Aktivieren, Deaktivieren und Verwenden der Joomla 2-Faktor-Authentifizierung

Joomla Zwei-Faktor-Authentifizierung

Die Joomla-Zwei-Faktor-Authentifizierung ist eine dieser Joomla-Projektverbesserungen, die die Sicherheit verbessern können und werden. Dies liegt daran, dass es für einen Hacker durch die Aktivierung der Zwei-Faktor-Authentifizierung praktisch unmöglich ist, einen Brute-Force-Angriff zu verwenden, um die Details Ihres Joomla! Benutzername und Passwort.

Dies ist besonders wichtig für den Administrator-Teil der Website, der sicherstellt, dass Angriffe, bei denen versucht wird, Ihr Kennwort zu erraten, niemals erfolgreich sein können. Übrigens, wenn Sie Ihre Joomla-Website stark sichern und gleichzeitig schneller machen möchten, du solltest das lesen.

Was ist die Joomla-Zwei-Faktor-Authentifizierung?

Die Joomla 3-Zwei-Faktor-Authentifizierung ist eine zusätzliche Sicherheitsebene, mit der ein temporäres (zeitbasiertes) Kennwort erstellt wird, das für einen bestimmten Benutzernamen und Ihre Website eindeutig ist. Der Schlüssel wird verworfen (und wird buchstäblich nach einigen Sekunden ungültig). Wenn Sie keinen Zugriff auf dieses temporäre Kennwort oder diesen geheimen Schlüssel haben, können Sie sich nicht anmelden.

Wenn Sie Ihre Website in Bezug auf Anmeldeinformationen sicherer machen möchten, ist 2FA der richtige Weg.

Deaktivieren der Zwei-Faktor-Authentifizierung oder des geheimen Joomla-Schlüssels

Wir werden zwei Möglichkeiten zum Deaktivieren von 2FA in Joomla diskutieren. Eine ist, wenn Sie noch Zugriff auf einen geheimen Schlüssel oder Ihren Authentifikator haben und weiterhin geheime Schlüssel generieren können. Die zweite Möglichkeit ist die Deaktivierung, selbst wenn Sie den Zugriff auf Ihren geheimen Schlüsselmechanismus verloren haben.

Mit Zugriff auf den geheimen Schlüssel

Wenn Sie die Zwei-Faktor-Authentifizierung bereits aktiviert haben und sie entfernen möchten, müssen Sie zunächst sicherstellen, dass Sie Zugriff auf die Verwaltung haben (dh einen geheimen Schlüssel verwenden).

  1. Melden Sie sich mit dem geheimen Schlüssel beim Joomla Administrator an.
  2. Deaktivieren Sie das Zwei-Faktor-Authentifizierungs-Plugin von Erweiterungen> Plugins 
  3. Suchen nach Zwei-Faktor, dann Deaktivieren das aktivierte Zwei-Faktor-Authentifizierungs-Plugin.

Deaktivieren Sie das Zwei-Faktor-Authentifizierungs-Plugin

Kein Zugriff auf den geheimen Schlüssel

Wenn Sie keinen Zugriff auf das Administrator- / Administrationsfenster der Website haben, weil Sie 2FA aktiviert haben und wissen, dass Sie sich nicht anmelden können, müssen Sie es über PHPMyAdmin deaktivieren 

  1. Melden Sie sich von Ihrem Hosting-Konto bei PHPMyAdmin an
  2. Suchen Sie die Tabelle mit der Endung '_extensions' (die ersten Ziffern / Buchstaben variieren je nach Installation).
  3. Suchen Sie das Plugin mit dem Namen plg_twofactorauth_totp und ändern Sie den Status "aktiviert" von "1" in "0".
  4. Sparen

Dies deaktiviert das 2FA-Plugin und entfernt somit die Anmeldung mit dem geheimen Schlüssel.

Deaktivieren Sie das Joomla Two Factor Authentication Plugin

Aktivieren der Zwei-Faktor-Authentifizierung für Joomla!

Lassen Sie uns also die Zwei-Faktor-Authentifizierung in Joomla aktivieren.

Bitte beachten Sie, dass dies als Teil des Kerns unterstützt wird und keine zusätzlichen erfordert Joomla! Erweiterung. Das Folgende ist das normale Administrator-Login (links) und das Joomla-Administrator-Login mit Zwei-Faktor-Authentifizierung (rechts). 

Joomla Administrator-Login NormalJoomla Administrator mit Geheimnis Wie Sie sehen, ist der geheime Schlüssel ein neues Feld, in das Sie den temporären Schlüssel eingeben können.

Aber woher bekommen Sie eigentlich den temporären Schlüssel? 

Der erste Schritt, den Sie ausführen müssen, besteht darin, die Zwei-Faktor-Authentifizierung zu aktivieren, indem Sie das Plugin über den Plugin-Manager aktivieren (Plugin Manager> Zwei-Faktor-Authentifizierung - Yubikey oder Google Authenticator (hängt davon ab, welchen Schlüsselgenerator Sie verwenden möchten)).

Sie können auswählen, ob dies aktiviert werden soll

  1. Nur das Backend (Administrator)
  2. Nur das Frontend (Frontend)
  3. Beide

Sobald Sie das Plugin aktiviert haben, wird das geheime Schlüsselfeld angezeigt.

Jetzt müssen Sie den Benutzer über den Benutzermanager konfigurieren. 

Die Idee ist, dass Sie den Benutzer jetzt einem Gerät zuordnen müssen, auf das nur der bestimmte Benutzer Zugriff hat. Ein allgegenwärtiges Gerät, mit dem Sie die geheimen Schlüssel generieren können, ist der Google Authenticator.

Dies ist eine Smartphone-App, die auf der Website verfügbar ist Google Play Store or Apple iTunes Hiermit werden geheime Schlüssel für den Zugriff auf Ihr Google-Konto generiert. Der Google Authenticator kann auch als geheimer Generator für Joomla fungieren.

Um den Authenticator als Authentifizierungsmethode einzurichten, müssen Sie die folgenden Schritte ausführen:  

Einrichten des Joomla Google Authenticator

  • Gehen Sie zum Benutzermanager und klicken Sie auf den Benutzer, den Sie einrichten möchten (z. B. den Superadministrator-Benutzer).
  • Nachdem Sie das Zwei-Faktor-Authentifizierungs-Plugin wie oben beschrieben aktiviert haben, finden Sie eine neue Registerkarte "Zwei-Faktor-Authentifizierung", die unten als Teil der Parameter des Benutzers angezeigt wird
  • Wählen Sie in der Dropdown-Liste Authentifizierungsmethode den Google Authenticator aus (der standardmäßig in der Joomla Core-Installation verfügbar ist).
    Zwei-Faktor-Authentifizierung mit Google Authenticator
  • Sobald Sie sich für den Google Authenticator entschieden haben, erhalten Sie detaillierte Schritte zum Einrichten. Wenn Sie zuvor die Zwei-Faktor-Authentifizierung verwendet haben, wissen Sie, dass dies ein recht einfacher Schritt ist, der normalerweise durch Scannen eines QR-Codes mit der Authenticator-App selbst abgeschlossen wird (siehe unten).
  • Sobald Sie den Code gescannt haben, generiert der Google Authenticator Codes, die für diesen Benutzernamen spezifisch sindEinrichten des Google Authenticator mit einem QR-Code
  • Um das Setup abzuschließen, müssen Sie nach dem Setup einen korrekten Geheimcode vom Authenticator eingeben

Aktivieren Sie die Zwei-Faktor-Authentifizierung

Nachdem alle diese Schritte ausgeführt wurden, wurde die Zwei-Faktor-Authentifizierung für diesen Benutzer aktiviert. Wenn Sie zum Anmeldebildschirm gelangen, entweder im Front-End oder im Back-End (je nachdem, was Sie ausgewählt haben), müssen Sie den Geheimcode von Ihrem Authenticator eingeben, andernfalls können Sie dies nicht Einloggen.

So generieren Sie einen geheimen Joomla-Schlüssel

Sie können keinen geheimen Joomla-Schlüssel generieren, ohne den oben beschriebenen Vorgang zum Zuordnen eines Benutzernamens zu einem bestimmten Joomla Google Authenticator-Konto durchlaufen zu haben. 

Sobald Sie diesen Prozess durchlaufen haben, ist das Generieren eines geheimen Schlüssels einfach. Sie können von Ihrem Telefon aus auf den Authenticator zugreifen und den für das Konto generierten geheimen Schlüssel ablesen. 

Denken Sie daran, dass jeder Schlüssel nur etwa 30 Sekunden lang gültig ist. Dann wird ein neuer generiert.

Generieren Sie Code für den Joomla Google-Authentifikator

Letzter Schritt: Generieren Sie einen Stapel von Einmalkennwörtern

Was passiert also, wenn Ihr Android-Telefon nicht verfügbar ist und Sie den Zugriff auf den Authenticator verlieren? Werden Sie von Ihrer Joomla-Website ausgeschlossen?

Nicht, wenn Sie die nächsten Schritte ausführen.

Bei der Einrichtung von Google Authenticator wird empfohlen, einen Stapel von Einmalkennwörtern zu erstellen. Dies sind geheime Schlüssel, die nur einmal verwendet werden können.

Sie sollten diese generieren und an einem sicheren Ort aufbewahren, ausdrucken und in Ihre Brieftasche und auf Ihren Schreibtisch legen, damit Sie diese einmaligen geheimen Schlüssel verwenden können, wenn Sie den Zugriff auf Ihr Telefon verlieren Sie können sich anmelden, bis Sie wieder Zugriff auf den Authenticator haben.

Wir helfen Ihnen dabei, Ihr Joomla besser zu verwalten

Joomla

Kostenlose Joomla Tipps E-Book-Button

Einrichten der Zwei-Faktor-Authentifizierung mit dem Joomla YubiKey

Wenn Sie Zugriff auf eine YubiKey for Two Factor-Authentifizierung haben oder diese gekauft haben, können Sie diese auch mit Ihrer Joomla-Website verwenden. Dies sind die Schritte, um die YubiKey-Zwei-Faktor-Authentifizierung mit Joomla zu aktivieren

  1. Kostenlos registrieren um Ihre Yubico Web Service API-ID und Ihren geheimen Schlüssel zu erhalten (die Sie später benötigen werden)
  2. Laden Sie das YubiKey-Plugin von der herunter Google Code YubiKey-Projekt und die YubiKey-Authentifizierungskomponente
  3. Installieren Sie das Authentifizierungs-Plugin über die Joomla-Administration: Erweiterungen> Erweiterungs-Manager> Paketdatei hochladen  
  4. Das Yubikey-Authentifizierungs-Plugin finden Sie im Erweiterungen> Plugins > Authentifizierung - Yubikey. Sie müssen Ihre Yubico Web Service API-ID und Ihren geheimen Schlüssel in den Plugin-Einstellungen angeben und die Einstellungen speichern.
  5. Installieren Sie die Joomla Yubikey-Authentifizierungskomponente über den Erweiterungsmanager
  6. Greifen Sie auf die YubiKey-Authentifizierungskomponente zu und fügen Sie der Komponente einen neuen Yubikey-Benutzer hinzu.
  7. Aktivieren Sie die Authentifizierung - Yubikey Plugin im Plugin Manager. Ihr geheimer Schlüssel oben wird jetzt vom YubiKey generiert. Sie sollten jetzt in der Lage sein, eine Verbindung mit der YubiKey-Zwei-Faktor-Authentifizierung herzustellen
  8. Sie müssen auch das Standard-Joomla-Authentifizierungs-Plugin deaktivieren, das standardmäßig aktiviert ist, wenn Sie Joomla installieren. Andernfalls funktioniert die normale Joomla-Anmeldung weiterhin.

Häufig gestellte Fragen

Was ist eine Zwei-Faktor- oder 2FA-Authentifizierung?

Die Zwei-Faktor-Authentifizierung ist ein Sicherheitsmechanismus, der einem Benutzernamen und einem Kennwort eine zusätzliche Variable hinzufügt. Dieses dritte Feld wird von einem Gerät generiert, das nur einem bestimmten Benutzer zur Verfügung steht. Mit Joomla können Sie beispielsweise den Google Authenticator verwenden, um den geheimen Schlüssel zu generieren, der nur Ihrem Benutzer zugeordnet ist. Möglicherweise wurde 3FA auch für Ihr Online-Banking oder zum Signieren / Überprüfen von VISA-Transaktionen verwendet.

Warum wird die Zwei-Faktor-Authentifizierung verwendet?

Die Kombination von Benutzer + Passwort kann mithilfe einer Vielzahl von Techniken wie Phishing, Verwendung bekannter Benutzernamen und Passwörter, Social Engineering oder einfach durch Brute Force oder einer Kombination der oben genannten Methoden erraten werden. Durch die Verwendung der Zwei-Faktor-Authentifizierung führen Sie einen dritten Parameter ein, auf den nur der Benutzer Zugriff hat. Selbst wenn der Benutzername / das Passwort verfügbar ist, steht der geheime Schlüssel nur dem Benutzer des Kontos zur Verfügung, der über den Generator für geheime Schlüssel verfügt.

Ist die Zwei-Faktor-Authentifizierung sicher?

Obwohl kein Sicherheitsmechanismus zu 100% vollständig sicher ist und Hacker in der Lage sind, Mittel und Wege um 2FA herum zu finden, verwenden und aktivieren sie viel sicherer als wenn sie nicht verwendet werden.

Hoffe das war hilfreich, wenn es euch gefällt bitte teilen :)

Über den Autor
David Attard
Autor: David AttardWebsite: https://www.linkedin.com/in/dattard/
David arbeitet seit 18 Jahren in oder um die Online- / Digitalbranche. Er verfügt über umfangreiche Erfahrung in der Software- und Webdesignbranche mit WordPress, Joomla und den sie umgebenden Nischen. Als digitaler Berater konzentriert er sich darauf, Unternehmen durch die Kombination ihrer Website und der heute verfügbaren digitalen Plattformen einen Wettbewerbsvorteil zu verschaffen.

Eine Sache noch... Wussten Sie, dass Leute, die nützliche Dinge wie diesen Beitrag teilen, auch FANTASTISCH aussehen? ;-);
Bitte kontaktieren Sie uns, wenn lass a nützlich Kommentieren Sie mit Ihren Gedanken und teilen Sie dies dann Ihren Facebook-Gruppen mit, die dies nützlich finden würden, und lassen Sie uns gemeinsam die Vorteile nutzen. Vielen Dank für das Teilen und nett zu sein!

Disclosure: Diese Seite enthält möglicherweise Links zu externen Websites für Produkte, die wir lieben und von ganzem Herzen empfehlen. Wenn Sie Produkte kaufen, die wir vorschlagen, können wir eine Empfehlungsgebühr verdienen. Solche Gebühren haben keinen Einfluss auf unsere Empfehlungen und wir akzeptieren keine Zahlungen für positive Bewertungen.

 

Wer sind wir?

CollectiveRay wird von David Attard geleitet - arbeitet seit mehr als 12 Jahren in und um die Webdesign-Nische und bietet umsetzbare Tipps für Leute, die mit und an Websites arbeiten. Wir betreiben auch DronesBuy.net - eine Website für Drohnen-Hobbyisten.

David Attard

 

 

Autor (en) Empfohlen am:  Inc Magazin Logo   Sitepoint-Logo   CSS Tricks Logo    Webdesignerdepot-Logo   WPMU DEV Logo   und viele mehr ...