Was ist Zwei-Faktor-Authentifizierung (2FA)?

Zwei-Faktor-Authentifizierung (2FA) ist ein Anmeldeverfahren, das zwei voneinander unabhängige Identitätsnachweise verlangt, bevor Zugriff auf ein Konto gewährt wird. Der erste Faktor ist meist etwas, das der Benutzer weiß (ein Passwort). Der zweite Faktor ist etwas, das der Benutzer besitzt (ein Smartphone mit TOTP-App, ein Hardware-Security-Key wie YubiKey, ein SMS-Code, eine Push-Benachrichtigung) oder etwas, das der Benutzer ist (Fingerabdruck, Gesichtsscan). Selbst wenn ein Angreifer das Passwort durch Phishing, ein Datenleck oder Credential Stuffing stiehlt, kann er sich ohne den zweiten Faktor nicht einloggen. Google berichtete im Mai 2019, dass das Hinterlegen einer Wiederherstellungs-Telefonnummer 100 Prozent der automatisierten Bot-Angriffe, 99 Prozent des massenhaften Phishings und 90 Prozent gezielter Angriffe abwehrt. Microsoft veröffentlichte 2019, dass Konten mit irgendeiner Form von 2FA zu 99,9 Prozent weniger kompromittiert werden.

Wie funktioniert Zwei-Faktor-Authentifizierung?

Der Benutzer gibt Benutzername und Passwort wie gewohnt ein. Der Server prüft das Passwort und fragt anschließend den zweiten Faktor ab. Der zweite Faktor wird über einen dieser Kanäle geliefert:

• TOTP (Time-based One-Time Password): ein sechsstelliger Code, der sich alle 30 Sekunden ändert, erzeugt von einer App wie Google Authenticator, Microsoft Authenticator, Authy, 1Password oder Bitwarden. Der Algorithmus (RFC 6238, veröffentlicht 2011) nutzt ein geteiltes Geheimnis und die aktuelle Unix-Zeit.
• Push-Benachrichtigung: der Server sendet eine Anfrage an eine registrierte App (Duo Mobile, Microsoft Authenticator, Okta Verify) und der Benutzer tippt auf Genehmigen oder Ablehnen.
• SMS-Code: ein sechs- bis achtstelliger Code per Textnachricht. Komfortabel, aber anfällig für SIM-Swap-Angriffe. NIST SP 800-63B (Revision 3) rät von SMS als alleinigem zweiten Faktor ab.
• E-Mail-Code: ähnlich wie SMS, an eine verifizierte E-Mail-Adresse.
• Hardware-Security-Key: ein physisches USB-, NFC- oder Bluetooth-Gerät (YubiKey, Google Titan, Feitian, Nitrokey), das FIDO U2F oder WebAuthn / FIDO2 implementiert.
• Biometrischer Faktor: Fingerabdruck-, Gesichts- oder Iriserkennung via Touch ID, Face ID, Windows Hello.
• Backup-Codes: eine Liste einmaliger Wiederherstellungscodes, die beim Setup gedruckt und verwendet werden, falls der primäre zweite Faktor verloren geht.

Was ist der Unterschied zwischen 2FA und MFA?

MFA (Multi-Factor Authentication) ist der Oberbegriff für jeden Login mit zwei oder mehr Faktoren. 2FA ist eine spezifische Teilmenge von MFA mit genau zwei Faktoren. Im Alltag werden die Begriffe oft synonym verwendet. Einige stark regulierte Umgebungen (Banken unter PSD2, US-Bundesbehörden unter Executive Order 14028 vom Mai 2021) verlangen Drei-Faktor-Authentifizierung für hochprivilegierte Aktionen.

Welche 2FA-Methode ist am sichersten?

1. Passkeys / WebAuthn / FIDO2 Hardware-Keys: Phishing-resistent per Design, weil der Credential an die Origin (Domain) gebunden ist und auf einer gefälschten Seite nicht wiederverwendet werden kann. YubiKey 5, Google Titan, Apple Passkeys, Windows Hello for Business. Empfohlen von CISA, NIST und Google für hochwertige Konten.
2. TOTP-Authenticator-Apps: stark, offline, kostenlos. Risiko: Phishing-Seiten können den Code abfangen, wenn er in Echtzeit auf einer gefälschten Seite eingegeben wird.
3. Push-Benachrichtigungen: stark, erfordert Aufmerksamkeit. Risiko: MFA-Fatigue-Angriffe, bei denen Angreifer Genehmigungsanfragen spammen, bis ein müder Benutzer auf Genehmigen tippt. Der Uber-Vorfall 2022 nutzte diese Technik.
4. SMS-Codes: am schwächsten von den genannten Methoden. SIM-Swap-Angriffe beim Mobilfunkanbieter erlauben dem Angreifer, die SMS zu empfangen. Prominente Opfer sind unter anderem Twitter-Gründer Jack Dorsey (August 2019).
5. E-Mail-Codes: nur so stark wie das E-Mail-Konto selbst. Wenn die Mailbox ebenfalls mit 2FA geschützt ist, akzeptabel als Fallback.

Was sind Passkeys?

Passkeys sind eine passwortlose Weiterentwicklung von WebAuthn, standardisiert von der FIDO Alliance und unterstützt von Apple (iOS 16, September 2022), Google (Android 9+, ChromeOS, Chrome 108 im Oktober 2022) und Microsoft (Windows 11). Ein Passkey ist ein kryptografisches Schlüsselpaar, gespeichert in einem sicheren Enclave (Apple Keychain, Google Password Manager, Windows Hello) oder auf einem Hardware-Token. Der private Schlüssel verlässt das Gerät nicht, der öffentliche Schlüssel wird bei der Website registriert. Der Login erfolgt per biometrischer Bestätigung und ist immun gegen Phishing. WordPress unterstützt Passkeys über Plugins wie Two Factor oder Passkeys for WordPress (2024).

Wie aktiviere ich 2FA in WordPress?

WordPress Core enthält keine 2FA. Empfehlenswert sind diese Plugins:

• Two Factor vom WP Two Factor Feature Team (kostenlos, auf WordPress.org, über 40.000 aktive Installationen): TOTP, E-Mail, FIDO U2F, Backup-Codes.
• Wordfence Login Security (kostenlos): TOTP, reCAPTCHA beim Login, XML-RPC-Schutz. Im Wordfence-Hauptplugin enthalten oder als schlankes Einzelplugin.
• WP 2FA von Melapress (kostenlos + bezahlt): TOTP, E-Mail, Erzwingen für bestimmte Rollen, Karenzzeit für Setup.
• miniOrange Google Authenticator (kostenlos + bezahlt): unterstützt YubiKey, Duo, Authy, Google Authenticator.
• Jetpack: erfordert WordPress.com-Konto und nutzt WordPress.com-2FA.

Schritte mit dem kostenlosen Two-Factor-Plugin:

1. Plugin Two Factor über Plugins » Installieren aktivieren.
2. Benutzer » Profil öffnen und zu Zwei-Faktor-Optionen scrollen.
3. Time Based One Time Password (TOTP) aktivieren, QR-Code mit der Authenticator-App scannen, den aktuellen sechsstelligen Code eintragen und speichern.
4. Zusätzlich Backup Verification Codes aktivieren, Codes generieren, ausdrucken und sicher aufbewahren.
5. Optional FIDO U2F Security Keys aktivieren und einen YubiKey registrieren.
6. Ausloggen und den Loginablauf in einer frischen Browsersitzung testen.

Was ist MFA Fatigue und wie verhindere ich sie?

MFA Fatigue ist ein Social-Engineering-Angriff, bei dem der Angreifer das Passwort kennt und wiederholt Push-Benachrichtigungen auslöst, in der Hoffnung, dass der Benutzer aus Frustration irgendwann auf Genehmigen tippt. Gegenmaßnahmen:

• Für hochwertige Konten TOTP oder Hardware-Keys statt Push-Benachrichtigungen einsetzen.
• Number Matching in Push-Apps aktivieren (Microsoft Authenticator seit Februar 2023, Okta seit 2022): der Benutzer muss eine auf dem Loginbildschirm angezeigte Zahl eintippen, statt nur auf einen Button zu tippen.
• Benutzer benachrichtigen und Konto sperren nach mehreren abgelehnten Anfragen.
• Benutzer schulen, unerwartete Bestätigungen niemals zu genehmigen.

Welche Standards regeln 2FA?

Häufige 2FA-Fehler

• Backup-Codes im selben Passwort-Manager wie das Passwort speichern (Single Point of Failure, wenn der Tresor kompromittiert wird).
• Dieselbe SIM-Karte für SMS-2FA und die Passwort-Wiederherstellungs-Mail verwenden.
• Keinen zweiten Hardware-Key als Backup registrieren. Wenn der einzige YubiKey verloren geht, wird Kontowiederherstellung mühsam.
• E-Mail-Passwort-Reset ohne 2FA-Pflicht im Reset-Ablauf zulassen. Viele Vorfälle umgehen 2FA durch einen Passwortreset per Mail.
• 2FA für Administratoren in WordPress nicht erzwingen. Ein einziges ungeschütztes Admin-Konto entwertet alle anderen Sicherheitsmaßnahmen.

Wie hilft InspectWP bei 2FA?

InspectWP erkennt, ob eine WordPress-Seite die Standard-/wp-login.php ohne sichtbare 2FA-Abfrage exponiert, indem es das HTML der Loginseite und bekannte 2FA-Plugin-Signaturen analysiert. Seiten ohne zweiten Faktor werden im Sicherheitsbereich des Reports markiert.