Konfiguration

Zwei-Schritt-Authentifizierung

Deine WordPress.com-Website ist dein Zuhause im Internet, das du zuverlässig schützen solltest. Hoffentlich hast du bereits ein einmaliges und schwer zu erratendes Passwort für dein Konto gewählt. Eine weitere Sicherheitsebene ist die zweistufige Authentifizierung, die auch als Zwei-Schritt-Authentifizierung bezeichnet wird.

Was ist die Zwei-Schritt-Authentifizierung?

Die Zwei-Schritt-Authentifizierung ist eine Methode zur Absicherung von Konten, bei der du zum Anmelden nicht nur ein Geheimnis kennen (ein Passwort), sondern auch etwas besitzen musst (dein Mobilgerät). Der Vorteil dieses Sicherheitsansatzes ist, dass selbst ein erratenes Passwort erfordert, dass auch dein Besitz gestohlen sein muss, um in dein Konto einzubrechen.

Bei WordPress.com bieten wir Zwei-Schritt-Authentifizierung mit Mobilgerät an. Zuerst verifizieren wir dein Mobilgerät, indem wir ihm mit einer von mehreren Methoden einen Code zusenden. Sobald du dein Gerät verifiziert hast, senden wir bei jeder deiner Anmeldungen mit deinem Passwort auch einen neuen Code an dein Gerät, den du bei der Anmeldung angeben musst. Dies ist nur ein kurzer Schritt in deinem Anmeldeprozess, der aber dein Konto erheblich sicherer macht.

↑ Inhaltsverzeichnis ↑

Einrichtung mit Google Authenticator

Die Einrichtung der Zwei-Schritt-Authentifizierung mit einer Authentifizierungsanwendung für dein Gerät beginnst du in einem Desktop-Browser.

Rufe zuerst auf WordPress.com deine Einstellungsseite für die Zwei-Schritt-Authentifizierung auf.

Du kannst die Einstellungen aber auch aufrufen, indem du auf der WordPress.com-Homepage auf dein Gravatar-Bild klickst:

Gravatar

Als nächstes klickst du in der Navigation auf der linken Bildschirmseite auf den Link „Sicherheit“:

Anschließend klickst du auf Zwei-Schritt-Authentifizierung und dann auf Beginnen.

Hier wirst du aufgefordert, dein Land auszuwählen und deine Mobiltelefonnummer anzugeben (ohne Landesvorwahl und Leerzeichen oder Bindestriche). Klicke anschließend auf Per App verifizieren.

Scanne als nächstes den QR-Code, der in deiner Authenticator-App angezeigt wird. In der Authenticator-App wird eine sechsstellige Nummer angezeigt. Gib diese Nummer im entsprechenden Eingabefeld ein und klicke auf Aktivieren.

Im letzten Schritt wirst du aufgefordert, die Backup-Codes auszudrucken. Diesen Schritt solltest du nicht überspringen, da das die einzige Möglichkeit ist, dich ohne die Hilfe unserer Support-Mitarbeiter anzumelden, falls dein Gerät verloren geht!

Bitte beachte: Wenn dein Webbrowser so eingestellt ist, dass Pop-up-Fenster blockiert werden, musst du möglicherweise diese Funktion vorübergehend deaktivieren, da sonst das Fenster mit deinen Backup-Codes nicht geöffnet wird.

Klicke auf Alles abgeschlossen.

Die Zwei-Schritt-Authentifizierung ist nun für deine Website aktiviert. In einem der nächsten Schritte kannst du überprüfen, dass deine Backup-Codes funktionieren, indem du einen der ausgedrückten Codes eingibst.

↑ Inhaltsverzeichnis ↑

Einrichtung mit SMS-Codes

Wenn du die Zwei-Schritt-Authentifizierung mit einer Authenticator-App nicht einrichten kannst, steht dir noch die Verwendung über SMS-Nachrichten offen. Lege dazu deine Telefonnummer wie oben beschrieben fest, klicke anschließend jedoch auf Per SMS verifizieren.

Innerhalb weniger Augenblicke solltest du eine Textnachricht mit einer siebenstelligen Nummer erhalten. Gib diese Nummer im entsprechenden Eingabefeld ein und klicke auf Aktivieren.

Anschließend kannst du wie oben beschrieben die Backup-Codes ausdrucken und überprüfen. Dein Konto wird jetzt durch die Zwei-Schritt-Authentifizierung geschützt.

Hinweis: Smartphone-Apps, die automatische Anrufe blockieren, können auch unsere Nachrichten blockieren.

↑ Inhaltsverzeichnis ↑

Anmelden

Nach der Aktivierung der Zwei-Schritt-Authentifizierung unterscheidet sich der Anmeldeprozess leicht vom üblichen Prozess. Unabhängig davon, ob du für die Zwei-Schritt-Authentifizierung die Methode mit Google Authenticator oder mit den SMS-Nachrichten ausgewählt hast, meldest du dich wie gewohnt zuerst mit Benutzername und Passwort an.

2fa-login-1

Anschließend wirst du aufgefordert, den Verifizierungscode einzugeben, der an dein Gerät gesendet wurde.

2fa-login-sms

Wenn du für die Zwei-Schritt-Authentifizierung die SMS-Methode gewählt hast, senden wir dir eine sechsstellige Nummer zu. Falls deine Zwei-Schritt-Authentifizierung über Google Authenticator erfolgt, öffnest du die Google Authenticator-App auf deinem Gerät und gibst die sechsstellige Nummer für das Konto ein. Sobald du den Code eingegeben hast, bist du angemeldet und kannst deinen nächsten Blog-Beitrag verfassen.

↑ Inhaltsverzeichnis ↑

Backup-Codes

Wir möchten nicht, dass du den Zugang zu deinem WordPress.com-Konto verlierst, wenn dein Gerät verloren geht, gestohlen wird, du dich aus irgendeinem Grund nicht mehr anmelden kannst oder dein Gerät komplett gelöscht wird (sodass auch Google Authenticator entfernt wird). Damit du nie aus deinem Blog ausgesperrt wirst, kannst du eine Liste mit zehn einmal verwendbaren Backup-Codes generieren. Wir empfehlen, dass du die Backup-Codes ausdruckst und an einem sicheren Ort wie einer Geldbörse oder einem Dokumentensafe aufbewahrst. (Speichere sie nicht auf deinem Computer. Dadurch sind sie für jeden zugänglich, der Zugang zu deinem Computer hat.) Das Generieren von Backup-Codes ist unverzichtbar und muss unbedingt erfolgen. Wenn du einen Backup-Code verwenden musst, meldest du dich ganz normal an und gibst statt des Anmeldecodes den Backup-Code ein.

Am Ende des Einrichtungsprozesses für die Zwei-Schritt-Authentifizierung hast du die Möglichkeit, Backup-Codes zu generieren:

Klicke einfach auf „Backup-Codes erstellen“, drucke den Bildschirm mit den Codes aus – ohne ihn zu speichern! – und schließe anschließend das Fenster.

Wenn du die Liste der Backup-Codes verlierst oder sie kompromittiert wird, kannst du eine neue Liste von Codes generieren. Für zusätzliche Sicherheit werden dadurch alle zuvor generierten Codes deaktiviert.

Wichtiger Hinweis: Du kannst die Backup-Codes nur mit einem Desktop-Browser generieren. Beispielsweise kann Safari unter iOS die Backup-Codes nicht anzeigen. Wenn dein Webbrowser außerdem so eingestellt ist, dass Pop-up-Fenster blockiert werden, musst du diese Funktion vorübergehend deaktivieren, da sonst das Fenster mit deinen Backup-Codes nicht geöffnet wird.

↑ Inhaltsverzeichnis ↑

Anwendungsspezifische Passwörter

Einige Apps, die sich mit deinem WordPress.com-Konto verbinden, haben die Zwei-Schritt-Authentifizierung nicht vollständig implementiert. Zu den am häufigsten verwendeten gehören die WordPress-Mobilgeräte-Apps oder Jabber-Apps für das Abonnieren von WordPress.com-Blogs. Für diese Apps kannst du jeweils einmalige Passwörter generieren (z. B. kannst du ein unterschiedliches Passwort auf deinem Telefon und deinem Tablet festlegen). Anschließend kannst du einzelne Passwörter deaktivieren und Anwendungen aus deinem Konto sperren, damit niemand außer dir auf deine Websites zugreifen kann.

Zum Generieren anwendungsspezifischer Passwörter rufst du wieder die Zwei-Schritt-Authentifizierung auf und wechselst unten zu „Application Passwords“ (Anwendungspasswörter):

Gib der Anwendung eine Bezeichnung – die außer dir niemand sehen kann, du kannst also einen beliebigen Namen wählen – und klicke auf „Generate Password“ (Passwort generieren). WordPress.com erstellt ein einmaliges Passwort mit 16 Zeichen, das du bei der nächsten Anmeldung in deinem Konto auf diesem Gerät kopieren und einfügen kannst. Die Anwendung speichert dieses Kennwort, sodass du es dir nicht merken musst.

Auf deiner Sicherheitsseite findest du eine Liste aller Anwendungen, für die du Passwörter generiert hast. Wenn eines deiner Geräte verloren geht bzw. gestohlen wird oder du lediglich den Zugriff für eine bestimmte Anwendung sperren möchtest, kannst du diese Seite jederzeit aufrufen und mit einem Klick auf „X“ das entsprechende Passwort deaktivieren, sodass die App nicht mehr auf dein Konto zugreifen kann:

↑ Inhaltsverzeichnis ↑

Deaktivieren der Zwei-Schritt-Authentifizierung

Wir empfehlen das Deaktivieren der Zwei-Schritt-Authentifizierung nicht, da die Sicherheit geschwächt wird, selbst wenn das Passwort deiner Meinung nach sehr stark ist. Wenn du jedoch darauf bestehst, kannst du die Funktion auf der Seite Zwei-Schritt-Authentifizierung abschalten.

Auf der Seite wird angezeigt, dass die Funktion aktiviert ist, und du kannst den Button Zwei-Schritt-Authentifizierung deaktivieren anklicken. Anschließend wirst du aufgefordert, einen Code einzugeben und damit zu bestätigen, dass du immer noch Zugriff auf das Gerät hast, mit dem du die Zwei-Schritt-Authentifizierung ursprünglich eingerichtet hast. Wenn du eine Authenticator-App nutzt, öffne sie und gib den darin angezeigten Code ein. Wenn Du die SMS-Methode nutzt, wird dir ein entsprechender Code zugesendet. (Dieser Code unterscheidet sich von dem Code, den du für die Anmeldung an deinem Konto verwendest. Für diesen Schritt kannst du auch einen deiner Backup-Codes nutzen.)

Klicke nach dem Eingeben des Codes auf Deaktivieren. Nun ist dein Konto nicht mehr durch die Zwei-Schritt-Authentifizierung geschützt.

 

↑ Inhaltsverzeichnis ↑

Wechseln zu einem neuen Gerät

Wenn du zu einem neuen Gerät wechseln möchtest und die Zwei-Schritt-Authentifizierung aktiviert hast, musst du die folgenden Schritte durchführen, um dich nicht selbst aus deinem Benutzerkonto zu sperren.

Wenn du eine Authenticator-App zum Generieren von Verifizierungscodes nutzt:

  1. Folge diesen Schritten, um eine Liste von Backup-Codes für dein Benutzerkonto auszudrucken. DIESER SCHRITT DARF NICHT ÜBERSPRUNGEN WERDEN.
  2. Installiere auf deinem neuen Gerät die Authenticator-App.
  3. Deaktiviere die Verknüpfung der Zwei-Schritt-Authentifizierung mit deinem alten Gerät mit den folgenden Schritten.
  4. Verknüpfe mit den folgenden Schritten dein Benutzerkonto mit deinem neuen Gerät.
  5. Wenn du aufgefordert wirst, deinen Verifizierungscode einzugeben, nutze einen Code aus deiner Liste von Backup-Codes. Backup-Codes können nur einmal verwendet werden.
  6. Jetzt kannst du die Authenticator-App von deinem alten Gerät deinstallieren.

Wenn du die WordPress.com-Mobilgeräte-App zum Verwalten und Veröffentlichen in deinem Blog nutzt:

  1. Erstelle ein neues anwendungsspezifisches Passwort, indem du diese Schritte befolgst.
  2. Gib das neue Passwort deiner Anwendung ein, wenn du diese App auf deinem neuen Gerät nutzt.

Hinweis: Wenn du zum Empfangen von Authentifizierungscodes die SMS-Methode verwendest, musst du deine Einstellungen nur dann ändern, wenn du eine neue Telefonnummer nutzt. In diesem Fall solltest du mit den folgenden Schritten eine neue Telefonnummer zur Wiederherstellung einrichten, bevor du deine alte SMS-Nummer deaktivierst.

↑ Inhaltsverzeichnis ↑

Verlust des Geräts

Wenn du dein Gerät verlierst, aus Versehen die Authenticator-App löschst oder aus einem anderen Grund keinen Kontozugriff hast, kannst du nur unter Verwendung eines Backup-Codes wieder auf dein Konto zugreifen.

Zum Verwenden eines Backup-Codes musst du ganz normal deine Anmeldedaten eingeben. Wenn der Anmeldecode abgefragt wird, gibst du stattdessen den Backup-Code ein. Denke daran: Backup-Codes können nur einmal verwendet werden und erfordern daher besondere Vorsicht.