Was ist Multifaktor-Authentifizierung?
Multifaktor-Authentifizierung (kurz: MFA) ist ein Sicherheitsverfahren, das den Zugang zu einem Konto oder System besser schützt. Dabei reicht es nicht aus, nur ein Passwort einzugeben. Stattdessen müssen mindestens zwei verschiedene Nachweise erbracht werden, um die Identität einer Person zu bestätigen. Diese Nachweise stammen aus verschiedenen Kategorien, zum Beispiel
- Wissen – etwas, das nur der Benutzer weiß (z. B. ein Passwort)
- Besitz – etwas, das nur der Benutzer hat (z. B. ein Smartphone oder ein Sicherheitscode)
- Biometrie – etwas, das der Benutzer ist (z. B. Fingerabdruck oder Gesichtserkennung)
Durch die Kombination dieser Faktoren wird es für Hacker viel schwieriger, unbefugt auf Konten zuzugreifen – selbst wenn das Passwort bekannt ist.
Die Microsoft Security Studie von 2020 zeigt, dass MFA mehr als 99,9 % aller automatisierten Angriffsversuche verhindern kann (Microsoft Security Blog, 2020).
Wie nutze ich die Multifaktor-Authentifizierung in TYPO3?
Sofern die Multifaktor-Authentifizierung von auf administrativer Seite eingerichtet wurde, erscheint bei der nächsten Anmeldung am TYPO3 Backend folgende Aufforderung zur Einrichtung des zeitbasierten Einmalkennwortes.
Die notwendige App installieren.
Das zeitbasierte Einmalkennwort setzt das Vorhandensein einer Zwei-Faktor-Authentifizierungsanwendung für Systeme mit Einmalpasswort-Protokollen voraus.
Hier kann zum Beispiel folgende zurzeit kostenfreie APP verwendet werden:
FreeOTP
Google Play
https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp
Apple App Store
https://apps.apple.com/app/freeotp-authenticator/id872559395
Sofern die Verwendung des zeitbasierten Einmalkennwortes individuell über die Benutzereinstellungen vorgenommen wurde, erscheint der folgende Screen im Backend.
Mit der OTP-App wird der angezeigte QR-Code gescannt. Dadurch wird in der App ein neuer Eintrag angelegt.
Dieser zeigt auch gleich den ersten 6-stelligen Code, der in der Maske im unteren Feld eintragen werden muss.
Nun ist alles eingerichtet und bei der nächsten Anmeldung kommt dann die Code-Abfrage.
Um diese zu bestätigen, wird der Eintrag in der App geöffnet und der generierte 6-stellige Code eingegeben.
Was passiert, wenn die App nicht erreichbar ist?
Batterien können leer, oder die zusätzliche Authentifizierung gerade nicht erreichbar sein.
Um sich in so einem Falle dennoch anmelden zu können, kann im TYPO3 Backend eine Wiederherstellungsliste erzeugt werden.
Dabei werden 8 Wiederherstellungs-Codes erzeugt, die einem in einem solchen Fall den weiteren Zugriff auf das Backend ermöglichen.
Die Wiederherstellungs-Codes sollten bei der initialen Einrichtung einmal erstellt, kopiert und lokal an einem sicheren Ort gespeichert werden.
Konfiguration der Multifaktor-Authentifizierung im Backend.
Benutzer können in ihren Einstellungen die Multifaktor-Authentifizierung verwalten.
Sofern durch die Administration die Möglichkeit bereitgestellt wurde, dass jeder Nutzer und jede Nutzerin die Multifaktor-Authentifizierung individuell hinzuschalten kann, darf diese hier auch deaktiviert werden.
Wurde die Einstellung global für alle durch die Administration vorgenommen, kann hier lediglich ein neuer QR-Code für die App erzeugt werden, falls diese einmal gewechselt wurde oder verloren gegangen ist.
Der Administrative Teil
Wie wird die Multifaktor-Authentifizierung in TYPO3 aktiviert?
TYPO3 sieht derzeit zwei Möglichkeiten der Aktivierung im Backend vor.
Die persönliche Aktivierung
Jede*r Nutzerin und Nutzer kann derzeit die Multifaktor-Authentifizierung direkt in den persönlichen Benutzereinstellungen aktivieren.
In dem Reiter „Account-Sicherheit“ kann diese für den persönlichen Account aktiviert und konfiguriert werden.
Die globale Aktivierung durch Administratoren
Eine Multifaktor-Authentifizierung ergibt nur Sinn, wenn alle Backend-Nutzer im System zu der Verwendung herangezogen werden.
In den Systemeinstellungen kann festgelegt werden, ob:
- keine Nutzer, die MFA zwingend verwenden müssen,
- alle Nutzer, die MFA nutzen müssen,
- lediglich Nutzer mit dem „Non-Admin“-Rechten (also die klassischen Redakteure oder Content-Geber) MFA nutzen müssen,
- nur Nutzer*innen mit dem Status „Admin“ MFA nutzen müssen
- oder ob nur die Sicherheit bei den „System Maintainers“ erhöht wird.
Es mag für alles einen Anwendungsfall geben. Doch die Sicherheit eines Systems kann nur gewährleistet
werden, wenn hier die Einstellung „Alle Nutzer und Nutzerinnen“ gewählt wird.
Als Default-Einstellung bei den Mfa-Providern ist hier der Dienst TOTP (Time-based One-time Password) eingetragen.
Können weitere Möglichkeiten der Authentifizierung genutzt werden?
Neben der klassischen TOTP (Time-based One-time Password) können auch andere Authentifizierungsmethoden zu der TYPO3 Installation über Plugins hinzugefügt werden.
E-Mail
https://extensions.typo3.org/extension/mfa_email
Klassische Mail Funktion
Ist zum Zeitpunkt des Artikels aber noch nicht für TYPO3 v13 verfügbar.
hmac One Time Provider
https://extensions.typo3.org/extension/mfa_hotp
Hier ist der Code dann nochmal durch eine Hashwertgenerator gewandelt.
Ist zum Zeitpunkt des Artikels aber noch nicht für TYPO3 v13 verfügbar.
WebAuthn Provider (FIDO2/U2F) for MFA
https://extensions.typo3.org/extension/mfa_email
Diese TYPO3-Erweiterung integriert sich in die TYPO3 Multi Factor Authentication (MFA) API, Authenticators mit dem WebAuthn Standard.
Es unterstützt FIDO2/U2F Hardware-Token und interne Authenticatoren (z.B. Android Screenlock oder Windows Hello)
Ist zum Zeitpunkt des Artikels aber noch nicht für TYPO3 v13 verfügbar.
YubiKey OTP MFA provider
https://extensions.typo3.org/extension/mfa_yubikey
Hier wird ein Key eines externen Dienstes benötigt.
Obtain Yubico Client ID and Secret Key at https://upgrade.yubico.com/getapikey/
Alle weiteren Infos zur Verwendung und Administration der Multifaktor-Authentifizierung können in der Dokumentation von TYPO3 nachgelesen werden:
https://docs.typo3.org/m/typo3/reference-coreapi/main/en-us/ApiOverview/Authentication/MultiFactorAuthentication/Index.html
Markus Söth
Vom Kaufmann über die Landschaftsarchitektur gestalte ich nun den großen Garten des Internets. Für die VisionConnect GmbH arbeite ich im Webdevelopment Bereich an den Möglichkeiten und Visionen des digitalen Zeitalters. Für Marketing und Innovation bin ich immer zu haben und stehe mit meinen Erfahrungen unseren Kunden bei ihren Projekten zur Seite.