Jak włączyć, wyłączyć i używać uwierzytelniania Joomla 2 Factor

Uwierzytelnianie dwuetapowe Joomla

Uwierzytelnianie dwuskładnikowe Joomla jest jednym z tych ulepszeń projektu Joomla, które mogą i poprawią bezpieczeństwo. Dzieje się tak, ponieważ włączenie uwierzytelniania dwuskładnikowego praktycznie uniemożliwia hakerowi użycie ataku brute-force w celu odgadnięcia szczegółów Joomla! Nazwa użytkownika i hasło.

Jest to szczególnie ważne dla administratora strony, co zapewnia, że ​​ataki polegające na odgadnięciu hasła nigdy nie będą skuteczne. Nawiasem mówiąc, jeśli chcesz mocno zabezpieczyć swoją witrynę Joomla, jednocześnie przyspieszając ją, powinieneś to przeczytać.

Spis treści[Pokazać]

Co to jest uwierzytelnianie dwuskładnikowe Joomla?

Uwierzytelnianie dwuskładnikowe Joomla 3 to dodatkowa warstwa bezpieczeństwa, która tworzy tymczasowe (czasowe) hasło, które jest unikalne dla określonej nazwy użytkownika i Twojej witryny. Klucz zostaje odrzucony (i staje się nieważny po dosłownie kilku sekundach). Jeśli nie masz dostępu do tego tymczasowego hasła lub tajnego klucza, nie będziesz mógł się zalogować.

Jeśli chcesz, aby Twoja witryna była bezpieczniejsza pod względem danych logowania, najlepszym rozwiązaniem jest 2FA.

Wyłączanie uwierzytelniania dwuskładnikowego lub tajnego klucza Joomla

Omówimy dwa sposoby wyłączenia 2FA w Joomla, jeden to to, czy nadal masz dostęp do tajnego klucza lub swojego tokena uwierzytelniającego i nadal możesz generować tajne klucze. Drugi to sposób na wyłączenie, nawet jeśli utraciłeś dostęp do mechanizmu klucza tajnego.

Z dostępem do tajnego klucza

Jeśli już aktywowałeś uwierzytelnianie dwuskładnikowe i chcesz je usunąć, przede wszystkim musisz upewnić się, że masz dostęp do administracji (tj. za pomocą tajnego klucza).

  1. Zaloguj się do Administratora Joomla za pomocą tajnego klucza,
  2. Wyłącz wtyczkę uwierzytelniania dwuskładnikowego z Rozszerzenia > Wtyczki 
  3. w szukaniu Dwa Factor, następnie Wyłącz wtyczka dwuskładnikowego uwierzytelniania, która jest włączona.

wyłącz wtyczkę uwierzytelniania dwuskładnikowego

Brak dostępu do tajnego klucza

Jeśli NIE masz dostępu do Panelu Administratora/Administracji strony, ponieważ włączyłeś 2FA i wiesz, że nie możesz się zalogować, musisz wyłączyć to przez PHPMyAdmin 

  1. Z konta hostingowego zaloguj się do PHPMyAdmin
  2. Znajdź tabelę z końcówką „_extensions” (kilka pierwszych cyfr/liter zależy od instalacji)
  3. Znajdź wtyczkę o nazwie plg_twofactorauth_totp i zmień jego status „włączony” z „1” na „0”
  4. Zapisz

Spowoduje to wyłączenie wtyczki 2FA, a tym samym pozbycie się logowania za pomocą tajnego klucza.

Wyłącz wtyczkę Joomla Two Factor Authentication

Włączanie uwierzytelniania dwuskładnikowego dla Joomla!

Zobaczmy więc, jak włączyć uwierzytelnianie dwuskładnikowe w Joomla.

Należy pamiętać, że jest to obsługiwane jako część rdzenia i nie wymaga żadnych dodatkowych Joomla! rozbudowa. Poniżej znajduje się normalny login administratora (po lewej) i login administratora Joomla z uwierzytelnianiem dwuskładnikowym (po prawej). 

Logowanie administratora Joomla NormalneAdministrator Joomla z sekretem Jak widać klucz tajny to nowe pole, które pozwala na wprowadzenie klucza tymczasowego.

Ale skąd właściwie bierzesz klucz tymczasowy? 

Pierwszym krokiem, który musisz zrobić, to włączyć uwierzytelnianie dwuskładnikowe, włączając wtyczkę z Menedżera wtyczek (Menedżer wtyczek > Uwierzytelnianie dwuetapowe - Yubikey lub Google Authenticator (w zależności od generatora kluczy, którego zamierzasz użyć)).

Możesz wybrać, czy chcesz, aby to było włączone enabled

  1. Tylko back-end (administrator)
  2. Tylko front-end (front-end)
  3. Obie

Po włączeniu wtyczki zaczniesz widzieć pole klucza tajnego.

Teraz musisz skonfigurować użytkownika za pomocą Menedżera użytkowników. 

Chodzi o to, że teraz będziesz musiał powiązać użytkownika z urządzeniem, do którego dostęp ma tylko określony użytkownik. Jednym z wszechobecnych urządzeń, za pomocą których można wygenerować tajne klucze, jest Google Authenticator.

Jest to aplikacja na smartfony dostępna na Sklep Google play or Apple iTunes który służy do generowania tajnych kluczy dostępu do Twojego konta Google. Google Authenticator może również służyć jako tajny generator dla Joomla.

Aby skonfigurować Authenticator jako metodę uwierzytelniania, musisz wykonać następujące kroki:  

Konfigurowanie Joomla Google Authenticator

  • Przejdź do Menadżera Użytkowników, kliknij na użytkownika, którego chcesz skonfigurować (np. superadministratora)
  • Po włączeniu wtyczki Two Factor Authentication, jak opisano powyżej, pojawi się nowa zakładka „Two Factor Authentication”, którą można zobaczyć poniżej jako część parametrów użytkownika
  • Z listy rozwijanej Metoda uwierzytelniania wybierz Google Authenticator (który jest domyślnie dostępny w instalacji Joomla Core).
    Uwierzytelnianie dwuetapowe z Google Authenticator
  • Jak tylko wybierzesz Google Authenticator, otrzymasz szczegółowe instrukcje, jak to skonfigurować. Jeśli wcześniej korzystałeś z uwierzytelniania dwuskładnikowego, wiesz, że jest to dość łatwy krok, który zazwyczaj wykonuje się, skanując kod QR za pomocą samej aplikacji Authenticator (patrz poniżej)
  • Po zeskanowaniu kodu Google Authenticator zacznie generować kody specyficzne dla tej nazwy użytkownikaKonfigurowanie Google Authenticator za pomocą kodu QR
  • Aby zakończyć konfigurację, po zakończeniu konfiguracji musisz wprowadzić poprawny tajny kod z aplikacji Authenticator

Aktywuj uwierzytelnianie dwuskładnikowe

Po wykonaniu wszystkich tych kroków dla tego użytkownika włączono uwierzytelnianie dwuskładnikowe. Kiedy dojdziesz do ekranu logowania, w interfejsie lub na zapleczu (w zależności od tego, co wybrałeś), będziesz musiał podać tajny kod ze swojego Authenticatora, w przeciwnym razie nie będziesz w stanie Zaloguj sie.

Jak wygenerować tajny klucz Joomla?

Nie można wygenerować tajnego klucza Joomla bez przejścia przez powyższy proces kojarzenia nazwy użytkownika z określonym kontem Joomla Google Authenticator. 

Po przejściu przez ten proces generowanie tajnego klucza jest proste. Możesz uzyskać dostęp do aplikacji Authenticator z telefonu i odczytać tajny klucz wygenerowany dla konta. 

Pamiętaj, że każdy klucz jest ważny tylko przez około 30 sekund, po czym generowany jest nowy.

wygeneruj kod dla uwierzytelniacza Joomla Google

Ostatni krok: wygeneruj partię jednorazowych haseł

Co się stanie, jeśli Twój telefon z Androidem nie będzie dostępny i utracisz dostęp do Authenticatora? Czy zostajesz zablokowany na swojej stronie Joomla?

Nie, jeśli wykonasz kolejne kroki.

Konfiguracja Google Authenticator zaleca utworzenie partii haseł jednorazowych. Są to tajne klucze, których można użyć tylko raz.

Powinieneś je wygenerować i przechowywać w bezpiecznym miejscu, wydrukować i włożyć do portfela i na biurko, aby w przypadku utraty dostępu do telefonu móc użyć tych jednorazowych tajnych kluczy do móc się zalogować, dopóki nie odzyskasz dostępu do Authenticatora.

Pomóżmy Ci lepiej zarządzać Joomlą

Joomla

Darmowy przycisk ebooka z poradami Joomla

Konfigurowanie uwierzytelniania dwuskładnikowego za pomocą Joomla YubiKey

Jeśli masz dostęp lub kupiłeś YubiKey do uwierzytelniania dwuskładnikowego, możesz go również użyć na swojej stronie Joomla. Oto kroki, aby włączyć uwierzytelnianie dwuskładnikowe YubiKey za pomocą Joomla

  1. Zarejestruj się za darmo aby uzyskać identyfikator i tajny klucz usługi Yubico Web Service API (które będą potrzebne później)
  2. Pobierz wtyczkę YubiKey ze strony Projekt Google Code YubiKey i komponent uwierzytelniania YubiKey
  3. Zainstaluj wtyczkę uwierzytelniającą przez administrację Joomla: Rozszerzenia > Menedżer rozszerzeń > Prześlij plik pakietu  
  4. Znajdź wtyczkę uwierzytelniania Yubikey z Rozszerzenia > Wtyczki > Uwierzytelnianie - Yubikey. Musisz określić swój identyfikator API usługi Yubico Web Service i tajny klucz w ustawieniach wtyczki i zapisać ustawienia.
  5. Zainstaluj komponent Joomla Yubikey Authentication za pomocą Menedżera rozszerzeń
  6. Uzyskaj dostęp do komponentu YubiKey Authentication i dodaj nowego użytkownika Yubikey z komponentem.
  7. Włącz Uwierzytelnianie - Yubikey wtyczka w Menedżerze wtyczek. Twój tajny klucz powyżej jest teraz generowany przez YubiKey. Powinieneś teraz być w stanie połączyć się za pomocą uwierzytelniania dwuskładnikowego YubiKey
  8. Będziesz także musiał wyłączyć standardową wtyczkę uwierzytelniającą Joomla, która jest domyślnie włączona podczas instalacji Joomla, w przeciwnym razie normalne logowanie Joomla będzie nadal działać.

Często Zadawane Pytania

Co to jest uwierzytelnianie dwuskładnikowe lub 2FA?

Uwierzytelnianie dwuskładnikowe to mechanizm bezpieczeństwa, który dodaje dodatkową zmienną do nazwy użytkownika i hasła, trzecie pole, które jest generowane przez urządzenie, które jest dostępne tylko dla określonego użytkownika. Na przykład w Joomla możesz użyć Google Authenticator do wygenerowania tajnego klucza związanego tylko z Twoim użytkownikiem. Być może widziałeś też 3FA używane w Twojej bankowości internetowej lub do podpisywania/weryfikowania transakcji VISA.

Dlaczego używane jest uwierzytelnianie dwuskładnikowe?

Kombinację użytkownika i hasła można odgadnąć za pomocą różnych technik, takich jak phishing, użycie znanych nazw użytkownika i hasła, socjotechnika lub po prostu brutalna siła lub kombinacja powyższych. Korzystając z uwierzytelniania dwuskładnikowego, wprowadzasz trzeci parametr, do którego dostęp ma tylko użytkownik. Więc nawet jeśli nazwa użytkownika/hasło są dostępne, tajny klucz będzie dostępny tylko dla użytkownika konta, który ma generator tajnych kluczy.

Czy uwierzytelnianie dwuskładnikowe jest bezpieczne?

Chociaż żaden mechanizm bezpieczeństwa nie jest w 100% w pełni odporny i okazało się, że hakerzy są w stanie znaleźć sposoby i środki wokół 2FA, używając go i umożliwiając o wiele bezpieczniejsze niż nieużywanie go.

Mam nadzieję, że to pomogło, jeśli Ci się spodoba, udostępnij :)

O autorze
Dawid Attar
Autor: Dawid AttarStrona internetowa: https://www.linkedin.com/in/dattard/E-mail: dawid@collectiveray.com
David pracuje w branży internetowej i cyfrowej od 21 lat. Ma ogromne doświadczenie w branży oprogramowania i projektowania stron internetowych, wykorzystując WordPress, Joomla i nisze je otaczające. Współpracował z agencjami rozwoju oprogramowania, międzynarodowymi firmami zajmującymi się oprogramowaniem, lokalnymi agencjami marketingowymi, a obecnie jest dyrektorem ds. operacji marketingowych w Aphex Media – agencji SEO. Jako konsultant cyfrowy koncentruje się na pomaganiu firmom w uzyskaniu przewagi konkurencyjnej dzięki połączeniu ich strony internetowej i dostępnych obecnie platform cyfrowych. Połączenie wiedzy technologicznej z dużym zmysłem biznesowym zapewnia jego pismom przewagę konkurencyjną.

Jeszcze jedna rzecz... Czy wiesz, że osoby, które udostępniają przydatne rzeczy, takie jak ten post, również wyglądają NIESAMOWITE? ;-)
Proszę zostaw użyteczny skomentuj swoje przemyślenia, a następnie udostępnij to na swoich grupach na Facebooku, które uznają to za przydatne i wspólnie zbierzmy korzyści. Dziękuję za udostępnienie i bycie miłym!

Ujawnienie: Ta strona może zawierać linki do zewnętrznych witryn produktów, które kochamy i gorąco polecamy. Jeśli kupisz sugerowane przez nas produkty, możemy otrzymać opłatę za polecenie. Takie opłaty nie wpływają na nasze rekomendacje i nie przyjmujemy płatności za pozytywne recenzje.

 

kim jesteśmy?

CollectiveRay jest prowadzony przez Davida Attarda - pracującego w niszy projektowania stron internetowych i wokół niej od ponad 12 lat, dostarczamy praktycznych wskazówek dla osób, które pracują zi na stronach internetowych. Prowadzimy również DronesBuy.net - stronę internetową dla hobbystów dronów.

David Attard

 

 

Autorzy promowani w:  Inc Czasopismo Logo .   Logo Sitepoint   Logo CSS Tricks    logo webdesignerdepot   Logo WPMU DEV   i wiele więcej ...