einen Kommentar.

Update vom 14. Juli 2011

Für eine zuverlässige Funktionalität ist eine möglichst genau synchronisierte Uhrzeit auf den beteiligten Geräten erforderlich – sonst schlägt die Anmeldung mit einer Fehlermeldung fehl. Was ich dagegen unternommen habe, habe ich in folgendem Beitrag geschildert.

Update vom 3. August 2011

Seit dem 1. August existiert die neue Version 0.64 des Google Authenticators, als kleine aber sehr nützliche Änderung möchte ich die Darstellung der gültigen Zeit erwähnen:

Mit dieser Anzeige wird ersichtlich, wie lange der jeweilige Schlüssel noch gültig ist und ob es sich damit lohnt, diesen zu verwenden, oder gleich auf den folgenden zu warten.

Einen Blog am Leben zu erhalten kostet Zeit und Geld. Da ich auf meiner Seite weder Werbung einbinde, noch andersweitige Zuwendungen erhalte, freue ich mich über jede kleine Spende. Einfach und unkompliziert geht das über PayPalMe. Du unterstützt damit diesen Blog. Vielen Dank.