Zwei-Faktor-Authentifizierung für WordPress und Joomla! mit Google Authenticator und YubiKey

two-factor-ga-yubikey-vi-wideSeit 2007 liegen meine Dateien bei Dropbox, über Evernote plane ich Artikel, sammle Ideen und bereite meinen nächsten Urlaub vor.

Beiden Diensten vertraue ich für mich sehr wichtige, teilweise persönliche Daten an. Passwörter können gestohlen werden, deshalb schütze ich beide Accounts mit Zwei-Faktor-Authentifizierung.

Zwei-Faktor-Authentifizierung oder auch Bestätigung in zwei Schritten erhöht die Sicherheit meiner Konten, indem es einen zweiten Faktor, also beispielsweise eine Smartphone-App oder eine Hardware-Lösung, bei der Anmeldung mit meinem Konto ergänzt.

So funktioniert Zwei-Faktor-Authentifizierung

  1. Zwei-Faktor-Authentifizierung aktivieren: Im ersten Schritt aktivierst du für deinen Dienst Zwei-Faktor-Authentifizierung. Dabei kannst du, abhängig vom Dienst, zwischen verschiedenen Methoden wählen: App, SMS oder Hardware-Lösung über einen Authenticator oder USB-Dongle.
  2. Anmelden: Du meldest dich wie üblich bei deinem Dienst mit Benutzername und Passwort an.
  3. Zusätzlicher Schritt / Zweiter Faktor: In diesem Schritt erhältst du einen Code über SMS oder App oder authentifizierst dich über deine Hardware-Lösung (Dongle).

Nach erfolgreicher Anmeldung kannst du bei vielen Diensten Geräte als vertrauenswürdig einstufen, also wählen, ob bei zukünftigen Anmeldungen mit dem Gerät auf Zwei-Faktor-Authentifizierung verzichtet werden soll. So kannst du dich auf sicheren Geräten weiterhin komfortabel anmelden.

Zwei-Faktor-Lösungen für WordPress und Joomla!

Seit einiger Zeit schütze ich meine privaten WordPress- und Joomla!-Logins ebenfalls mit Zwei-Faktor-Authentifizierung über Google Authenticator. In diesem Beitrag stelle ich euch neben Google Authenticator noch eine hardwarebasierte Alternative vor: den YubiKey.

Zwei-Faktor-Authentifizierung mit Google Authenticator

Google Authenticator kann mit vielen Diensten und Anwendungen genutzt werden, beispielsweise mit Dropbox, LastPass und Evernote. Über Plugins kannst du Google Authenticator mit WordPress verwenden, Joomla! unterstützt die Verifizierung mit Google Authenticator seit Version 3.2 Out-Of-The-Box.

Du kannst Google Authenticator kostenfrei als App für iOS, Android und BlackBerry herunterladen und auch auf mehreren Geräten parallel nutzen. Praktisch, falls du Bestätigungscodes mit Smartphone und Tablet generieren willst.

Aktiviere jetzt die Zwei-Faktor-Authentifizierung für deine Website:

Zwei-Faktor-Authentifizierung mit YubiKey

Mit einem YubiKey kannst du die klassische Anmeldung über Benutzername und Passwort mit einem zusätzlichen Sicherheitscode kombinieren. YubiKey-Standard-in-Keychain

Bild: Yubico

Ein YubiKey ist ein kleiner, robuster USB-Dongle mit einfacher One-Click-Zwei-Faktor-Authentifizierung.

YubiKeys unterstützen Computer mit USB-Anschlüssen und in den höheren Ausbaustufen (YubiKey Neo) auch Geräte mit NFC.

YubiKeys geben sich deinem Betriebssystem als USB-Keyboard zu erkennen und benötigen keinen Treiber bzw. Installation.

So funktioniert die Anmeldung mit einem YubiKey:

  • Stecke den YubiKey in einen freien USB-Anschluss.
  • Konfiguriere deinen YubiKey über das YubiKey Personalization Tool.
  • Richte den YubiKey mit dem Dienst deiner Wahl ein.
  • Melde dich am Dienst deiner Wahl mit Benutzername und Passwort an.
  • Wähle das Feld für den Sicherheitscode aus.
  • Drücke den Knopf an deinem YubiKey und er generiert automatisch einen Sicherheitscode.

YubiKeys arbeiten mit vielen CMS zusammen. Über ein Plugin kannst du YubiKey mit WordPress verwenden. Joomla! unterstützt YubiKey, wie Google Authenticator, seit Version 3.2 Out-Of-The-Box.

Die Einrichtung ist in beiden Fällen unkompliziert. In den Benutzereinstellungen deines CMS kannst du im Anschluss die Zwei-Faktor-Authentifizierung für jeden Benutzer individuell konfigurieren.

Diese Systeme und Anwendungen werden von YubiKey unterstützt (Auswahl):

  • Single Sign-On
  • Computer Login
  • VPN
  • Passwort Manager
  • Gmail
  • LastPass
  • Dropbox
  • GitHub
  • Evernote
  • WordPress
  • Joomla!

Info: Am 14. April 2015 hat Yubico eine Sicherheitslücke im YubiKey NEO bestätigt. Diese Schwachstelle betrifft alle YubiKey NEO mit OpenPGP Applet in Version 1.0.9 oder kleiner. Mehr Informationen findest du im Security Advisory von Yubico.

Diesen Beitrag bewerten:

2 Gedanken zu „Zwei-Faktor-Authentifizierung für WordPress und Joomla! mit Google Authenticator und YubiKey

  1. Reinhard sagt:

    Ich finde auf der yubico Webseite (leider ja nur englisch) keine Möglichkeit mich zu registrieren? wie geht das? wo muss ich meinen neuen yubico neo registrieren damit der auch funktioniert?

    Joomla sagt mir dauernd fehler, da kann ich die konfiguration gar nicht speichern.

    1. Philipp Bellmann sagt:

      Hallo Reinhard,

      Sie können Ihren Yubikey über das Personalization Tool konfigurieren. Ich habe den Hinweis im Text entsprechend korrigiert.

      Danke für den Hinweis,
      Philipp

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *