Jeder Login ist so sicher, wie sein Passwort ist. Über die Philosophie für sichere Passwörter wurde schon viel geschrieben. Doch wer noch sicherer sein will, sollte eine sogenannte 2‑Faktor-Authentifizierung nutzen. Mit Nextcloud und WordPress ist das ziemlich einfach.
Kai Bojens hat mich heute drauf gebracht: Eigentlich wäre es mal ganz gut, meinen Nextcloud-Account mit einer zweiten Stufen Sicherheit zu versehen. Eine Möglichkeit dazu sind Einmal-Passwörter. Nach dem normalen Login mit Benutzername und Passwort kommt dann ein weiteres Passwort-Feld. Dieses Passwort erzeugt eine App auf dem Smartphone alle 30 Sekunden neu.
Zunächst muss man dazu die TOTP-App in Nextcloud installieren und aktivieren. Man kann dann den 2‑Faktor-Login in jedem Profil einzeln aktivieren. Dazu geht man in die persönlichen Einstellungen, macht das Häkchen bei „TOTP-Zweifaktorauthentifizierung“. Es erscheint ein QR-Code, der hier tatsächlich eine sinnvolle Anwendung gefunden hat.
Nun musst Du Dir eine OTP-App (oder FreeOTP) auf dem Smartphone installieren. Die liest den QR-Code und stellt so die Verbindung zu Nextcloud her. Dann beginnt die App auch schon sechsstellige Zahlen zu generieren, die als Passwort dienen. Alle 30 Sekunden ein neues.
Jetzt kannst Du Dich ausloggen. Bei neuen Login siehst Du, dass nach der normalen Anmeldung jetzt das Kurzzeit-Passwort erfragt wird. Du öffnest die App auf dem Smartphone, tippst die aktuelle Zahl ab und schon bist Du eingeloggt.
Was mache ich mit den Nextcloud-Apps?
Im Prinzip war es das. So einfach lässt sich der 2‑Faktor-Login für Nextcloud einrichten. Ein Problem hast Du jetzt, wenn Du mit Programmen oder anderen Apps auf Deine Nextcloud zugreifst, denn die kennen nur ein Passwort.
Die Nextcloud-App bietet dafür eine Lösung: App-PINs – In den persönlichen Einstellungen kannst Du unter „App-PINs“ jeder App ein neues Passwort generieren. Du musst dann in Deiner Sync-App auf dem Desktop oder der CalDav-/CardDav-App auf Deinem Smartphone das Passwort zu Deinem Account entsprechend dem generierten Code ändern.
2‑Faktor-Login für WordPress
Wenn ich schon einmal dabei bin und die App auf dem Smartphone habe, kann ich auch gleich ausprobieren, wo das noch funktioniert. WordPress! Da gibt es doch alles. Und natürlich gibt es auch eine ganze Reihe Plugins für 2‑Faktor-Authentication. Ein Plugin heißt schlicht „Two Factor“ und der Entwickler arbeitet daran, dass seine Programmierung in den Core von WordPress übernommen wird.
Nach der Installation des Plugins habe ich in meinen Profil-Einstellungen mehrere Optionen, für die Zwei-Faktor-Authentication:
- Per Mail. Der Zahlencode kommt dann per E‑Mail. Allerdings unverschlüsselt. Wer Dein erstes Passwort gehackt hat, muss dann so eine Mail anfordern und abfangen. Sicherlich ist das schwieriger als Dir Dein reguläres Passwort abzuluchsen – aber sei gewarnt.
- Per Einmalpasswort. Das ist die Option, die wir brauchen. Die aktivierst Du und verbindest den Account wieder per QR-Code mit der App. Dann kannst Du Dich auch in WordPress wie bei Nextcloud einloggen.
- Per FIDO Universal 2nd Factor (U2F). Das ist ein USB-Schlüssel.
Was geht noch mit Kurzzeit-Passwörtern?
Neugierig geworden, habe ich geschaut, was noch mit dieser OTP-App zusammenarbeitet. Auf der Wikipedia-Seite gibt es eine Liste der Implementierungen. Dort steht auch Facebook aufgelistet. Die entsprechenden Optionen findest Du unter Einstellungen › Sicherheit › Anmeldebestätigung. Dort kannst Du unter „Codegenerator“ entweder die Facebook-App als Code-Generator nutzen oder die OTP-App, mit der auch Nextcloud und WordPress zusammenarbeiten.
Du musst wieder den QR-Code scannen und bei Facebook den erzeugten Code eingeben, um Facebook und App zu verbinden. Soweit ich das sehe, muss man den zweiten Code bei Facebook nur eingeben, wenn man sich über eine Browser einloggt, den Facebook noch nicht kennt.
Auch bei Amazon kannst Du unter Mein Konto › Kontoeinstellungen ändern › Erweiterte Sicherheitseinstellungen auf OTP umstellen.
Vorteile / Nachteile
Nachteil ist der erhöhte Aufwand. Du musst immer Dein Smartphone in Griffweite haben, wenn Du Dich einloggen willst und das Smartphone muss immer noch Strom haben.
Der Wechsel von einem einem neuen Smartphone ist ein wenig aufwendiger, vermute ich. Du musst Dich mit dem alten Smartphone überall einmal einloggen und das neue Gerät verkoppeln. Dafür gibt es allerdings auch Backup-Codes – eine Handvoll Codes, die zum Beispiel Nextcloud und Facebook erzeugen, die Du im Notfall nutzen kannst. Die Codes hebt man am besten so auf, dass nur Du da dran kommst. Empfohlen wird das Ausdrucken und Abheften.
Der Vorteil der 2‑Faktor-Authentication ist natürlich die erhöhte Sicherheit. Die sollte den Aufwand wert sein. RICHTIG auswendig ist es, wenn jemand sich unberechtigt Zugang zu Deinen Daten verschafft.
Schreibe einen Kommentar