Sådan aktiveres, deaktiveres og bruges Joomla 2-faktorgodkendelse

joomla tofaktorautentificering

Joomla-tofaktorautentificering er en af ​​de Joomla-projektforbedringer, som kan og vil forbedre sikkerheden. Dette skyldes, at ved at aktivere tofaktorautentisering er det praktisk taget umuligt for en hacker at bruge et brutalt kraftangreb for at gætte detaljerne i din Joomla! brugernavn og adgangskode.

Dette er især vigtigt for administratordelen af ​​hjemmesiden, som sikrer, at angreb, der forsøger at gætte dit kodeord, aldrig kan få succes. I øvrigt, hvis du vil sikre dit Joomla-websted stærkt, mens du gør det hurtigere, du skulle læse dette.

Hvad er Joomla Two Factor Authentication?

Joomla 3 tofaktorautentificering er et ekstra sikkerhedslag, der skaber en midlertidig (tidsbaseret) adgangskode, der er unik for et specifikt brugernavn og dit websted. Nøglen kasseres (og bliver ugyldig efter bogstaveligt talt et par sekunder). Hvis du ikke har adgang til denne midlertidige adgangskode eller hemmelige nøgle, kan du ikke logge ind.

Hvis du vil gøre dit websted mere sikkert, hvad angår loginoplysninger, er 2FA vejen at gå.

Deaktivering af tofaktorautentificering eller Joomla Secret Key

Vi diskuterer to måder at deaktivere 2FA i Joomla, den ene er, hvis du stadig har adgang til en hemmelig nøgle eller din autentificator og stadig er i stand til at generere hemmelige nøgler. Den anden er en måde at deaktivere, selvom du har mistet adgang til din hemmelige nøglemekanisme.

Med adgang til hemmelig nøgle

Hvis du allerede har aktiveret totrinsgodkendelse og vil fjerne den, skal du først og fremmest sørge for, at du har adgang til administrationen (dvs. ved hjælp af en hemmelig nøgle).

  1. Log ind på Joomla-administratoren med den hemmelige nøgle,
  2. Deaktiver to-faktor godkendelses plugin fra Udvidelser> Plugins 
  3. Søg efter To Factor, derefter Deaktiver tofaktorautentificeringsplugin, som er aktiveret.

deaktiver to-faktor godkendelses plugin

Ingen adgang til hemmelig nøgle

Hvis du IKKE har adgang til Administrator / Administration-panelet på webstedet, fordi du har aktiveret 2FA, og du ved ikke kan logge ind, skal du deaktivere det via PHPMyAdmin 

  1. Log ind på PHPMyAdmin fra din hostingkonto
  2. Find tabellen, der slutter med '_extensions' (de første par cifre / bogstaver varierer efter installation)
  3. Find det plugin, der hedder plg_twofactorauth_totp og skift dens 'aktiverede' status fra '1' til '0'
  4. Gem

Dette deaktiverer 2FA-pluginet og slipper dermed login med den hemmelige nøgle.

Deaktiver Joomla Two Factor Authentication Plugin

Aktivering af tofaktorautentificering for Joomla!

Så lad os aktivere tofaktorautentificering i Joomla.

Bemærk, at dette understøttes som en del af kernen og ikke kræver yderligere Joomla! udvidelse. Følgende er det normale administrator login (til venstre) og Joomla administrator login med to-faktor godkendelse (til højre). 

Joomla Administrator Login NormalJoomla-administrator med hemmelighed Som du kan se, er den hemmelige nøgle et nyt felt, der giver dig mulighed for at indtaste den midlertidige nøgle.

Men hvor får du faktisk den midlertidige nøgle fra? 

Det første trin, du skal gøre, er at aktivere tofaktorautentificering ved at aktivere plugin fra Plugin Manager (Plugin Manager> Two Factor Authentication - Yubikey eller Google Authenticator (afhænger af hvilken nøglenerator du planlægger at bruge)).

Du kan vælge, om du vil aktivere dette

  1. Kun back-end (administrator)
  2. Kun frontend (frontend)
  3. Både

Når du har aktiveret pluginet, begynder du at se det hemmelige nøglefelt.

Nu skal du konfigurere brugeren via User Manager. 

Ideen er, at du nu skal forbinde brugeren med en enhed, som kun den specifikke bruger har adgang til. En allestedsnærværende enhed, som du kan bruge til at generere de hemmelige nøgler, er Google Authenticator.

Dette er en smartphone-app tilgængelig på Google Play Store or Apple iTunes som bruges til at generere hemmelige nøgler for at få adgang til din Google-konto. Google Authenticator kan også fungere som en hemmelig generator for Joomla.

For at konfigurere Authenticator som din Authentication Method skal du udføre følgende trin:  

Opsætning af Joomla Google Authenticator

  • Gå til User Manager, klik på den bruger, som du vil konfigurere (f.eks. Superadministratorbrugeren)
  • Efter at have aktiveret Two Factor Authentication plugin som beskrevet ovenfor, finder du en ny fane "Two Factor Authentication", som kan ses nedenfor som en del af brugerens parametre
  • Fra rullemenuen Godkendelsesmetode skal du vælge Google Authenticator (som er tilgængelig som standard i Joomla Core-installationen).
    To-faktor-godkendelse med Google Authenticator
  • Så snart du vælger Google Authenticator, får du detaljerede trin til, hvordan du konfigurerer dette. Hvis du har brugt tofaktorautentificering før, ved du, at dette er et ganske let trin, som typisk gennemføres ved at scanne en QR-kode ved hjælp af selve Authenticator-appen (se nedenfor)
  • Når du har scannet koden, begynder Google Authenticator at generere koder, der er specifikke for dette brugernavnOpsætning af Google Authenticator med en QR-kode
  • For at fuldføre opsætningen skal du indtaste en korrekt hemmelig kode fra Authenticator efter installationen

Aktiver tofaktorautentificering

Når alle disse trin er udført, er tofaktorautentificering blevet aktiveret for denne bruger. Når du kommer til loginskærmen, enten i front-end eller i back-end (alt efter hvad du har valgt), skal du levere den hemmelige kode fra din Authenticator, ellers vil du ikke være i stand til at Log på.

Sådan genereres en Joomla Secret Key

Du kan ikke generere en Joomla-hemmelig nøgle uden at gå igennem ovenstående proces for at knytte et brugernavn til en bestemt Joomla Google Authenticator-konto. 

Når du har været igennem denne proces, er det enkelt at generere en hemmelig nøgle. Du kan få adgang til Authenticator fra din telefon og aflæse den hemmelige nøgle, der genereres til kontoen. 

Husk at hver nøgle kun er gyldig i ca. 30 sekunder, så genereres en ny.

generere kode til Joomla Google-godkenderen

Sidste trin: Generer en batch engangskodeord

Så hvad sker der, hvis din Android-telefon ikke er tilgængelig, og du mister adgang til Authenticator? Bliver du låst ude af dit Joomla-websted?

Ikke hvis du gør de næste trin.

Opsætningen af ​​Google Authenticator anbefaler, at du opretter en gruppe engangsadgangskoder. Dette er hemmelige nøgler, som kun kan bruges én gang.

Du skal generere disse og opbevare dem et sikkert sted, udskrive dem og lægge dem i din tegnebog og på dit skrivebord, så hvis du mister adgang til din telefon, kan du bruge disse engangs hemmelige nøgler til at være i stand til at logge ind, indtil du får adgang til Authenticator igen.

Opsætning af tofaktorautentificering med Joomla YubiKey

Hvis du har adgang til eller har købt en YubiKey for Two Factor-godkendelse, kan du også bruge dette med dit Joomla-websted. Dette er trinene for at aktivere YubiKey tofaktorautentificering med Joomla

  1. Tilmeld dig gratis for at få din Yubico Web Service API Id og Secret key (som du har brug for senere)
  2. Download YubiKey-pluginet fra Google Code YubiKey-projekt og YubiKey Authentication-komponenten
  3. Installer godkendelses plugin via Joomla administration: Extensions> Extension Manager> Upload Package File  
  4. Find Yubikey-godkendelsesplugin fra Udvidelser> Plugins > Godkendelse - Yubikey. Du skal angive dit Yubico Web Service API ID og Secret Key i plugin-indstillingerne og gemme indstillingerne.
  5. Installer Joomla Yubikey-godkendelseskomponenten via Extension Manager
  6. Få adgang til YubiKey Authentication-komponenten, og tilføj en ny Yubikey-bruger med komponenten.
  7. Aktiver Godkendelse - Yubikey plugin i Plugin Manager. Din hemmelige nøgle ovenfor genereres nu af YubiKey. Du skal nu kunne oprette forbindelse ved hjælp af YubiKey Two Factor Authentication
  8. Du bliver også nødt til at deaktivere standard Joomla-godkendelsesplugin, som er aktiveret som standard, når du installerer Joomla, ellers fungerer det normale Joomla-login stadig.

Ofte stillede spørgsmål

Hvad er totrins- eller 2FA-godkendelse?

To-faktor-godkendelse er en sikkerhedsmekanisme, der tilføjer en ekstra variabel til et brugernavn og en adgangskode, et 3. felt, der genereres af en enhed, der kun er tilgængelig for en bestemt bruger. For eksempel med Joomla kan du bruge Google Authenticator til at generere den hemmelige nøgle, der kun er knyttet til din bruger. Du har muligvis også set 2FA bruges sammen med din onlinebank eller til at underskrive / verificere VISA-transaktioner.

Hvorfor bruges tofaktorautentificering?

Kombinationen af ​​bruger + adgangskode kan gættes ved hjælp af en række forskellige teknikker, såsom phishing, ved hjælp af kendte brugernavne og adgangskode, social engineering eller simpelthen gennem brute force eller en kombination af ovenstående. Ved at bruge tofaktorautentificering introducerer du en tredje parameter, som kun brugeren har adgang til. Så selvom brugernavnet / adgangskoden er tilgængelig, vil den hemmelige nøgle kun være tilgængelig for brugeren af ​​den konto, der har den hemmelige nøglegenerator.

Er tofaktorautentificering sikker?

Selvom ingen sikkerhedsmekanismer er 100% fuldt beviste, og hackere har vist sig at være i stand til at finde måder og midler omkring 2FA ved at bruge det og gøre det meget sikrere end ikke at bruge det.

Håber det har været nyttigt, hvis du kan lide det, så del det :)

Om forfatteren
David Attard
David har arbejdet i eller omkring online- og digitalindustrien i de sidste 21 år. Han har stor erfaring i software- og webdesignindustrien ved at bruge WordPress, Joomla og nicher omkring dem. Han har arbejdet med softwareudviklingsbureauer, internationale softwarevirksomheder, lokale marketingbureauer og er nu Head of Marketing Operations hos Aphex Media - et SEO-bureau. Som digital konsulent er hans fokus på at hjælpe virksomheder med at få en konkurrencefordel ved at bruge en kombination af deres hjemmeside og digitale platforme, der er tilgængelige i dag. Hans blanding af teknologisk ekspertise kombineret med et stærkt forretningssans giver hans forfatterskab en konkurrencefordel.

En ting mere... Vidste du, at folk, der deler nyttige ting som dette indlæg, også ser FANTASTISKE ud? ;-)
Vær venlig at forlade a nyttigt kommenter med dine tanker, så del dette på din Facebook-gruppe (r), der ville finde det nyttigt, og lad os høste fordelene sammen. Tak fordi du delte og var god!

Afsløring: Denne side kan indeholde links til eksterne websteder for produkter, som vi elsker og helhjertet anbefaler. Hvis du køber produkter, vi foreslår, tjener vi muligvis et henvisningsgebyr. Sådanne gebyrer påvirker ikke vores anbefalinger, og vi accepterer ikke betalinger for positive anmeldelser.

 

Hvem er vi?

CollectiveRay drives af David Attard - arbejder i og omkring webdesign -nichen i mere end 12 år, og vi giver tips til mennesker, der arbejder med og på websteder. Vi driver også DronesBuy.net - et websted for drone -amatører.

David attard

 

 

Forfatter (e) Fremhævet den:  Inc Magazine-logo   Sitepoint-logo   CSS Tricks-logo    webdesignerdepot logo   WPMU DEV-logo   og mange flere ...