Two Factor

Beschreibung

Das Plugin Two Factor fügt deiner WordPress-Anmeldung eine zusätzliche Sicherheitsschicht hinzu, indem es vom Benutzer zusätzlich zum Passwort eine weitere Form der Authentifizierung verlangt. Das schützt vor unberechtigten Zugriffen sogar dann, wenn Passwörter kompromittiert wurden.

Einrichtungs-Anleitungen

Wichtig: Jeder Benutzer muss seine eigenen Einstellungen für die Zwei-Faktor-Authentifizierung festlegen. Es gibt keine Website-weiten Einstellungen für dieses Plugin.

Für individuelle Benutzer

1. Zu deinem Profil navigieren: Gehe im WordPress-Admin zu „Benutzer“ → „Profil“
2. Two-Factor-Optionen finden: Scrolle runter bis zum Abschnitt „Two-Factor-Optionen“
3. Choose your methods: Enable one or more authentication providers (noting a site admin may have hidden one or more so what is available could vary):
   • Authenticator App (TOTP) – Nutze Apps wie Google Authenticator, Authy oder 1Password
   • Email Codes – Erhalte Einmal-Codes via E-Mail
   • FIDO-U2F-Sicherheitschlüssel – Benutze physische Sicherheitsschlüssel (erfordert HTTPS)
   • Backup-Codes – Erzeuge Einmal-Backup-Codes für Notfälle
   • Dummy-Methode – nur zu Testzwecken (erfordert WP_DEBUG)
4. Jede Methode konfigurieren: Folge den Einrichtungs-Anleitungen für jeden aktivierten Anbieter
5. Primäre Methode wählen: Wähle, welche Methode du als Standard-Authentifizierung verwenden möchtest
6. Änderungen speichern: Klicke auf „Profil aktualisieren“, um deine Einstellungen zu speichern

Für Website-Administratoren

• Keine globalen Einstellungen: Dieses Plugin arbeitet nur auf Benutzerebene. Mehr dazu hier: GH#249.
• Benutzerverwaltung: Administratoren können 2FA für andere Benutzer konfigurieren, indem die deren Profile bearbeiten
• Sicherheits-Empfehlungen: Benutzer sollten Backup-Methoden einrichten, damit sie nicht aus ihrem Konto ausgesperrt werden

Verfügbare Authentifizierungs-Methoden

Authenticator-App (TOTP) – empfohlen

• Sicherheit: Hoch – Zeitbasierte Einmalpasswörter
• Einrichtung: QR-Code mit Authenticator-App scannen
• Kompatibilität: Funktioniert mit Google Authenticator, Authy, 1Password und anderen TOTP-Apps
• Am besten für: die meisten Benutzer, bietet exzellente Sicherheit und gute Benutzerfreundlichkeit

Backup-Codes – empfohlen

• Sicherheit: Mittel – Codes einmal nutzbar
• Einrichtung: 10 Backup-Codes für den Notfall-Zugriff erzeugen
• Kompatibilität: Funktioniert überall, keine spezielle Hardware erforderlich
• Am besten für: Notfall-Zugriff, wenn andere Verfahren nicht verfügbar sind

E-Mail-Codes

• Sicherheit: Mittel – Einmal-Codes werden via E-Mail verschickt
• Einrichtung: Automatisch – verwendet deine WordPress-E-Mail-Adresse
• Kompatibilität: Funktioniert mit jedem E-Mail-fähigen Gerät
• Am besten für: Benutzer, die E-Mail-basierte Authentifizierung bevorzugen

FIDO-U2F-Sicherheitsschlüssel

• Sicherheit: Hoch – hardwarebasierte Authentifizierung
• Einrichtung: Physische Sicherheitsschlüssel registrieren (USB, NFC oder Bluetooth)
• Voraussetzungen: HTTPS-Verbindung erforderlich, kompatible Browser benötigt
• Browser-Support: Chrome, Firefox, Edge (je nach Schlüsseltyp)
• Am besten für: Benutzer mit Sicherheitsschlüsseln, die höchste Sicherheit wollen

Dummy-Methode

• Sicherheit: Keine – immer erfolgreich
• Einrichtung: nur verfügbar, wenn WP_DEBUG aktiviert ist
• Zweck: nur Testen und Entwicklung
• Am besten für: Entwickler, die das Plugin testen

Wichtige Hinweis

HTTPS-Anforderung

• FIDO-U2F-Sicherheitsschlüssel erfordern eine HTTPS-Verbindung
• Andere Methoden funktionieren auf sowohl HTTP- als auch HTTPS-Websites

Browser-Kompatibilität

• FIDO U2F erfordert einen kompatiblen Browser und funktioniert möglicherweise nicht auf allen Geräten
• TOTP und E-Mail-Methoden funktionieren mit allen Geräten und Browsern

Kontowiederherstellung

• Aktiviere immer Backup-Codes, damit du nicht aus deinem Konto ausgesperrt wirst
• Wenn du Zugriff auf alle Authentifizierungs-Methoden verlierst, wende dich an den Administrator deiner Website

Bewährte Sicherheitspraktiken

• Verwende möglichst mehrere Authentifizierungs-Methoden
• Verwahre Backup-Codes an einem sicheren Ort
• Prüfe und aktualisiere deine Authentifizierungseinstellungen regelmäßig

Für weitere Information zur Zwei-Faktor-Authentifizierung schau dir den WordPress Advanced Administration Security Guide an.

Weitergehende Informationen finden sich in diesem Beitrag.

Actions und Filter

Nachfolgend findet sich hier eine Auflistung von Action- und Filter-Hooks, die das Plugin anbietet:

• Der two_factor_providers-Filter hat Vorrang gegenüber anderen vorhandenen Zwei-Faktor-Authentifizierungs-Methoden wie E-Mail und zeitbasierten Einmal-Passwörtern. Array-Werte können PHP-Klassennamen der jeweiligen Zwei-Faktor-Methoden sein.
• Der Filter two_factor_providers_for_user setzt die verfügbaren Zwei-Faktor-Anbieter für einen bestimmten Benutzer zurück. Array-Werte sind Instanzen von Anbieterklassen und das Benutzerobjekt WP_User ist als zweites Argument verfügbar.
• Der two_factor_enabled_providers_for_user-Filter überschreibt die Authentifizierungsmethoden, die für einen Benutzer aktiviert sind. Das erste Argument ist ein Array der Klassennamen erlaubter Authentifizierungsmethoden, während das zweite Argument die Nutzer-ID ist.
• Die two_factor_user_authenticated-Aktion empfängt das eingeloggte WP_User-Objekt als erstes Argument, um den angemeldeten Benutzer direkt nach dem Authentifizierung-Workflow zu ermitteln.
• Der Filter two_factor_user_api_login_enable beschränkt die Authentifizierung für REST-API und XML-RPC nur auf Anwendungskennwörter. Gibt die Benutzer-ID als zweites Argument an.
• Der Filter two_factor_token_ttl überschreibt die Zeitangabe in Sekunden, in der ein E-Mai-Token nach Erzeugung gültig ist. Akzeptiert die Zeit (in Sekunden) und die ID des WP_User-Objekts, das authentifiziert wird.
• Der Filter two_factor_email_token_length überschreibt die 8-Zeichen-Vorgabe für E-Mail-Tokens.
• Der Filter two_factor_backup_code_length überschreibt die 8-Zeichen-Vorgabe für Backup-Codes. Liefert den WP_User des verknüpften Benutzers als zweites Argument.
• Der Filter two_factor_rest_api_can_edit_user überschreibt, ob sich die Zwei-Faktor-Einstellungen eines Benutzers über die REST-API bearbeiten lassen. Das erste Argument ist das aktuelle Boolesche $can_edit, das zweite Argument ist die Benutzer-ID.
• Die Aktion two_factor_before_authentication_prompt empfängt das Provider-Objekt und wird vor der Eingabeaufforderung im Authentifizierungsformular ausgelöst.
• Die Aktion two_factor_after_authentication_prompt empfängt das Provider-Objekt und wird nach der im Authentifizierungs-Eingabeformular angezeigten Eingabeaufforderung ausgelöst.
• Die Aktion two_factor_after_authentication_input empfängt das Provider-Objekt und wird nach der Eingabe im Authentifizierungsformular ausgelöst (wenn das Formular keine Eingabe enthält, wird die Aktion unmittelbar nach der Aktion two_factor_after_authentication_prompt ausgelöst).