Comment activer, désactiver et utiliser l'authentification par facteur Joomla 2

authentification à deux facteurs joomla

L'authentification à deux facteurs Joomla est l'une de ces améliorations du projet Joomla qui peut améliorer et améliorera la sécurité. En effet, en activant l'authentification à deux facteurs, il est pratiquement impossible pour un pirate d'utiliser une attaque par force brute pour deviner les détails de votre Joomla! nom d'utilisateur et mot de passe.

Ceci est particulièrement important pour la partie administrateur du site Web, qui garantit que les attaques qui tentent de deviner votre mot de passe ne pourront jamais réussir. Soit dit en passant, si vous souhaitez sécuriser fortement votre site Joomla, tout en le rendant plus rapide, tu devrais lire ceci.

Qu'est-ce que l'authentification à deux facteurs Joomla?

L'authentification à deux facteurs Joomla 3 est une couche de sécurité supplémentaire, qui crée un mot de passe temporaire (basé sur le temps) unique à un nom d'utilisateur spécifique et à votre site Web. La clé est supprimée (et devient invalide après littéralement quelques secondes). Si vous n'avez pas accès à ce mot de passe temporaire ou à cette clé secrète, vous ne pourrez pas vous connecter.

Si vous souhaitez rendre votre site Web plus sécurisé, en termes d'identifiants de connexion, 2FA est la solution.

Désactivation de l'authentification à deux facteurs ou de la clé secrète Joomla

Nous allons discuter de deux façons de désactiver 2FA dans Joomla, l'une est de savoir si vous avez toujours accès à une clé secrète ou à votre authentificateur et que vous êtes toujours en mesure de générer des clés secrètes. Le 2ème est un moyen de désactiver même si vous avez perdu l'accès à votre mécanisme de clé secrète.

Avec accès à la clé secrète

Si vous avez déjà activé l'authentification à deux facteurs et que vous souhaitez la supprimer, vous devez tout d'abord vous assurer que vous avez accès à l'administration (c'est-à-dire en utilisant une clé secrète).

  1. Connectez-vous à l'administrateur Joomla avec la clé secrète,
  2. Désactivez le plug-in d'authentification à deux facteurs de Extensions> Plugins 
  3. Rechercher Deux Factor, puis Désactiver le plugin d'authentification à deux facteurs qui est activé.

désactiver le plugin d'authentification à deux facteurs

Pas d'accès à la clé secrète

Si vous N'AVEZ PAS accès au panneau Administrateur / Administration du site Web parce que vous avez activé 2FA et que vous savez que vous ne pouvez pas vous connecter, vous devrez le désactiver via PHPMyAdmin 

  1. À partir de votre compte d'hébergement, connectez-vous à PHPMyAdmin
  2. Trouvez le tableau se terminant par '_extensions' (les premiers chiffres / lettres varient selon l'installation)
  3. Trouvez le plugin nommé plg_twofactorauth_totp et changez son statut «activé» de «1» à «0»
  4. Economisez

Cela désactive le plugin 2FA et supprime ainsi la connexion avec la clé secrète.

Désactiver le plug-in d'authentification à deux facteurs Joomla

Activation de l'authentification à deux facteurs pour Joomla!

Voyons comment activer l'authentification à deux facteurs dans Joomla.

Veuillez noter que cela est pris en charge dans le cadre du noyau et ne nécessite aucun Joomla ! extension. Ce qui suit est la connexion administrateur normal (à gauche) et la connexion administrateur Joomla avec authentification à deux facteurs (à droite). 

Connexion administrateur Joomla normaleAdministrateur Joomla avec secret Comme vous pouvez le voir, la clé secrète est un nouveau champ qui vous permet de saisir la clé temporaire.

Mais d'où obtenez-vous réellement la clé temporaire? 

La première étape à faire est d'activer l'authentification à deux facteurs en activant le plugin à partir du Plugin Manager (Plugin Manager> Authentification à deux facteurs - Yubikey ou Google Authenticator (dépend du générateur de clé que vous prévoyez d'utiliser)).

Vous pouvez choisir si vous souhaitez que cela soit activé pour

  1. Le back-end uniquement (administrateur)
  2. Le front-end uniquement (front-end)
  3. Les deux

Une fois que vous avez activé le plugin, vous commencerez à voir le champ de clé secrète.

Vous devez maintenant configurer l'utilisateur via le gestionnaire d'utilisateurs. 

L'idée est que vous devrez maintenant associer l'utilisateur à un appareil auquel seul l'utilisateur spécifique a accès. Google Authenticator est un appareil omniprésent que vous pouvez utiliser pour générer les clés secrètes.

Ceci est une application pour smartphone disponible sur le Google Play Store or Apple iTunes qui est utilisé pour générer des clés secrètes pour accéder à votre compte Google. Google Authenticator peut également servir de générateur de secret pour Joomla.

Pour configurer l'authentificateur comme méthode d'authentification, vous devez effectuer les étapes suivantes:  

Configuration de Joomla Google Authenticator

  • Allez dans le Gestionnaire des utilisateurs, cliquez sur l'utilisateur que vous souhaitez configurer (par exemple l'utilisateur super administrateur)
  • Après avoir activé le plugin Two Factor Authentication comme décrit ci-dessus, vous trouverez un nouvel onglet "Two Factor Authentication" comme on peut le voir ci-dessous dans le cadre des paramètres de l'utilisateur
  • Dans la liste déroulante Méthode d'authentification, choisissez Google Authenticator (qui est disponible par défaut dans l'installation de Joomla Core).
    Authentification à deux facteurs avec Google Authenticator
  • Dès que vous choisissez Google Authenticator, vous obtiendrez des étapes détaillées sur la façon de le configurer. Si vous avez déjà utilisé l'authentification à deux facteurs, vous savez qu'il s'agit d'une étape assez simple, qui est généralement effectuée en scannant un code QR à l'aide de l'application Authenticator elle-même (voir ci-dessous).
  • Une fois que vous avez numérisé le code, Google Authenticator commencera à générer des codes spécifiques à ce nom d'utilisateurConfiguration de Google Authenticator avec un code QR
  • Pour terminer la configuration, vous devrez entrer un code secret correct de l'authentificateur après la configuration

Activer l'authentification à deux facteurs

Une fois toutes ces étapes effectuées, l'authentification à deux facteurs a été activée pour cet utilisateur. Lorsque vous arrivez à l'écran de connexion, que ce soit dans le front-end ou dans le back-end (selon ce que vous avez choisi), vous devrez fournir le code secret de votre authentificateur, sinon vous ne pourrez pas connexion.

Comment générer une clé secrète Joomla

Vous ne pouvez pas générer une clé secrète Joomla sans passer par le processus ci-dessus d'association d'un nom d'utilisateur à un compte Joomla Google Authenticator spécifique. 

Une fois que vous avez suivi ce processus, générer une clé secrète est simple. Vous pouvez accéder à l'authentificateur à partir de votre téléphone et lire la clé secrète générée pour le compte. 

N'oubliez pas que chaque clé n'est valide que pendant environ 30 secondes, puis une nouvelle est générée.

générer du code pour l'authentificateur Joomla Google

Dernière étape: générer un lot de mots de passe à usage unique

Alors, que se passe-t-il si votre téléphone Android n'est pas disponible et que vous perdez l'accès à l'authentificateur? Êtes-vous bloqué sur votre site Web Joomla?

Pas si vous suivez les étapes suivantes.

La configuration de Google Authenticator vous recommande de créer un lot de mots de passe à usage unique. Ce sont des clés secrètes, qui ne peuvent être utilisées qu'une seule fois.

Vous devez les générer et les stocker dans un endroit sûr, les imprimer et les mettre dans votre portefeuille et sur votre bureau, de sorte que si vous perdez l'accès à votre téléphone, vous puissiez utiliser ces clés secrètes uniques pour être en mesure de vous connecter jusqu'à ce que vous ayez à nouveau accès à Authenticator.

Laissez-nous vous aider à mieux gérer votre Joomla

Joomla

Bouton ebook gratuit de conseils Joomla

Configuration de l'authentification à deux facteurs avec la Joomla YubiKey

Si vous avez accès ou avez acheté une authentification YubiKey for Two Factor, vous pouvez également l'utiliser avec votre site Web Joomla. Voici les étapes pour activer l'authentification à deux facteurs YubiKey avec Joomla

  1. Inscription gratuite pour obtenir votre identifiant d'API Yubico Web Service et votre clé secrète (dont vous aurez besoin plus tard)
  2. Téléchargez le plugin YubiKey depuis le Projet Google Code YubiKey et le composant d'authentification YubiKey
  3. Installez le plugin d'authentification via l'administration Joomla: Extensions> Extension Manager> Télécharger le fichier de package  
  4. Trouvez le plugin d'authentification Yubikey dans le Extensions> Plugins > Authentification - Yubikey. Vous devrez spécifier votre ID d'API Yubico Web Service et votre clé secrète dans les paramètres du plugin et enregistrer les paramètres.
  5. Installez le composant d'authentification Joomla Yubikey via le gestionnaire d'extensions
  6. Accédez au composant d'authentification YubiKey et ajoutez un nouvel utilisateur Yubikey avec le composant.
  7. Activez la Authentification - Yubikey plugin dans le gestionnaire de plugins. Votre clé secrète ci-dessus est maintenant générée par la YubiKey. Vous devriez maintenant pouvoir vous connecter à l'aide de l'authentification à deux facteurs YubiKey
  8. Vous devrez également désactiver le plugin d'authentification Joomla standard qui est activé par défaut lorsque vous installez Joomla, sinon la connexion Joomla normale fonctionnera toujours.

Foire aux questions

Qu'est-ce que l'authentification à deux facteurs ou 2FA?

L'authentification à deux facteurs est un mécanisme de sécurité qui ajoute une variable supplémentaire à un nom d'utilisateur et un mot de passe, un troisième champ qui est généré par un périphérique qui n'est disponible que pour un utilisateur spécifique. Par exemple, avec Joomla, vous pouvez utiliser Google Authenticator pour générer la clé secrète associée uniquement à votre utilisateur. Vous avez peut-être également vu 3FA utilisé avec votre banque en ligne ou pour signer / vérifier des transactions VISA.

Pourquoi l'authentification à deux facteurs est-elle utilisée?

La combinaison utilisateur + mot de passe peut être devinée en utilisant une variété de techniques telles que le phishing, l'utilisation de noms d'utilisateur et de mot de passe connus, l'ingénierie sociale, ou simplement par la force brute, ou une combinaison de ce qui précède. En utilisant l'authentification à deux facteurs, vous introduisez un troisième paramètre auquel seul l'utilisateur a accès. Ainsi, même si le nom d'utilisateur / mot de passe est disponible, la clé secrète ne sera disponible que pour l'utilisateur du compte qui possède le générateur de clé secrète.

L'authentification à deux facteurs est-elle sûre?

Bien qu'aucun mécanisme de sécurité ne soit à 100% à l'épreuve, les pirates informatiques ont été trouvés capables de trouver des moyens autour de 2FA, en l'utilisant et en le rendant beaucoup plus sûr que de ne pas l'utiliser.

J'espère que cela vous a été utile, si vous l'aimez, partagez-le :)

À propos de l’auteure
David Attard
Auteur: David AttardSite Web : https://www.linkedin.com/in/dattard/
David travaille dans ou autour de l'industrie en ligne / numérique depuis 18 ans. Il possède une vaste expérience dans les industries du logiciel et de la conception Web utilisant WordPress, Joomla et les niches qui les entourent. En tant que consultant numérique, son objectif est d'aider les entreprises à obtenir un avantage concurrentiel en utilisant une combinaison de leur site Web et des plates-formes numériques disponibles aujourd'hui.

Encore une chose ... Saviez-vous que les personnes qui partagent des informations utiles comme cet article ont l'air géniales aussi? ;-)
Si vous voulez, vous pouvez laisser un incontournable commentez vos pensées, puis partagez-les sur votre ou vos groupes Facebook qui trouveraient cela utile et récoltons ensemble les avantages. Merci d'avoir partagé et d'être gentil!

Divulgation: Cette page peut contenir des liens vers des sites externes pour des produits que nous aimons et que nous recommandons sans réserve. Si vous achetez des produits que nous suggérons, nous pouvons percevoir des frais de parrainage. Ces frais n'influencent pas nos recommandations et nous n'acceptons pas les paiements pour les avis positifs.

 

qui sommes nous?

CollectiveRay est dirigé par David Attard - travaillant dans et autour du créneau de la conception de sites Web depuis plus de 12 ans, nous fournissons des conseils pratiques aux personnes qui travaillent avec et sur des sites Web. Nous gérons également DronesBuy.net - un site Web pour les amateurs de drones.

David Attard

 

 

Auteur (s) présenté sur:  Logo du magazine Inc   Logo Sitepoint   Logo CSS Tricks    logo webdesignerdepot   Logo WPMU DEV   et beaucoup plus ...