7 thoughts on “So schützen Sie Benutzer-Logins von WordPress & Co. mit Zwei-Faktor-Authentifizierung

  1. Werbung gähn… das die Welt nicht braucht: Noch eine proprietäre Zweifaktor-App. Ich habe schon zwei installiert auf meinen Handy: Eine die nach den offenen OTP Standard wie Google Authenticator basiert und VIP Access für Paypal und Ebay. Und jetzt noch eine dritte App? Nein Danke.

    Außerdem fehlt hier trotz superlangen Artikel die Erwähnung was bei Verlust des Handies passiert (der Knackpunkt bei jeder Zweifaktorauthentifizierung).

    • Hallo,
      der Fokus in diesem Artikel liegt natürlich auf dem vorgestellten Authentifizierungsverfahren für WordPress und Joomla. Unser Ziel ist es jedoch, unsere Kunden für die Relevanz starker Authentifizierungsverfahren zu sensibilisieren. In diesem Sinne ist dieser Artikel der erste zu diesem Thema, dem weitere folgenden werden. Dabei wird es insbesondere auch zu den Vor- und Nachteiler der jeweiligen Verfahren gehen. Der Verlust des Handys bei smartphonebasierten Authentizierungsverfahren ist dabei natürlich immer ein besonderes Risiko.
      Mit besten Grüßen
      Wolf-Dieter

    • In diesem Punkt geben wir Ihnen Recht, ein Verlust des Endgerätes ist tatsächlich ein entscheidender Knackpunkt der Zwei-Faktor Authentifizierung. Wir schützen unsere Kunden in diesem Fall sowie bei einem Gerätewechsel mit unseren sicheren Methoden zur Duplikation, Reset und der zweistufigen Wiederherstellung. Dafür muss der Nutzer diese Funktion lediglich aktivieren und kann dann mit seiner Email Adresse und seinem individuellen Wiederherstellungscode seine ID wiederherstellen oder auf ein anderes Gerät übertragen. Die Anleitungen dafür finden Sie hier: https://www.secsign.com/de/unternehmen/duplizieren-wiederherstellen-zwei-faktor-authentifizierung/
      Kunden mit einem Inhouse ID Server haben da natürlich noch zusätzliche Optionen.

      Ein weiterer wichtiger Punkt ist die unkomplizierte Sperrung der ID bei Verlust oder Diebstahl des Gerätes. Auch hier bieten wir eine Auswahl von einfachen und schnellen Verfahren für den Nutzer, zum Beispiel die Remote-Sperrung über den SecSign ID Admin Bereich.

      Zögern Sie nicht, uns bei Fragen zu kontaktieren.

  2. Ein interessanter Artikel, der bei mir eine Frage aufwirft. Das Verfahren mit Einmal-SMS wird als zu unsicher für eine ZFA benannt. Genau dieses Verfahren wird aber beim KIS-Login von Hosteurope angeboten. Und leider nur dieses. Bei Google, Amazon, Dropbox und anderen Diensten kann man die Authentifizierung über einen per App generierten Code nutzen, was offensichtlich ziemlich sicher sein muss, wenn es diese Dienste anbieten. Denkt Hosteurope hier eventuell über einen Methodenwechsel nach?

    • Hallo Rainer,
      vielen Dank. Und ja, wir denken bereits über alternative Zwei-Faktor-Authentifizierungsverfahren nach.
      Mit besten Grüßen
      Wolf-Dieter

  3. We have been using SecSign 2FA technology since more than 2 years, for our WordPress sites but also for our corporate Jira services.
    Their technology has shown to be unique, in terms of how they approach the login itself.
    We were not able to find another 2FA provider that has no weak spots in the login process.
    SecSign login never sends or stores in a server any sensitive credentials (unlike 99,9% of 2FA providers) so hackers can’t steal any login access information.
    Very impressed with this guys and love that all the entry plans are free to test

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.