Ab sofort kannst du deinen Raidboxes Account mit Zwei-Faktor-Authentifizierung (2FA) absichern. Warum 2FA für WordPress, deinen Login ins Raidboxes Dashboard oder andere deiner Zugänge als Sicherheitsmaßnahme so effektiv ist und wie die Zwei-Faktor-Authentifizierung funktioniert, erklären wir in diesem Artikel.
Der Alptraum von unautorisierten Logins
Da unser Leben zunehmend online stattfindet, wäre es natürlich ein absoluter Alptraum, wenn sich jemand Zugang zu einem oder gar allen deinen Konten verschaffen würde. Stell dir allein vor, dass ein Unternehmen, dem du deine finanziellen oder persönlichen Daten anvertraut hast, gehackt wird oder ein Datenleck öffentlich wird. Glücklicherweise sind nicht nur Kriminelle im Netz einfallsreicher geworden – auch die Cyber Security zum Schutz gegen Angreifer wird immer besser. Und zum neuesten Stand der Sicherheit gehört auch die Zwei-Faktor-Authentifizierung (2FA).
Als WordPress Hoster hat das Thema Sicherheit für uns einen besonders hohen Stellenwert und wir arbeiten laufend daran, neue Security Features zu integrieren. Um das Raidboxes Dashboard noch sicherer zu machen, steht unseren Kund:innen ab sofort die Zwei-Faktor-Authentifizierung zur Verfügung.
Was ist 2FA und warum ist sie so wichtig?
Um am besten zu erklären, warum die Zwei-Faktor-Authentifizierung heute so wichtig für die Datensicherheit ist, möchte ich zuerst definieren, was 2FA nicht ist.
Zunächst einmal ist 2FA kein Passwort, zumindest nicht wirklich. Wenn du dich mit Expert:innen unterhältst, werden sie dir wahrscheinlich sagen: “Die Zeiten, in denen ein Passwort ausgereicht hat, um unautorisierten Zugriff auf deine Website zu verhindern, sind längst vorbei – wenn es überhaupt jemals gut funktioniert hat.”
Der Grund? Menschliches Versagen.
Die Nachlässigkeit bei der Passwortvergabe
Eine aktuelle Analyse untersuchte über 1,4 Milliarden gehackte Passwörter und fand heraus, dass viele von ihnen erschreckend einfach sind. Eine ganze Reihe von Menschen waren sogar so nachlässig, dass sie „11111“, „12345“ oder das gute alte „Passwort“ verwendeten. Wer solch ein Passwort verwendet, sollte sich nicht über gehackte Konten wundern. Wenn du genau wissen willst, welche Passwörter am meisten verwendet werden und wie lange es dauert, diese zu knacken, schau dir die “Top 200 most common passwords of the year 2020” von Nordpass an.
Ein weiteres Problem, das wir nicht vergessen dürfen, sind recycelte Passwörter. Bei den Dutzenden Apps, Konten, Websites und Geräten, die von uns Anmeldeinformationen fordern, ist es natürlich mühsam, sich einzigartige Passwörter für jeden Zugang zu merken. Doch wenn du das gleiche Passwort für mehrere – oder gar alle – deiner Konten nutzt, gehst du ein großes Risiko ein. Denn wer einen deiner Accounts knackt, hat automatisch Zugang zu allen anderen.
Dein Einstieg in 2FA
Auf den ersten Blick sieht die Zwei-Faktor-Authentifizierung wie ein typisches Anmeldeverfahren aus. Um Zugriff auf eine Website oder App zu erhalten, wirst du aufgefordert, deinen Benutzernamen und dein Passwort einzugeben. Aber das ist nur der erste Schritt. Danach wird noch eine weitere Information abgefragt – zusätzlich zum Benutzernamen und Passwort. Meist ist diese Zusatzinformation aus einer dieser Kategorien:
- Persönliches Wissen: Zusätzlich zum Passwort wirst du nach anderen Informationen gefragt, die nur du kennst – zum Beispiel eine PIN, Antworten auf zuvor beantwortete „geheime Fragen“ oder ein Entsperrmuster auf dem Handydisplay.
- Real-world Information: Du wirst nach Informationen gefragt, die nur du abrufen kannst – zum Beispiel ein zeitkritischer Code, der an deine E-Mail Adresse oder per SMS verschickt wird.
- Biometrische Informationen: Du wirst zum Beispiel aufgefordert, einen Fingerabdruck, einen Netzhautscan oder einen Stimmabdruck abzugeben.
Zwei-Faktor-Authentifizierung bedeutet, dass kein einzelnes Passwort für Hacker ausreicht, um deinen Login zu knacken. Wenn du dein Telefon verlierst oder dein Passwort gestohlen wird, können Cyber-Kriminelle dank 2FA also nicht auf deine Daten zugreifen, ohne zum Beispiel den Namen deines ersten Haustiers oder die Straße, in der du aufgewachsen bist, zu kennen.
Zwei-Faktor-Authentifizierung und WordPress Sicherheit
Es gibt einen Grund, warum es in der Regel große Unternehmen sind, die von Hackern angegriffen werden: Dort befinden sich die meisten Daten. WordPress macht 64 Prozent des CMS-Marktes aus und ist somit eine Umgebung, in der eine Sicherheitslücke eine ganze Reihe von Daten liefern kann.
Wusstest du, dass fast 40 Prozent aller Websites auf WordPress laufen? Das ist eine ganze Menge an Webseiten, die Hacker auf Schwachstellen untersuchen können.
Ein weiterer Grund für die Anziehungskraft von WordPress auf Hacker ist die Beliebtheit des Content Management Systems. Da WordPress so einfach zu bedienen ist, kannst du ohne große Vorerfahrung deine Website zum Laufen bringen. Es gibt also eine ganze Reihe von relativ unbedarften WordPress User:innen da draußen, deren Websites nicht richtig abgesichert sind, nicht aktualisiert werden und somit Hintertüren für Angreifer bieten.
So erstellst du sichere Passwörter
Zuallererst solltest du sichere Passwörter nutzen. Doch wie findest du ein gutes Passwort, das du dir trotzdem merken kannst? How-To Geek Editor in Chief Chris Hoffmann hat einen super Tipp für dich:
“You might find it easier to remember a sentence like ‘The first house I ever lived in was 613 Fake Street. Rent was $400 per month.’ You can turn that sentence into a password by using the first digits of each word, so your password would become TfhIeliw613FS.Rw$4pm. This is a strong password at 21 digits. Sure, a true random password might include a few more numbers and symbols and upper-case letters scrambled around, but it’s not bad at all.”
Deine Passwörter sollten allerdings nicht nur sicher ein, sondern auch einzigartig. Bei einer entsprechenden Anzahl an Accounts wird dein Gedächtnis also ganz schön auf die Probe gestellt. Aber keine Sorge: Es gibt viele Passwortmanager, die nicht nur deine Passwörter verwalten, sondern auch einzigartige, komplexe Passwörter für jeden neuen Zugang generieren. Aber auch hier gilt: Passwörter sind nur begrenzt in der Lage, deine harte Arbeit und deine Daten zu schützen. Kommen wir also zurück zur Zwei-Faktor-Authentifizierung.
Wie funktioniert Two-Factor-Authentication?
Hardware Token
Dies ist die ursprüngliche Form von 2FA, bei der du einen Schlüsselanhänger erhältst, der alle 30 Sekunden einen neuen Code generiert. Wenn du dich auf der entsprechenden Website anmelden möchtest, überprüfst du den aktuellen Code und gibst ihn ein. Eine andere Form ist ein USB-Stick, der automatisch einen 2FA Code in den Computer eingibt, wenn er eingesteckt wird.
Diese Hardware Optionen sind besser als gar kein 2FA, aber leider nicht viel besser. Denn sie sind leicht zu verlieren, für Unternehmen teuer in der Herstellung und Verteilung und auf jeden Fall nicht unmöglich zu hacken.
SMS und Voice 2FA
Bei dieser Variante von Zwei-Faktor-Authentisierung meldest du dich mit deinem Namen und Passwort an und erhält dann eine SMS oder Sprachnachricht mit einem einmaligen Passcode (OTP). Diesen musst du eingeben, um deine Anmeldung abzuschließen. Diese Art von 2FA ist weit verbreitet, auch wenn sie noch nicht die ideale Lösung darstellt. 2017 ist beispielsweise einer Gruppe von White-Hat Hackern durch das Abfangen von 2FA SMS gelungen, einen Bitcoin Wallet zu „kapern“.
Software Tokens
Die bei weitem beliebteste Form der 2FA ist heutzutage die Verwendung eines zeitbasierten, einmaligen Passcodes (time-based one-time password, kurz: TOTP), welcher von einem Softwareprogramm generiert wird, auch „Soft Token“ genannt.
Bei dieser Methode der Two-Factor-Authentication lädst du dir zunächst eine kostenlose 2FA App herunter – auf deinem Smartphone oder Computer. Sobald diese App installiert ist, funktioniert sie mit jeder Website, die TOTP Authentifizierung unterstützt. Wenn du 2FA via TOTP für einen deiner Logins aktiviert hast, meldest du dich einfach mit deinem Benutzernamen und Passwort an. Danach wirst du aufgefordert, einen Code einzugeben, der an die installierte App gesendet wird. Dieser Code läuft in der Regel nach 60 Sekunden ab.
Da der Code auf demselben Gerät generiert und angezeigt wird, gibt es keine Chance, dass Hacker ihn abfangen. Darüber hinaus funktionieren diese Apps auch offline. Somit bist du nicht abhängig von dem Mobilfunknetz, wie es bei 2FA per SMS der Fall ist.
2FA Push Benachrichtigungen
Eine weitere, zunehmend verbreitete Version von 2FA sind Push-Benachrichtigungen. Diese funktionieren so, dass du eine Benachrichtigung von Websites und Apps erhält, wenn es einen Anmeldeversuch gibt. Du bestätigst oder lehnst einfach mit einem Klick ab, und voila, du bist eingeloggt, ohne zusätzliche Passwörter oder Token.
Allerdings funktioniert diese Version von 2FA nur, wenn du und die Website eine direkte, sichere Verbindung haben.
Welche 2FA App kannst du nutzen?
Es gibt unzählige Apps, die du für die oben beschriebene TOTP Authentifizierung nutzen kannst. Um den Dschungel etwas zu lichten, habe ich dir zwei Beispiele mitgebracht:
Wenn du Android nutzt, bietet sich beispielsweise die App andOTP an. Diese bietet die Möglichkeit, ein Passwort zum Öffnen der App festzulegen sowie Backups zu erstellen und zu verschlüsseln. So kannst du beispielsweise immer, wenn du einen neuen Service hinzufügst oder entfernst, ein verschlüsseltes Backup in deiner privaten Cloud sichern und hast somit kein Problem, wenn du dein Mobilgerät wechselst. Auch die Integration mit 1Password oder anderen Passwort Managern funktioniert mit andOTP ohne Probleme.
Da es andOTP nicht für iOS gibt, bietet sich für Apple User:innen beispielsweise Twilio Authy an. Die Vorteile: Authy bietet Service Backups in der iCloud oder per Google Drive an und wird regelmäßig intensiven Sicherheitstest unterzogen.
Darüber hinaus kannst du mit den meisten Passwort Managern TOTP Codes generieren. Wenn du beispielsweise 1Password nutzt, wird dir diese Schritt für Schritt Anleitung weiterhelfen.
Zwei-Faktor-Authentifizierung bei Raidboxes
Ab sofort kannst du zusätzlich zu deinem normalen Login noch die Zwei-Faktor-Authentifizierung für einen Raidboxes Account aktivieren. Ist 2FA aktiv, musst du zusätzlich zu deinem Passwort beim Login ins RB-Dashboard noch einen weiteren Code eingeben, den du wahlweise per Mail, SMS oder über eine Authentifizierungs-App zugesendet bekommst.
Die Nutzung des 2FA Features ist für alle Raidboxes Kund:innen kostenlos und optional. Wir empfehlen dir aber ausdrücklich, diesen zusätzlichen Schutz zu aktivieren. Schließlich hätte eine Person, die sich unautorisiert in deinen Raidboxes Account einloggt, nicht nur Zugriff auf deine Daten, sondern auch auf die deiner Kund:innen – zum Beispiel wenn du Kundenseiten als Admin betreust.
2FA per App, Mail oder SMS
Die Zwei-Faktor-Authentifizierung ist bei Raidboxes über drei Methoden möglich:
- App: Um unser 2FA Feature zu nutzen, kannst du jede beliebige Authenticator-App verwenden, welche TOTP unterstützt. Wir empfehlen zum Beispiel andOTP (für Android) oder Authy (für iOS).
- E-Mail: Möchtest du 2FA via Mail nutzen, bekommst du deine Authentifizierungscodes an die E-Mail Adresse geschickt, mit der du bei Raidboxes registriert bist.
- SMS: Wenn du mindestens einen kostenpflichtigen Vertrag abgeschlossen hast, steht dir zusätzlich 2FA per SMS zur Verfügung. (Die von dir angegebene Handynummer wird nicht in unserem System gespeichert. Wir können also nicht einsehen, welche Nummer du für 2FA nutzt.)
Nachdem du die Zwei-Faktor-Authentifizierung für deinen Raidboxes Account aktiviert hast (wie das geht, erklären wir in diesem Hilfebeitrag), musst du also zukünftig beim Login einen zusätzlichen Code eingeben, der dir über die von dir ausgewählte Methode zugeschickt wird.
Auch für das Deaktivieren des Features ist die Eingabe eines 2FA Codes notwendig. Solltest du dich einmal aus deinem Account aussperren, kontaktiere einfach unseren Support über den Live-Chat.
Für wen gilt die 2FA bei Raidboxes?
Die Zwei-Faktor-Authentifizierung aktivierst du bei uns mit wenigen Klicks über deine Account Einstellungen. Bitte beachte, dass der 2FA Schutz mit Raidboxes nur für das Konto gilt, für welches du ihn aktiviert hast – nicht für einzelne Boxen oder deren Admins.
Um deine Daten (und die deines Unternehmens) bestmöglich zu schützen, empfehlen wir jedoch ausdrücklich, dass alle Nutzer:innen ihren Raidboxes Zugang mit 2FA absichern.
Und was ist mit 2FA für WordPress?
An dieser Stelle möchten wir nochmals darauf hinweisen, dass unser 2FA Feature nur für dein Raidboxes Konto gilt und nicht für deinen WordPress Login. Es gibt jedoch viele 2FA WordPress Plugins, mit denen du deinen WordPress Login absicherst.
Dazu gehört zum Beispiel das Plugin „Google Authenticator – WordPress Two Factor Authentication“ mit über 20.000 aktiven Installationen. Oder „Two Factor Authentication“ – ebenfalls mit über 20.000 Nutzer:innen – von den Machern des beliebten Backup Plugins “UpdraftPlus”. Weitere 2FA Plugins findest du ganz einfach im offiziellen WordPress Plugin Directory oder in deinem WordPress Dashboard unter Plugins > Installieren.
Unser Fazit
Wir sind stolz darauf, dass das Raidboxes Dashboard dank Zwei-Faktor-Authentifizierung für unseren Nutzer:innen nun noch sicherer ist. Auch, wenn die Aktivierung von 2FA bei uns nicht verpflichtend ist, hoffen wir, dass dich die genannten Vorteile überzeugt haben. Denn durch die zusätzliche Abfrage eines 2FA Codes bekommt dein Account eine weitere Sicherheitsebene und du sorgst dafür, dass deine Daten (und die deiner Kund:innen) noch besser vor unautorisierten Zugriffen geschützt sind.
Wir freuen uns über deinen Input!
Wenn du weitere Fragen zum Thema Zwei-Faktor-Authentifizierung hast oder zur Nutzung des 2FA Features bei Raidboxes, dann lass uns gerne einen Kommentar da – oder melde dich in unserem Live-Chat!