Google Authenticator 2FA in Matomo

2 Faktor Authentifizierung ist für mich ein wichtiger Bestandteil einer umfassenden Sicherheitsrichtlinie. Matomo bietet ein Plugin, welches die erweiterte Anmeldung mit Hilfe von Einmalpasswörtern unterstützt. Nutzer des Plugins  WP-Piwik von André Bräkling müssen eine kleine Einschränkung beachten.

Matomo ist ein integraler Bestandteil der freien Datenerhebung mit einem hohen Datenschutz. Die Besucherdaten werden nicht an einem fremden Dienst gegeben und liegen nur in der Hand des Webseitenbetreibers. Hier können die Daten datenschutzkonform aufbereitet werden.

Ich selbst nutze Matomo um mir folgende Daten generieren zu lassen:

  • Meistgelesener Artikel, damit ich erfahre, welche Artikel meine Besucher gerne lesen
  • Von welchen Orten haben die Besucher zu mir gefunden (weiterleitende Webseite, Suchmaschine, Socialmedia etc)
  • Welche Hardware haben die Besucher genutzt und wo muss ich meine Seite optimieren, um sie besser für den Besucher zu machen. (Auflösung, Endgerät)

Matomo macht im Grunde nichts anderes, was ich aus des Logs meines Webservers schon ersehen könnte, nur besser aufbereitet. Im Gegensatz zu dem Webserver, welcher die volle IP-Adresse kennt, werden die letzten zwei Bytes in Matomo verschleiert. Hier leider zwar die Geolokalisierung, aber Datenschutz ist mir wichtig.

Verschleierung der IP-Adresse
Verschleierung der IP-Adresse

Google Authenticator 2FA in Matomo

Um nun die Daten meiner Leser vor dem Missbrauch durch Unautorisierte zu schützen, ist eine meiner Richtlinien die Zwei-Faktor-Authentifizierung mithilfe des Plugins GoogleAuthenticator aus dem Marketplace von Matomo.

Nach der Installation findet man einen zusätzlichen Punkt „GoogleAuthenticator“ in den persönlichen Einstellungen seines Benutzerkontos, in welchen die Einrichtung vorgenommen werden kann.

Konfiiguration und einlesen des QRCodes
Konfiguration und Einlesen des QRCodes

Nach dem Einlesen des QRcodes ist die Eingabe eines Codes zur Bestätigung notwendig.
Jetzt ist für das Login, das Passwort, sowie der QRCode notwendig.

Piwik_AnmeldungOTP

WordPress und Matomo

Es gibt das sehr gute Plugin WP-Piwik von André Bräkling im Pluginverzeichnis von WordPress, welches mir seit langer Zeit gute Dienste erweist. Leider ist es nicht möglich mit diesem Plugin Matomo mit 2AF weiterhin auszulesen, aber an jenes zu senden. Ich hatte ein Bugreport eröffnet, welchen der Entwickler sehr schnell auch beantwortete :

Or do you want to configure WP-Piwik for use with this Google Authenticator Plugin? So you need a auth_code additional to Matomo auth_token? This is not possible, yet. You can manually modify the Request classes (/wp-piwik/classes/WP_Piwik/Request/) and extend the URLs by the auth_code parameter, and, if necessary, I will plan to add a configuration option to define this auth_code in a future release.

2AF Apps für Smartphones

Die Opensourceapp FreeOTP , entwickelt von RedHat, nutze ich unter Android

Google Play Store FreeOTP

Apple App Store FreeOTP

Unter iOS nutze ich das wirklich gute OTP Auth von Roland Moers aus Aachen.
Vorteil dieses Programms ist der in FreeOTP fehlende Pinschutz.

Apple Appstore OTP Auth