Eine der grössten Sicherheitslücken bei einer Website ist, wenn sich jemand Zugang zu einem Administrations-Konto verschafft. Dies kann passieren, wenn zu schwache Passwörter verwendet werden oder Passwörter, die beispielsweise in einem Datenleak aufgetaucht sind.

Eine Möglichkeit, die Sicherheit zu erhöhen, ist einerseits, ein möglichst sicheres Passwort zu verwenden. Aber es kann auch ein zusätzlicher, zweiter Faktor benutzt werden, um die Sicherheit zu erhöhen. Dann sprechen wir von einer Zwei-Faktor-Authentifizierung, kurz 2FA.

Wenn du dich auf der Website wie gewohnt mit deinem Benutzernamen und deinem Passwort anmeldest, dann ist das eine Wissens-Komponente, die dein Konto schützt (im anzunehmenden Fall kennst nur du das Passwort).

Bei der 2-Faktor-Authentifizierung folgt ein zusätzlicher Schritt: nach der Übermittlung von Benutzername und Passwort authentisierst du dich mit einer zweiten Komponente. Diese zweite Komponente kann verschiedene Formen haben:

• ein Code, den du per E-Mail erhältst
• ein Code, der mittels Smartphone-App generiert wird

Im Vergleich zum Passwort wir hier ein physischer Besitz in der Form eines E-Mail-Accounts oder einem Smartphone benötigt, über welche du jeweils den Code abrufen kannst. Damit steigerst du die Sicherheit deiner Daten und deiner Website markant.

Übrigens: Die Methode, bei der ein SMS mit dem Sicherheitscode verschickt wird, steht in der Kritik, weil sie viel weniger sicher ist als die oben genannten Methoden.

Für den Abruf eines zeitlich limitierten Einmalpassworts benötigst du eine Smartphone-App. In dieser kannst du einmalig deinen Login mithilfe eines QR-Codes registrieren. Danach generiert dir diese App laufend Codes, welche zeitlich limitiert sind – die Website und deine App vergleichen die Codes in zeitlicher Abhängigkeit.

Um solche Codes zu erhalten, kannst du eine beliebige App nutzen:

• Google Authenticator
• Microsoft Authenticator
• Authy

Passwort-Manager wie 1Password haben Funktionen zur Generierung der Codes ebenfalls direkt integriert.

Der Vorteil dieser Methode ist, dass du durch die Tatsache, dass der Code auf einem Smartphone ausgegeben wird, eine physische Sicherheitsstufe schaffst. Wer also dein Passwort kennt, aber nicht dein Smartphone hat, kann sich nicht einloggen.

Bei dieser Methode wird ein numerischer Code an deine E-Mail-Adresse verschickt, welche in deinem WordPress-Benutzerkonto hinterlegt ist.

Der Vorteil hierbei ist, dass diese Methode sehr einfach einzurichten ist – normalerweise hast du bereits auf allen Geräten Zugriff auf dein E-Mail-Konto.

Ein Nachteil ist, dass die Sicherheitskomponente nicht mehr funktioniert, wenn dein E-Mail-Konto ebenfalls gehackt wurde. (Das ist mit ein Grund, warum es wichtig ist, dass du für dein E-Mail-Konto jeweils nie dasselbe Passwort verwendest wie für andere Konten.)

Die Funktionalität der Zwei-Faktor-Authentifizierung ist Teil des Unterhaltsangebotes von MIND. Dieses Angebot stellt die aktive Überwachung und Aktualisierung der Website sicher und sorgt damit für eine grösstmögliche Sicherheit.