Multifaktor-Authentifizierung (MFA) in TYPO3: Anleitung für Redakteure
Die Sicherheit im Web ist heute wichtiger denn je. Gerade in einem CMS wie TYPO3, in dem viele Personen Zugriff auf teils sensible Inhalte haben, ist der Schutz der Benutzerkonten essenziell. Eine der wirksamsten Maßnahmen dafür ist die Multifaktor-Authentifizierung (MFA). Diese steht seit TYPO3 Version 11 zur Verfügung.
In diesem Beitrag zeigen wir dir, warum du MFA verwenden solltest und wie du die verschiedenen Methoden — TOTP, Wiederherstellungscodes und E-Mail-basierte MFA — direkt in TYPO3 einrichtest.
Warum Multifaktor-Authentifizierung (MFA)?
Die Zahl der Cyberangriffe steigt stetig: Laut Berichten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gehören ausgelesene Anwendungsdaten zu den häufigsten Einfallstoren für Angreifer (BSI Lagebericht 2024).
Multifaktor-Authentifizierung (MFA) – häufig auch Zweifaktor-Authentifizierung (2FA) genannt – schützt Benutzerkonten, indem sie zwei oder mehr unabhängige Sicherheitsnachweise verlangt:
Etwas, das du weißt (dein Passwort)
Etwas, das du besitzt (z.B. dein Smartphone für TOTP-Codes)
Selbst wenn ein Angreifer dein Passwort kennt, kann er ohne den zweiten Faktor keinen Zugriff auf dein Konto erlangen. Studien zeigen, dass MFA mehr als 99,9 % aller automatisierten Angriffsversuche verhindern kann (Microsoft Security Blog, 2020).
Gerade in TYPO3, wo Redakteure und Admins oft umfangreiche Berechtigungen besitzen, schützt MFA nicht nur einzelne Benutzer, sondern die Sicherheit der gesamten Website.
So richtest du MFA in TYPO3 ein
- Melde dich im TYPO3-Backend an und klicke oben rechts auf dein Benutzerprofil (meist dein Benutzername).
- Wähle das Modul „Benutzereinstellungen“
- Klicke auf den Tab „Account-Sicherheit“
- Gehe zu „Multifaktor-Authentifizierung aktivieren“.
Nun kannst du verschiedene Authentifizierungs-Provider aktivieren und konfigurieren.
Hinweis: Die Verifizierung via E-Mail wird vom TYPO3 Standardmäßig nicht angeboten. Dafür muss der Integrator zunächst eine Extension installieren (s. Hinweise für Integratoren).
1. Zeitbasiertes Einmalkennwort
Das zeitbasierte Einmalkennwort (engl. Time-based One-time Password – TOTP) ist eine der sichersten und praktischsten MFA-Methoden.
Funktionsweise
Eine Software generiert auf deinem Smartphone oder Rechner einen Code. Dieser ändert sich alle 30 Sekunden. Den Code gibst du nach dem Login als zusätzliche Validierungs-Methode ein.
Zur Erzeugung der Codes benötigst du zunächst eine Applikation auf deinem gewünschten Endgerät.
Hier ein paar Empfehlungen von uns, je nach Betriebssystem:
- Für iOS (iPhone / iPad / Mac): Schlüsselbund oder Authy
- Für Windows: 2fast
- Für Android: Google Authenticator oder FreeOTP
- Für Linux: OTPClient
Einrichtung
- Nachdem du die oben genannten Schritte erledigt hast, wähle in der ersten Kachel bei Zeitbasiertes Einmalkennwort „+ Einrichten“.
- Nun siehst du die Einrichtungsmaske inkl. eines QR-Codes sowie einen Code-Schlüssel (Schritt 1a und 1b). Du kannst eins von beiden nutzen für die Einrichtung in der von dir vorab installierten Applikation.
- Gib am besten den Namen der Applikation oder des Endgeräts an, damit du den Dienst für dich identifizieren kannst.
- Nun trage bei Schritt 3 den Code ein, welchen dir deine Applikation ausgibt.
- Speichere deine Angaben.
2. Wiederherstellungscodes (Recovery Codes)
Wiederherstellungscodes sind einmalige Notfallcodes, die du sicher aufbewahren solltest. Du kannst diese Methode erst einrichten, wenn ein anderer MFA-Anbieter (TOTP, E-Mail etc.) bereits von dir eingerichtet wurde, da es sich hierbei nur um eine Fallback-Lösung handelt.
Funktionsweise
- Jeder Code ist nur einmal gültig. Wurde ein Code angewandt, verfällt dieser und er kann nicht erneut verwendet werden.
- Du kannst sie verwenden, wenn du dein Smartphone verlierst oder keinen Zugriff auf deine TOTP-App hast.
- Du kannst jederzeit wieder neue Codes generieren. Das solltest du vor allem dann erledigen, wenn du alle Codes aufgebraucht hast.
Einrichtung
- Nachdem du die oben genannten Schritte erledigt hast, wähle in der letzten Kachel bei Wiederherstellungscodes „+ Einrichten“.
- Nun wird dir eine Liste von automatisch generierten Wiederherstellungscodes angezeigt. Sichere dir diese Liste gut ab.
- Bestätige die Einrichtung via „Speichern“.
3. Authentifizierung via E-Mail
Diese Methode ist etwas weniger sicher als TOTP, da sie vom Schutz deines E-Mail-Kontos abhängt. Sie eignet sich aber gut als Fallback.
Die MFA via E-Mail ist nicht Teil des TYPO3-Kerns und muss erst über eine Extension installiert und konfiguriert werden (s. Hinweise für Integratoren).
Funktionsweise
Nach deinem regulären Login sendet TYPO3 dir eine E-Mail mit einem Bestätigungscode. Diesen Code musst du dann zusätzlich angeben.
Einrichtung
- Nachdem du die oben genannten Schritte erledigt hast, wähle in der zweiten Kachel bei E-Mail Authentifizierungsmethode „+ Einrichten“.
- Gib die E-Mail-Adresse an, an welche die Codes gesendet werden sollen.
- Bestätige die Einrichtung mit „Speichern“.
Login mit MFA
Nachdem du deine MFA-Methoden eingerichtet hast, kannst du dich zunächst wie gewohnt in deinem TYPO3 Backend anmelden. Nach der Anmeldung erhältst du allerdings je nach eingerichteter Funktion einen weitere Eingabemaske, um dein Login abschließen zu können.
Gib hier den Code ein, welcher je nach Methode dir zugänglich ist. Hast du mehrere Provider angelegt, so kannst du zwischen diesen wechseln (siehe B und C).
Wem dies zu viel Text war, kann sich auch gerne das folgende Video von Wolfgang Wagner anschauen:
Dieses Video wird über eine externe Plattform (YouTube) gehostet. Das Laden bedarf der Zustimmung unserer Datenschutzbestimmungen.
Hinweise für Integratoren
TYPO3 kann so eingerichtet werden, dass alle Accounts oder nur Redakteure oder nur Admins eine MFA eingerichtet haben müssen.
// 0 - keine MFA erforderlich // 1 - Alle Accounts benötigen eine MFA // 2 - Nur Redakteure // 3 - Nur Administratoren $GLOBALS['TYPO3_CONF_VARS']['BE']['requireMfa'] = 1;
Loggt sich ein Account dann ein und hat noch keine MFA-Methode hinterlegt, so kann er diese direkt nach dem Login einrichten. Es müssen demnach nicht erst alle Accounts eine MFA aktiviert haben, damit man diese Einstellung vornehmen kann.
Für Redakteure müssen die wählbaren Provider zunächst in den Einstellungen der Backend-Nutzergruppe freigegeben werden.
Für die E-Mail-Authentifizierung muss eine Extension installiert werden. Offiziell empfohlen wird diese https://extensions.typo3.org/extension/mfa_email – wurde sie installiert, dann sind die Extension-Einstellungen noch zu justieren und die Sprachdateien zu überschreiben, um die Mail-Signatur anzupassen.
Je nach Konfiguration und Erweiterungen kann TYPO3 noch weitere Authentifizierungsmethoden unterstützen, etwa:
SMS wird nicht empfohlen, da das entsprechende Protokoll sehr veraltet und unsicher ist. Den aktuellen Stand der MFA Methoden findest du auch in der TYPO3 Dokumentation.
Zusammenfassung
Mit der Einführung der Multifaktor-Authentifizierung ab TYPO3 Version 11 hast du eine mächtige Möglichkeit, dein Backend und deine Inhalte deutlich besser zu schützen. Die Einrichtung ist einfach und schnell erledigt — und der Zugewinn an Sicherheit ist enorm. Besonders durch die Kombination von TOTP und Wiederherstellungscodes bist du bestens gegen die häufigsten Angriffsversuche gewappnet.
Hast du Fragen zur Multifaktor-Authentifizierung, Lob oder Anmerkungen zum Blog-Beitrag? Dann schreibe sie gerne in die Kommentare.
