Der WordPress-Administrationszugang ist das Herz und die Seele einer WordPress-Website und genau deswegen extrem schutzbedürftig. Wenn die Hürde von Benutzername (kann man innerhalb von 10 Sekunden herausfinden) und Passwort erst einmal genommen ist, kann die komplette Website zerstört oder mit Schadsoftware verseucht werden. Stellen Sie sich nur mal vor, dass harte Arbeit von Jahren innerhalb kürzester Zeit vernichtet wird. Nicht wünschenswert, oder?! Aus diesem Grund sollte man der Sicherheit seiner Website ein wenig Zeit widmen, damit man ruhigen Gewissens schlafen kann. Heute beschäftigen wir uns mit einer völlig neuen und extrem sicheren, dabei sehr komfortablen Zwei-Faktor-Authentifizierung für WordPress – der SecSign ID.
WordPress mit SecSign ID Zwei-Faktor-Authentifizierung schützen
SecSign ID möchte dem Passwort-Chaos ein Ende bereiten und bietet eine vollkommen passwortfreie und trotzdem hochsichere Authentifizierung an. Die deutsche Firma SecSign sagt hierzu folgendes:
SecSign löst alle Passwortprobleme unter Zuhilfenahme einer Challenge-Response- Authentifizierung mit 2048-Bit RSA-Schlüsselpaaren. Passwörter werden somit überflüssig. Sensible Benutzerdaten werden weder übertragen noch gespeichert. Das bedeutet, dass Hacker keine Gefahr mehr für Ihr Benutzerkonto darstellen, da schlicht und ergreifend keine Passwörter gestohlen werden können.
Durch die Verwendung von hochgradiger 2048-Bit RSA-Verschlüsselung und dem völligen Verzicht auf Passwörter macht es SecSign völlig unmöglich, Passwörter zu stehlen oder gar zu erraten. Mit diesem neuen Verfahren greifen keinerlei kriminelle Taktiken, egal ob es Brute-Force Angriffe oder Keylogger in der Tastatur sind. Denn wo nichts ist, kann auch nichts gestohlen werden.
Voraussetzung ist der Besitz eines Smartphones, unterstützt werden Android und iOS Geräte. Nun müssen Sie nur einmalig eine gut zu merkende SecSign ID erstellen, die zum Beispiel aus Ihrem Namen oder dem Ihres Hundes bestehen kann. Diese ID wird dann zu Ihrem Benutzernamen. Zusätzlich vergeben Sie eine gut zu merkende vierstellige PIN. Aus diesen Daten werden dann Ihre Schlüsselpaare generiert, die für die Sicherheit sorgen. Hier noch kurz ein paar Fakten zur SecSign ID:
- Keine Hardware oder Infrastruktur erforderlich
- Schnelles und leicht zu bedienendes Login mithilfe einer vierstelligen PIN
- Keine Übertragung oder Speicherung von vertraulichen Zugangsdaten an bzw. auf einem Server
- Voraussetzung der beiden Faktoren „Besitz“ (das mobile Gerät) und „Wissen“ (PIN) mit der Challenge-Response-Methode
- Keine Passwörter oder Tokens erforderlich
- Kein Abtippen von SMS-Codes oder Scannen von QR-Codes nötig
- Keine Verwendung von Passwörtern und somit auch keine Diebstahlgefahr
- Speicherung des öffentlichen Schlüssels auf einem Remote-Server
- Erstellung und Sicherung des privaten Schlüssels auf einem mobilen Gerät
Zusätzlich können Sie sich auch noch kostenfrei im SecSign Portal anmelden, um weitere Vorteile zu genießen.
Das SecSign Portal
Das SecSign-Portal ist ein hochgradig verschlüsselter Dropbox-Ersatz für sensible (Firmen-) Daten. Nicht nur die Anmeldung, sondern der komplette Cloud-Speicher ist 2048-Bit RSA verschlüsselt. Daher können Sie es als Backup für Ihre sensiblen Daten nutzen, die nicht verloren gehen dürfen. Das Portal beherrscht die verschlüsselte Teamarbeit, das Freigeben von Daten für spezifische Personen, den Versand von verschlüsselten Nachrichten, das Teilen von großen Dateien und den Versand von verschlüsselten E-Mails.
Bereits mit der kostenfreien Lösung erhält man handfeste Vorteile, die man nach kurzer Zeit nicht mehr missen möchte. Hier ein kurzer Überblick über die einzelnen Lizenzmöglichkeiten:
Ein Klick auf die Grafik öffnet den vollständigen Screenshot
So einfach richten Sie SecSign ID für WordPress ein
Als erstes benötigen Sie die Smartphone-App, die Sie entweder im Google Play Store oder im Apple App Store kostenfrei herunterladen können. Diese App gibt es für Android oder iOS, jedoch leider zur Zeit noch nicht für Microsoft-Geräte.
Die Smartphone App installieren und konfigurieren
- Schritt 1: App downloaden und installieren
- Schritt 2: Wählen Sie einen einfach zu merkenden Benutzernamen, der als SecSign ID verwendet wird. Er muss nicht lang oder kompliziert sein und auch keine Zahlen oder Sonderzeichen enthalten.
- Schritt 3: Wählen Sie eine vierstellige PIN, die in Kombination mit der SecSign ID verwendet wird, und Ihre SecSign ID fortan vor unberechtigter Nutzung schützt. Diese PIN wird niemals übertragen oder gespeichert. Sie wird nur dazu benutzt, um den privaten Schlüssel zu sichern
Das nötige WordPress Plugin installieren und konfigurieren
- Entwickler: SecSign
- Wird ständig weiter entwickelt: Ja
- Letzte Version vom: 13.10.2014
- Kosten: kostenfrei über WordPress.org
- Lizenz: GNU GENERAL PUBLIC LICENSE
- Wechselwirkungen mit anderen Plugins: nicht bekannt
- Entwickler-Homepage: SecSign Homepage
Downloaden Sie das Plugin von WordPress.org, installieren und aktivieren Sie es wie gewohnt.
Die Konfiguration des Plugins
Nach der Installation und Aktivierung des Plugins finden Sie die Einstellungen unter dem Menüpunkt „SecSign ID Login„. Bevor Sie jedoch die Haupteinstellungen aufsuchen, öffnen Sie bitte Ihr Nutzerprofil (Benutzer => Dein Profil) und ergänzen Sie am unteren Ende der User-Profil-Seite Ihre SecSign ID. Den Haken bei Login by password still allowed sollten Sie herausnehmen, den ansonsten würde die neue Zwei-Faktor-Authentifizierung keinen Sinn ergeben. Sie könnten sich ja weiterhin per Benutzernamen/Passwort einloggen. Genau diese Anmeldungsart wollen wir ja durch eine sicherere Variante ersetzen.
Nachdem das erledigt ist, können Sie nun die Haupteinstellungen setzen. Diese finden sie als Menüpunkt in der linken Navigation von WordPress. Hier können Sie nun Einstellungen für jeden Benutzer der Webseite vornehmen und auch für jeden User einzeln bestimmen, ob noch ein normales Login möglich sein darf. Da jedoch die Sicherheit der WordPress-Installation signifikant erhöht werden soll, deaktivieren Sie bitte bei jedem Benutzer die Möglichkeit des normalen Login. Auf dem folgenden Screenshot lassen sich sehr gut die empfohlenen Einstellungen sehen:
SecSign ID – der Anmeldevorgang
Wenn Sie sich nach der Konfiguration des Plugins ausgeloggt haben, sehen Sie nun ein ergänztes Anmeldeformular auf der Anmeldeseite Ihrer WordPress Website.
Das Original-Anmeldefenster von WordPress mit Benutzernamen und Passwort ist noch vorhanden, jedoch ohne Funktion. Die Anmeldung ist nur noch über die SecSign ID möglich und gestaltet sich denkbar einfach.
Ganz wichtig: Bitte bei Punkt 4 nicht mehr auf OK im WordPress-Fenster klicken. Der Anmeldevorgang läuft vollautomatisch ab, nachdem Sie das richtige Symbol im Smartphone angeklickt haben. Sie müssen nur ein bis zwei Sekunden Geduld haben, dann öffnet sich die Administrations-Oberfläche von allein. Klicken Sie trotzdem hier noch auf Okay, bricht der Anmeldevorgang mit einer Fehlermeldung ab.
Hilfe, ich bekomme keinen Zugriff auf die Admin-Oberfläche
Manchmal laufen Dinge schief und sie können sich beim besten Willen nicht mehr einloggen. Auch, wenn jetzt absolute Sicherheit herrscht, da sich ja nun niemand mehr anmelden kann, so ist dieser Zustand nicht unbedingt gewollt 🙂
Es gibt einen ganz einfachen Trick, mit dem Sie wieder sofortigen Zugriff auf die Adminoberfläche bekommen. Hierzu ist nur der Zugriff auf den Server bzw. das Webhostingpaket über (S)FTP nötig. Da das so ist, sollte der (S)FTP Zugang mit einem wirklich guten Passwort abgesichert sein. Also mindestens 15 bis 20 Zeichen lang und so kompliziert wie nur möglich. Sie schreiben dieses Passwort am besten gleich auf und legen es in der verschlüsselten Dropbox oder ähnlichem ab.
Sofortiger Zugriff auf den Adminbereich mittels (S)FTP-Zugang
Loggen Sie sich in Ihren Server / Ihr Webhostingpaket mittels (S)FTP ein, navigieren Sie zu wp-content/plugins, wählen dort den Ordner SecSign aus und benennen ihn in z.B. SecSign1 um. Nun können Sie sich wieder ganz normal in Ihrem WordPress anmelden.
Um SecSign ID im Anschluss wieder nutzen zu können, bedarf es eines kleinen Tricks. Löschen Sie per (S)FTP-Zugang den kompletten Ordner SecSign. Das deinstalliert das Plugin. Als nächstes müssen die vom Plugin angelegten Tabellen in der Datenbank gelöscht werden. Das kann entweder über die Verwaltungsoberfläche phpMyAdmin geschehen, oder aber mittels Plugin. Ich empfehle hier das Plugin WPDBSpringClean. Lassen Sie einen Scan laufen und löschen Sie im Anschluss die Tabelle „wp_secsign„. Sollten Sie ein anderes Tabellenpräfix als „wp_“ vergeben haben, dann heißt die Tabelle entsprechend anders.
Ist diese Tabelle gelöscht, kann das Plugin erneut installiert und konfiguriert werden.
Fazit
SecSign stellt mit der SecSign ID die mit Sicherheit interessanteste Zwei-Faktor-Authentifizierungsmethode überhaupt vor. Der völlige Verzicht auf Passwörter, das Abtippen von SMS oder Einmalcodes oder das Scannen von QR-Codes werden überflüssig und durch einen komfortablen, neuen Weg ersetzt, der zudem auch noch kostenfrei ist. Mir persönlich bleibt nun zu testen, inwieweit SecSign ID mit VaultPress kompatibel ist. Sollte es dort keinerlei Probleme geben, kommt SecSign ID bei meinen beiden Webseiten zum Einsatz. Denn ich bin wirklich begeistert!
Links zum Beitrag
- SecSign ID Homepage
- SecSign ID – Dokumentation
- SecSign ID App für Android – Download von Google Play
- SecSign ID App für iOS – Download von Apple App Store
- SecSign Plugin für WordPress – Download von WordPress.org
- WPDBSpringClean Plugin für WordPress – Download von WordPress.org
- Geheimdienst-Schreck Boxcryptor: So verschlüsseln Sie Ihre Dropbox ohne Komfortverlust
(dpe)
5 Antworten zu „Bombensicher: WordPress mit Zwei-Faktor Authentifizierung SecSign ID“
— was ist Deine Meinung?
Funktioniert super. Danke für diesen Tipp.
Klappt irgendwie nicht. Alles wie beschrieben Installiert usw.Komme bis zum Login Fenster von SecSign gebe meine SecSign ID ein und dann tut sich nix mehr.
Könnte es evtl. daran liegen das ich meinen Admin-Bereich per htaccess zusätzlich geschützt habe?
Ew würde mich mal interessieren, wie Du einen 100stelligen zufallsgenerierten Namen und ein 100Stelliges zufallsgeneriertes Passwort innerhalb von 10 Sekungen knacken willst. Logisch, dass Du Admin gar nicht erst probieren mußt.
Die Android-Wordpress-App wird damit aber nicht mehr funktionieren, nehm ich an?
Klingt interessant. Werde ich mal austesten…