Joomla-tofaktorautentificering er en af de Joomla-projektforbedringer, som kan og vil forbedre sikkerheden. Dette skyldes, at ved at aktivere tofaktorautentisering er det praktisk taget umuligt for en hacker at bruge et brutalt kraftangreb for at gætte detaljerne i din Joomla! brugernavn og adgangskode.
Dette er især vigtigt for administratordelen af hjemmesiden, som sikrer, at angreb, der forsøger at gætte dit kodeord, aldrig kan få succes. I øvrigt, hvis du vil sikre dit Joomla-websted stærkt, mens du gør det hurtigere, du skulle læse dette.
Hvad er Joomla Two Factor Authentication?
Joomla 3 tofaktorautentificering er et ekstra sikkerhedslag, der skaber en midlertidig (tidsbaseret) adgangskode, der er unik for et specifikt brugernavn og dit websted. Nøglen kasseres (og bliver ugyldig efter bogstaveligt talt et par sekunder). Hvis du ikke har adgang til denne midlertidige adgangskode eller hemmelige nøgle, kan du ikke logge ind.
Hvis du vil gøre dit websted mere sikkert, hvad angår loginoplysninger, er 2FA vejen at gå.
Deaktivering af tofaktorautentificering eller Joomla Secret Key
Vi diskuterer to måder at deaktivere 2FA i Joomla, den ene er, hvis du stadig har adgang til en hemmelig nøgle eller din autentificator og stadig er i stand til at generere hemmelige nøgler. Den anden er en måde at deaktivere, selvom du har mistet adgang til din hemmelige nøglemekanisme.
Med adgang til hemmelig nøgle
Hvis du allerede har aktiveret totrinsgodkendelse og vil fjerne den, skal du først og fremmest sørge for, at du har adgang til administrationen (dvs. ved hjælp af en hemmelig nøgle).
- Log ind på Joomla-administratoren med den hemmelige nøgle,
- Deaktiver to-faktor godkendelses plugin fra Udvidelser> Plugins
- Søg efter To Factor, derefter Deaktiver tofaktorautentificeringsplugin, som er aktiveret.
Ingen adgang til hemmelig nøgle
Hvis du IKKE har adgang til Administrator / Administration-panelet på webstedet, fordi du har aktiveret 2FA, og du ved ikke kan logge ind, skal du deaktivere det via PHPMyAdmin
- Log ind på PHPMyAdmin fra din hostingkonto
- Find tabellen, der slutter med '_extensions' (de første par cifre / bogstaver varierer efter installation)
- Find det plugin, der hedder plg_twofactorauth_totp og skift dens 'aktiverede' status fra '1' til '0'
- Gem
Dette deaktiverer 2FA-pluginet og slipper dermed login med den hemmelige nøgle.
Aktivering af tofaktorautentificering for Joomla!
Så lad os aktivere tofaktorautentificering i Joomla.
Bemærk, at dette understøttes som en del af kernen og ikke kræver yderligere Joomla! udvidelse. Følgende er det normale administrator login (til venstre) og Joomla administrator login med to-faktor godkendelse (til højre).
Som du kan se, er den hemmelige nøgle et nyt felt, der giver dig mulighed for at indtaste den midlertidige nøgle.
Men hvor får du faktisk den midlertidige nøgle fra?
Det første trin, du skal gøre, er at aktivere tofaktorautentificering ved at aktivere plugin fra Plugin Manager (Plugin Manager> Two Factor Authentication - Yubikey eller Google Authenticator (afhænger af hvilken nøglenerator du planlægger at bruge)).
Du kan vælge, om du vil aktivere dette
- Kun back-end (administrator)
- Kun frontend (frontend)
- Både
Når du har aktiveret pluginet, begynder du at se det hemmelige nøglefelt.
Nu skal du konfigurere brugeren via User Manager.
Ideen er, at du nu skal forbinde brugeren med en enhed, som kun den specifikke bruger har adgang til. En allestedsnærværende enhed, som du kan bruge til at generere de hemmelige nøgler, er Google Authenticator.
Dette er en smartphone-app tilgængelig på Google Play Store or Apple iTunes som bruges til at generere hemmelige nøgler for at få adgang til din Google-konto. Google Authenticator kan også fungere som en hemmelig generator for Joomla.
For at konfigurere Authenticator som din Authentication Method skal du udføre følgende trin:
Opsætning af Joomla Google Authenticator
- Gå til User Manager, klik på den bruger, som du vil konfigurere (f.eks. Superadministratorbrugeren)
- Efter at have aktiveret Two Factor Authentication plugin som beskrevet ovenfor, finder du en ny fane "Two Factor Authentication", som kan ses nedenfor som en del af brugerens parametre
- Fra rullemenuen Godkendelsesmetode skal du vælge Google Authenticator (som er tilgængelig som standard i Joomla Core-installationen).
- Så snart du vælger Google Authenticator, får du detaljerede trin til, hvordan du konfigurerer dette. Hvis du har brugt tofaktorautentificering før, ved du, at dette er et ganske let trin, som typisk gennemføres ved at scanne en QR-kode ved hjælp af selve Authenticator-appen (se nedenfor)
- Når du har scannet koden, begynder Google Authenticator at generere koder, der er specifikke for dette brugernavn
- For at fuldføre opsætningen skal du indtaste en korrekt hemmelig kode fra Authenticator efter installationen
Når alle disse trin er udført, er tofaktorautentificering blevet aktiveret for denne bruger. Når du kommer til loginskærmen, enten i front-end eller i back-end (alt efter hvad du har valgt), skal du levere den hemmelige kode fra din Authenticator, ellers vil du ikke være i stand til at Log på.
Sådan genereres en Joomla Secret Key
Du kan ikke generere en Joomla-hemmelig nøgle uden at gå igennem ovenstående proces for at knytte et brugernavn til en bestemt Joomla Google Authenticator-konto.
Når du har været igennem denne proces, er det enkelt at generere en hemmelig nøgle. Du kan få adgang til Authenticator fra din telefon og aflæse den hemmelige nøgle, der genereres til kontoen.
Husk at hver nøgle kun er gyldig i ca. 30 sekunder, så genereres en ny.
Sidste trin: Generer en batch engangskodeord
Så hvad sker der, hvis din Android-telefon ikke er tilgængelig, og du mister adgang til Authenticator? Bliver du låst ude af dit Joomla-websted?
Ikke hvis du gør de næste trin.
Opsætningen af Google Authenticator anbefaler, at du opretter en gruppe engangsadgangskoder. Dette er hemmelige nøgler, som kun kan bruges én gang.
Du skal generere disse og opbevare dem et sikkert sted, udskrive dem og lægge dem i din tegnebog og på dit skrivebord, så hvis du mister adgang til din telefon, kan du bruge disse engangs hemmelige nøgler til at være i stand til at logge ind, indtil du får adgang til Authenticator igen.
Opsætning af tofaktorautentificering med Joomla YubiKey
Hvis du har adgang til eller har købt en YubiKey for Two Factor-godkendelse, kan du også bruge dette med dit Joomla-websted. Dette er trinene for at aktivere YubiKey tofaktorautentificering med Joomla
- Tilmeld dig gratis for at få din Yubico Web Service API Id og Secret key (som du har brug for senere)
- Download YubiKey-pluginet fra Google Code YubiKey-projekt og YubiKey Authentication-komponenten
- Installer godkendelses plugin via Joomla administration: Extensions> Extension Manager> Upload Package File
- Find Yubikey-godkendelsesplugin fra Udvidelser> Plugins > Godkendelse - Yubikey. Du skal angive dit Yubico Web Service API ID og Secret Key i plugin-indstillingerne og gemme indstillingerne.
- Installer Joomla Yubikey-godkendelseskomponenten via Extension Manager
- Få adgang til YubiKey Authentication-komponenten, og tilføj en ny Yubikey-bruger med komponenten.
- Aktiver Godkendelse - Yubikey plugin i Plugin Manager. Din hemmelige nøgle ovenfor genereres nu af YubiKey. Du skal nu kunne oprette forbindelse ved hjælp af YubiKey Two Factor Authentication
- Du bliver også nødt til at deaktivere standard Joomla-godkendelsesplugin, som er aktiveret som standard, når du installerer Joomla, ellers fungerer det normale Joomla-login stadig.
Ofte stillede spørgsmål
Hvad er totrins- eller 2FA-godkendelse?
To-faktor-godkendelse er en sikkerhedsmekanisme, der tilføjer en ekstra variabel til et brugernavn og en adgangskode, et 3. felt, der genereres af en enhed, der kun er tilgængelig for en bestemt bruger. For eksempel med Joomla kan du bruge Google Authenticator til at generere den hemmelige nøgle, der kun er knyttet til din bruger. Du har muligvis også set 2FA bruges sammen med din onlinebank eller til at underskrive / verificere VISA-transaktioner.
Hvorfor bruges tofaktorautentificering?
Kombinationen af bruger + adgangskode kan gættes ved hjælp af en række forskellige teknikker, såsom phishing, ved hjælp af kendte brugernavne og adgangskode, social engineering eller simpelthen gennem brute force eller en kombination af ovenstående. Ved at bruge tofaktorautentificering introducerer du en tredje parameter, som kun brugeren har adgang til. Så selvom brugernavnet / adgangskoden er tilgængelig, vil den hemmelige nøgle kun være tilgængelig for brugeren af den konto, der har den hemmelige nøglegenerator.
Er tofaktorautentificering sikker?
Selvom ingen sikkerhedsmekanismer er 100% fuldt beviste, og hackere har vist sig at være i stand til at finde måder og midler omkring 2FA ved at bruge det og gøre det meget sikrere end ikke at bruge det.
Håber det har været nyttigt, hvis du kan lide det, så del det :)
Vær venlig at forlade a nyttigt kommenter med dine tanker, så del dette på din Facebook-gruppe (r), der ville finde det nyttigt, og lad os høste fordelene sammen. Tak fordi du delte og var god!
Afsløring: Denne side kan indeholde links til eksterne websteder for produkter, som vi elsker og helhjertet anbefaler. Hvis du køber produkter, vi foreslår, tjener vi muligvis et henvisningsgebyr. Sådanne gebyrer påvirker ikke vores anbefalinger, og vi accepterer ikke betalinger for positive anmeldelser.