Cómo habilitar, deshabilitar y usar la autenticación de factor 2 de Joomla

autenticación de dos factores joomla

La autenticación de dos factores de Joomla es una de esas mejoras del proyecto Joomla que puede mejorar y mejorará la seguridad. Esto se debe a que al habilitar la autenticación de dos factores, es prácticamente imposible que un hacker use un ataque de fuerza bruta para adivinar los detalles de su Joomla! nombre de usuario y contraseña.

Esto es particularmente importante para la parte del administrador del sitio web, que garantiza que los ataques que intentan adivinar su contraseña nunca tengan éxito. Por cierto, si desea proteger fuertemente su sitio web Joomla, mientras lo hace más rápido, deberías leer esto.

¿Qué es la autenticación de dos factores de Joomla?

La autenticación de dos factores de Joomla 3 es una capa adicional de seguridad, que crea una contraseña temporal (basada en el tiempo) que es única para un nombre de usuario específico y su sitio web. La clave se descarta (y se vuelve inválida literalmente después de unos segundos). Si no tiene acceso a esta contraseña temporal o clave secreta, no podrá iniciar sesión.

Si desea que su sitio web sea más seguro, en términos de credenciales de inicio de sesión, 2FA es el camino a seguir.

Deshabilitar la autenticación de dos factores o la clave secreta de Joomla

Vamos a discutir dos formas de deshabilitar 2FA en Joomla, una es si todavía tiene acceso a una clave secreta o su autenticador y aún puede generar claves secretas. La segunda es una forma de deshabilitar incluso si ha perdido el acceso a su mecanismo de clave secreta.

Con acceso a la clave secreta

Si ya ha activado la autenticación de dos factores y desea eliminarla, en primer lugar, deberá asegurarse de tener acceso a la administración (es decir, utilizando una clave secreta).

  1. Inicie sesión en el administrador de Joomla con la clave secreta,
  2. Deshabilite el complemento de autenticación de dos factores de Extensiones> Complementos 
  3. Busque dos factores, entonces Deshabilitar el complemento de autenticación de dos factores que está habilitado.

deshabilitar el complemento de autenticación de dos factores

Sin acceso a la clave secreta

Si NO tiene acceso al panel Administrador / Administración del sitio web porque ha habilitado 2FA y sabe que no puede iniciar sesión, deberá deshabilitarlo a través de PHPMyAdmin 

  1. Desde su cuenta de hosting inicie sesión en PHPMyAdmin
  2. Busque la tabla que termina en '_extensions' (los primeros dígitos / letras varían según la instalación)
  3. Encuentra el complemento llamado plg_twofactorauth_totp y cambie su estado 'habilitado' de '1' a '0'
  4. Guardar

Esto deshabilita el complemento 2FA y, por lo tanto, elimina el inicio de sesión con la clave secreta.

Deshabilitar el complemento de autenticación de dos factores de Joomla

Habilitar la autenticación de dos factores para Joomla!

Entonces, veamos cómo habilitar la autenticación de dos factores en Joomla.

Tenga en cuenta que esto se admite como parte del núcleo y no requiere ninguna Joomla! extensión. El siguiente es el inicio de sesión de administrador normal (a la izquierda) y el inicio de sesión de administrador de Joomla con autenticación de dos factores (a la derecha). 

Inicio de sesión de administrador de Joomla NormalAdministrador de Joomla con secreto Como puede ver, la clave secreta es un nuevo campo que le permite ingresar la clave temporal.

Pero, ¿de dónde sacas realmente la clave temporal? 

El primer paso que debe hacer es habilitar la autenticación de dos factores habilitando el complemento desde el Administrador de complementos (Administrador de complementos> Autenticación de dos factores: Yubikey o Autenticador de Google (depende del generador de claves que planeas usar)).

Puede seleccionar si desea que esto esté habilitado para

  1. Solo el back-end (administrador)
  2. Solo el front-end (front-end)
  3. Ambos

Una vez que habilite el complemento, comenzará a ver el campo de clave secreta.

Ahora debe configurar el usuario a través del Administrador de usuarios. 

La idea es que ahora deberá asociar al usuario con un dispositivo al que solo el usuario específico tenga acceso. Un dispositivo omnipresente que puede utilizar para generar las claves secretas es el Autenticador de Google.

Esta es una aplicación para teléfono inteligente disponible en el Google Play Store or Apple iTunes que se utiliza para generar claves secretas para acceder a su cuenta de Google. El Autenticador de Google también puede funcionar como un generador secreto para Joomla.

Para configurar el Autenticador como su método de autenticación, debe realizar los siguientes pasos:  

Configuración del autenticador de Google de Joomla

  • Vaya al Administrador de usuarios, haga clic en el usuario que desea configurar (por ejemplo, el usuario superadministrador)
  • Después de haber habilitado el complemento de autenticación de dos factores como se describe anteriormente, encontrará una nueva pestaña "Autenticación de dos factores" como se puede ver a continuación como parte de los parámetros del usuario.
  • En el menú desplegable Método de autenticación, elija Google Authenticator (que está disponible de forma predeterminada en la instalación de Joomla Core).
    Autenticación de dos factores con Google Authenticator
  • Tan pronto como elija el Autenticador de Google, obtendrá pasos detallados sobre cómo configurarlo. Si ha usado la autenticación de dos factores antes, sabe que este es un paso bastante fácil, que generalmente se completa escaneando un código QR usando la aplicación Authenticator (ver más abajo)
  • Una vez que escanee el código, el Autenticador de Google comenzará a generar códigos que son específicos para ese nombre de usuario.Configuración del Autenticador de Google con un código QR
  • Para completar la configuración, deberá ingresar un código secreto correcto del Autenticador después de la configuración

Activar la autenticación de dos factores

Una vez realizados todos estos pasos, se ha habilitado la autenticación de dos factores para este usuario. Cuando llegue a la pantalla de inicio de sesión, ya sea en el front-end o en el back-end (según lo que haya elegido), deberá proporcionar el código secreto de su Autenticador; de lo contrario, no podrá iniciar sesión.

Cómo generar una clave secreta de Joomla

No puede generar una clave secreta de Joomla sin pasar por el proceso anterior de asociar un nombre de usuario con una cuenta específica de Joomla Google Authenticator. 

Una vez que haya pasado por este proceso, generar una clave secreta es simple. Puede acceder al autenticador desde su teléfono y leer la clave secreta que se genera para la cuenta. 

Recuerde que cada clave solo es válida durante unos 30 segundos, luego se genera una nueva.

generar código para el autenticador de Joomla Google

Paso final: generar un lote de contraseñas de un solo uso

Entonces, ¿qué sucede si su teléfono Android no está disponible y pierde el acceso al Autenticador? ¿Te bloquean tu sitio web Joomla?

No si sigue los siguientes pasos.

La configuración de Google Authenticator recomienda que cree un lote de contraseñas de un solo uso. Estas son claves secretas, que solo se pueden usar una vez.

Debe generarlos y guardarlos en un lugar seguro, imprimirlos y guardarlos en su billetera y en su escritorio, de modo que si pierde el acceso a su teléfono, pueda usar estas claves secretas únicas para poder iniciar sesión, hasta que recupere el acceso al Autenticador.

Te ayudamos a administrar mejor tu Joomla

Joomla

Botón gratuito de libro electrónico de consejos de Joomla

Configuración de la autenticación de dos factores con Joomla YubiKey

Si tiene acceso o ha comprado una YubiKey para autenticación de dos factores, también puede usarla con su sitio web Joomla. Estos son los pasos para habilitar la autenticación de dos factores YubiKey con Joomla

  1. Enliste su Propiedad para obtener su ID de API y clave secreta del servicio web de Yubico (que necesitará más adelante)
  2. Descargue el complemento YubiKey del Proyecto Google Code YubiKey y el componente de autenticación YubiKey
  3. Instale el complemento de autenticación a través de la administración de Joomla: Extensiones> Administrador de extensiones> Cargar archivo de paquete  
  4. Busque el complemento de autenticación Yubikey en el Extensiones> Complementos > Autenticación - Yubikey. Deberá especificar su ID de API y clave secreta del servicio web de Yubico en la configuración del complemento y guardar la configuración.
  5. Instale el componente de autenticación Joomla Yubikey a través del Administrador de extensiones
  6. Acceda al componente de autenticación de YubiKey y agregue un nuevo usuario de Yubikey con el componente.
  7. Habilitar el Autenticación - Yubikey complemento en el Administrador de complementos. Su clave secreta anterior ahora es generada por YubiKey. Ahora debería poder conectarse utilizando la autenticación de dos factores YubiKey
  8. También deberá deshabilitar el complemento de autenticación estándar de Joomla que está habilitado de forma predeterminada cuando instala Joomla, de lo contrario, el inicio de sesión normal de Joomla seguirá funcionando.

Preguntas Frecuentes

¿Qué es la autenticación de dos factores o 2FA?

La autenticación de dos factores es un mecanismo de seguridad que agrega una variable adicional a un nombre de usuario y contraseña, un tercer campo que es generado por un dispositivo que está disponible solo para un usuario específico. Por ejemplo, con Joomla, puede usar el Autenticador de Google para generar la clave secreta asociada solo con su usuario. Es posible que también haya visto el uso de 3FA con su banca en línea o para firmar / verificar transacciones VISA.

¿Por qué se utiliza la autenticación de dos factores?

La combinación de usuario + contraseña se puede adivinar usando una variedad de técnicas como phishing, usando nombres de usuario y contraseñas conocidos, ingeniería social o simplemente mediante la fuerza bruta, o una combinación de las anteriores. Al utilizar la autenticación de dos factores, introduce un tercer parámetro al que solo el usuario tiene acceso. Entonces, incluso si el nombre de usuario / contraseña está disponible, la clave secreta solo estará disponible para el usuario de la cuenta que tenga el generador de clave secreta.

¿Es segura la autenticación de dos factores?

Si bien ningún mecanismo de seguridad es 100% a prueba de errores y se ha descubierto que los piratas informáticos pueden encontrar formas y medios en torno a 2FA, usándolo y habilitándolo mucho más seguro que no usarlo.

Espero que haya sido útil, si le gusta por favor comparta :)

Sobre la autora
David Atard
David ha trabajado en la industria digital y en línea durante los últimos 21 años. Tiene una amplia experiencia en las industrias de software y diseño web utilizando WordPress, Joomla y los nichos que los rodean. Ha trabajado con agencias de desarrollo de software, empresas de software internacionales, agencias de marketing locales y ahora es Jefe de Operaciones de Marketing en Aphex Media, una agencia de SEO. Como consultor digital, su objetivo es ayudar a las empresas a obtener una ventaja competitiva utilizando una combinación de su sitio web y las plataformas digitales disponibles en la actualidad. Su combinación de experiencia en tecnología combinada con una sólida visión para los negocios aporta una ventaja competitiva a sus escritos.

Una cosa más... ¿Sabías que las personas que comparten cosas útiles como esta publicación también se ven IMPRESIONANTES? ;-)
Por favor, deja un eficiente Comente con sus pensamientos, luego comparta esto en su (s) grupo (s) de Facebook que lo encontrarán útil y cosechemos los beneficios juntos. ¡Gracias por compartir y ser amable!

Divulgación: Esta página puede contener enlaces a sitios externos para productos que amamos y recomendamos de todo corazón. Si compra productos que le sugerimos, es posible que ganemos una tarifa de referencia. Tales tarifas no influyen en nuestras recomendaciones y no aceptamos pagos por reseñas positivas.

 

¿quienes somos?

CollectiveRay está dirigido por David Attard: trabajando en y alrededor del nicho del diseño web durante más de 12 años, brindamos consejos prácticos para las personas que trabajan con y en sitios web. También ejecutamos DronesBuy.net, un sitio web para aficionados a los drones.

david atard

 

 

Autor (es) destacado en:  Logotipo de la revista Inc   Logotipo de Sitepoint   Logotipo de CSS Tricks    logotipo de webdesignerdepot   Logotipo de WPMU DEV   y muchos más ...