L'autenticazione a due fattori di Joomla è uno di quei miglioramenti del progetto Joomla che possono e miglioreranno la sicurezza. Questo perché abilitando l'autenticazione a due fattori, è praticamente impossibile per un hacker utilizzare un attacco di forza bruta per indovinare i dettagli del tuo Joomla! nome utente e password.
Ciò è particolarmente importante per la parte amministratore del sito Web, che garantisce che gli attacchi che tentano di indovinare la tua password non possano mai avere successo. Per inciso, se vuoi proteggere fortemente il tuo sito web Joomla, rendendolo più veloce, dovresti leggere questo.
Cos'è l'autenticazione a due fattori di Joomla?
L'autenticazione a due fattori di Joomla 3 è un ulteriore livello di sicurezza, che crea una password temporanea (basata sul tempo) unica per un nome utente specifico e il tuo sito web. La chiave viene scartata (e diventa non valida letteralmente dopo pochi secondi). Se non hai accesso a questa password temporanea o chiave segreta, non sarai in grado di accedere.
Se vuoi rendere il tuo sito web più sicuro, in termini di credenziali di accesso, 2FA è la strada da percorrere.
Disattivazione dell'autenticazione a due fattori o della chiave segreta di Joomla
Discuteremo due modi per disabilitare 2FA in Joomla, uno è se hai ancora accesso a una chiave segreta o al tuo autenticatore e sei ancora in grado di generare chiavi segrete. Il secondo è un modo per disabilitare anche se hai perso l'accesso al meccanismo della tua chiave segreta.
Con accesso alla chiave segreta
Se hai già attivato l'autenticazione a due fattori e desideri rimuoverla, prima di tutto dovrai assicurarti di avere accesso all'amministrazione (cioè utilizzando una chiave segreta).
- Accedi all'amministratore di Joomla con la chiave segreta,
- Disabilita il plug-in di autenticazione a due fattori da Estensioni> Plugin
- Cercare a due fattori, poi Disabilita il plug-in di autenticazione a due fattori abilitato.
Nessun accesso alla chiave segreta
Se NON hai accesso al pannello Amministratore / Amministrazione del sito web perché hai abilitato 2FA e sai di non poter accedere, dovrai disabilitarlo tramite PHPMyAdmin
- Dal tuo account di hosting accedi a PHPMyAdmin
- Trova la tabella che termina con "_extensions" (le prime cifre / lettere variano a seconda dell'installazione)
- Trova il plug-in denominato plg_twofactorauth_totp e cambia il suo stato "abilitato" da "1" a "0"
- Risparmi
Questo disabilita il plugin 2FA e quindi elimina l'accesso con la chiave segreta.
Abilitazione dell'autenticazione a due fattori per Joomla!
Quindi vediamo come abilitare l'autenticazione a due fattori in Joomla.
Si prega di notare che questo è supportato come parte del core e non richiede alcun ulteriore Joomla! estensione. Quello che segue è il normale login dell'amministratore (a sinistra) e il login dell'amministratore di Joomla con autenticazione a due fattori (a destra).
Come puoi vedere la chiave segreta è un nuovo campo che ti permette di inserire la chiave temporanea.
Ma da dove prendi effettivamente la chiave temporanea?
Il primo passo che devi fare è abilitare l'autenticazione a due fattori abilitando il plugin dal Plugin Manager (Plugin Manager> Autenticazione a due fattori: Yubikey o Google Authenticator (dipende dal generatore di chiavi che intendi utilizzare)).
È possibile selezionare se si desidera che questo sia abilitato per
- Solo il back-end (amministratore)
- Solo il front-end (front-end)
- Entrambi
Una volta abilitato il plug-in, inizierai a vedere il campo della chiave segreta.
Ora è necessario configurare l'utente tramite Gestione utenti.
L'idea è che ora dovrai associare l'utente a un dispositivo a cui solo l'utente specifico ha accesso. Un dispositivo onnipresente che puoi utilizzare per generare le chiavi segrete è Google Authenticator.
Questa è un'app per smartphone disponibile su Google Play Store or Apple iTunes che viene utilizzato per generare chiavi segrete per accedere al tuo account Google. Google Authenticator può anche raddoppiare come generatore di segreti anche per Joomla.
Per impostare l'autenticatore come metodo di autenticazione, è necessario eseguire i seguenti passaggi:
Configurazione di Joomla Google Authenticator
- Vai a Gestione utenti, fai clic sull'utente che desideri configurare (es. Utente super amministratore)
- Dopo aver abilitato il plugin Two Factor Authentication come descritto sopra, troverai una nuova scheda "Two Factor Authentication" come si può vedere di seguito come parte dei parametri dell'utente
- Dal menu a discesa Metodo di autenticazione, scegli Google Authenticator (che è disponibile per impostazione predefinita nell'installazione di Joomla Core).
- Non appena scegli Google Authenticator, otterrai passaggi dettagliati su come impostarlo. Se hai già utilizzato l'autenticazione a due fattori, sai che questo è un passaggio abbastanza semplice, che in genere viene completato scansionando un codice QR utilizzando l'app Authenticator (vedi sotto)
- Dopo aver scansionato il codice, Google Authenticator inizierà a generare codici specifici per quel nome utente
- Per completare la configurazione, dovrai inserire un codice segreto corretto dall'Autenticatore dopo la configurazione
Una volta completati tutti questi passaggi, l'autenticazione a due fattori è stata abilitata per questo utente. Quando arrivi alla schermata di accesso, sia nel front-end che nel back-end (a seconda di ciò che hai scelto), dovrai fornire il codice segreto dal tuo Authenticator, altrimenti non sarai in grado di farlo accesso.
Come generare una chiave segreta di Joomla
Non è possibile generare una chiave segreta Joomla senza passare attraverso il processo di cui sopra di associare un nome utente a uno specifico account Joomla Google Authenticator.
Dopo aver completato questo processo, generare una chiave segreta è semplice. È possibile accedere all'autenticatore dal telefono e leggere la chiave segreta generata per l'account.
Ricorda che ogni chiave è valida solo per circa 30 secondi, quindi ne viene generata una nuova.
Passaggio finale: genera un batch di password monouso
Quindi cosa succede se il tuo telefono Android non è disponibile e perdi l'accesso all'autenticatore? Rimani bloccato fuori dal tuo sito web Joomla?
Non se fai i passi successivi.
La configurazione di Google Authenticator consiglia di creare un batch di password monouso. Queste sono chiavi segrete, che possono essere utilizzate una sola volta.
Dovresti generarli e conservarli in un luogo sicuro, stamparli e metterli nel portafoglio e sulla scrivania, in modo che se perdi l'accesso al telefono, sarai in grado di utilizzare queste chiavi segrete una tantum per essere in grado di accedere, fino a quando non si riacquista l'accesso all'autenticatore.
Impostazione dell'autenticazione a due fattori con Joomla YubiKey
Se hai accesso o hai acquistato una YubiKey per l'autenticazione a due fattori, puoi utilizzarla anche con il tuo sito web Joomla. Questi sono i passaggi per abilitare l'autenticazione a due fattori YubiKey con Joomla
- Registrati GRATIS per ottenere l'ID dell'API del servizio Web Yubico e la chiave segreta (di cui avrai bisogno in seguito)
- Scarica il plug-in YubiKey dal Progetto Google Code YubiKey e il componente di autenticazione YubiKey
- Installa il plug-in di autenticazione tramite l'amministrazione di Joomla: Estensioni> Gestione estensioni> Carica file pacchetto
- Trova il plug-in di autenticazione Yubikey dal file Estensioni> Plugin > Autenticazione - Yubikey. Dovrai specificare l'ID API del servizio Web Yubico e la chiave segreta nelle impostazioni del plug-in e salvare le impostazioni.
- Installa il componente di autenticazione Joomla Yubikey tramite Extension Manager
- Accedi al componente di autenticazione YubiKey e aggiungi un nuovo utente Yubikey con il componente.
- Attivare la Autenticazione - Yubikey plugin nel Plugin Manager. La tua chiave segreta sopra è ora generata da YubiKey. Ora dovresti essere in grado di connetterti utilizzando l'autenticazione a due fattori YubiKey
- Dovrai anche disabilitare il plugin di autenticazione Joomla standard che è abilitato di default quando installi Joomla altrimenti il normale login di Joomla continuerà a funzionare.
Domande frequenti
Che cos'è l'autenticazione a due fattori o 2FA?
L'autenticazione a due fattori è un meccanismo di sicurezza che aggiunge una variabile aggiuntiva a nome utente e password, un terzo campo generato da un dispositivo disponibile solo per un utente specifico. Ad esempio, con Joomla, puoi utilizzare Google Authenticator per generare la chiave segreta associata solo al tuo utente. Potresti aver visto 3FA utilizzato anche con il tuo banking online o per firmare / verificare transazioni VISA.
Perché viene utilizzata l'autenticazione a due fattori?
La combinazione di utente + password può essere indovinata utilizzando una varietà di tecniche come il phishing, utilizzando nomi utente e password noti, ingegneria sociale o semplicemente attraverso la forza bruta o una combinazione di quanto sopra. Utilizzando l'autenticazione a due fattori, si introduce un terzo parametro a cui solo l'utente ha accesso. Quindi, anche se il nome utente / password è disponibile, la chiave segreta sarà disponibile solo per l'utente dell'account che dispone del generatore di chiavi segrete.
L'autenticazione a due fattori è sicura?
Anche se nessun meccanismo di sicurezza è completamente a prova di 100% e si è scoperto che gli hacker sono in grado di trovare modi e mezzi intorno a 2FA, usandolo e abilitandolo molto più sicuro che non usarlo.
Spero che sia stato utile, se ti piace per favore condividi :)
Per favore, lasciare un utile commenta con i tuoi pensieri, quindi condividi questo articolo sui tuoi gruppi di Facebook che lo troverebbero utile e raccogliamo insieme i frutti. Grazie per la condivisione e per essere gentile!
Disclosure: Questa pagina può contenere collegamenti a siti esterni per prodotti che amiamo e consigliamo vivamente. Se acquisti prodotti che ti suggeriamo, potremmo guadagnare una commissione per segnalazione. Tali commissioni non influenzano le nostre raccomandazioni e non accettiamo pagamenti per recensioni positive.