A autenticação de dois fatores do Joomla é uma das melhorias do projeto Joomla que podem e irão melhorar a segurança. Isso ocorre porque ao habilitar a autenticação de dois fatores, é praticamente impossível para um hacker usar um ataque de força bruta para adivinhar os detalhes do seu Joomla! usuário e senha.
Isso é particularmente importante para a parte do administrador do site, que garante que os ataques que tentam adivinhar sua senha nunca sejam bem-sucedidos. A propósito, se você deseja proteger fortemente o seu site Joomla, tornando-o mais rápido, você deveria ler isto.
O que é a autenticação de dois fatores do Joomla?
A autenticação de dois fatores do Joomla 3 é uma camada adicional de segurança, que cria uma senha temporária (baseada no tempo) que é única para um nome de usuário específico e seu site. A chave é descartada (e torna-se inválida literalmente após alguns segundos). Se você não tiver acesso a essa senha temporária ou chave secreta, não será possível fazer login.
Se você deseja tornar seu site mais seguro, em termos de credenciais de login, a 2FA é o caminho a percorrer.
Desativando a autenticação de dois fatores ou a chave secreta do Joomla
Vamos discutir duas maneiras de desabilitar 2FA no Joomla, uma é se você ainda tem acesso a uma chave secreta ou ao seu autenticador e ainda é capaz de gerar chaves secretas. A segunda é uma forma de desabilitar mesmo se você perder o acesso ao seu mecanismo de chave secreta.
Com acesso à chave secreta
Se você já ativou a autenticação de dois fatores e deseja removê-la, em primeiro lugar, você precisará certificar-se de que tem acesso à administração (ou seja, usando uma chave secreta).
- Faça login no Administrador do Joomla com a chave secreta,
- Desative o plugin de autenticação de dois fatores de Extensões> Plugins
- Procurar por dois fatores, Em seguida Desabilitar o plugin de autenticação de dois fatores que está ativado.
Sem acesso à chave secreta
Se você NÃO tem acesso ao painel Administrador / Administração do site porque ativou 2FA e sabe que não consegue fazer login, será necessário desativá-lo via PHPMyAdmin
- De sua conta de hospedagem, faça login em PHPMyAdmin
- Encontre a tabela que termina em '_extensions' (os primeiros dígitos / letras variam de acordo com a instalação)
- Encontre o plugin chamado plg_twofactorauth_totp e mude seu status 'habilitado' de '1' para '0'
- Economize
Isso desativa o plug-in 2FA e, portanto, elimina o login com a chave secreta.
Habilitando a autenticação de dois fatores para Joomla!
Então, vamos habilitar a autenticação de dois fatores no Joomla.
Por favor, note que isso é suportado como parte do núcleo e não requer nenhum Joomla! extensão. A seguir está o login de administrador normal (à esquerda) e o login de administrador do Joomla com autenticação de dois fatores (à direita).
Como você pode ver, a chave secreta é um novo campo que permite inserir a chave temporária.
Mas de onde você realmente consegue a chave temporária?
A primeira etapa que você precisa fazer é habilitar a autenticação de dois fatores habilitando o plug-in no Gerenciador de plug-ins (Gerenciador de plug-ins> Autenticação de dois fatores - Yubikey ou Google Authenticator (depende de qual gerador de chave você planeja usar)).
Você pode selecionar se deseja que isso seja habilitado para
- O back-end apenas (administrador)
- O front-end apenas (front-end)
- Ambos
Depois de habilitar o plugin, você começará a ver o campo da chave secreta.
Agora você precisa configurar o usuário por meio do Gerenciador de usuários.
A ideia é que agora você precisará associar o usuário a um dispositivo ao qual apenas o usuário específico tem acesso. Um dispositivo onipresente que você pode usar para gerar as chaves secretas é o Google Authenticator.
Este é um aplicativo para smartphone disponível no Google Play Store or Apple iTunes que é usado para gerar chaves secretas para acessar sua Conta do Google. O Google Authenticator também pode funcionar como gerador de segredos para o Joomla.
Para configurar o Autenticador como seu Método de Autenticação, você precisa realizar as seguintes etapas:
Configurando o Joomla Google Authenticator
- Vá para o Gerenciador de usuários, clique no usuário que deseja configurar (por exemplo, o usuário superadministrador)
- Depois de habilitar o plugin Two Factor Authentication conforme descrito acima, você encontrará uma nova guia "Two Factor Authentication", como pode ser visto abaixo como parte dos parâmetros do usuário
- No menu suspenso Método de autenticação, escolha o Google Authenticator (que está disponível por padrão na instalação do Joomla Core).
- Assim que escolher o Google Authenticator, você obterá etapas detalhadas sobre como configurá-lo. Se você já usou a autenticação de dois fatores antes, sabe que esta é uma etapa bastante fácil, que normalmente é concluída digitalizando um código QR usando o próprio aplicativo Authenticator (veja abaixo)
- Depois de escanear o código, o Google Authenticator começará a gerar códigos específicos para esse nome de usuário
- Para concluir a configuração, você precisará inserir um código secreto correto do Autenticador após a configuração
Depois que todas essas etapas forem concluídas, a autenticação de dois fatores foi habilitada para este usuário. Quando você chegar à tela de login, seja no front-end ou no back-end (de acordo com o que você escolheu), você precisará fornecer o código secreto do seu Autenticador, caso contrário, você não será capaz de Conecte-se.
Como gerar uma chave secreta do Joomla
Você não pode gerar uma chave secreta do Joomla sem passar pelo processo acima de associar um nome de usuário a uma conta específica do Google Authenticator do Joomla.
Depois de passar por esse processo, é simples gerar uma chave secreta. Você pode acessar o autenticador de seu telefone e ler a chave secreta que é gerada para a conta.
Lembre-se de que cada chave só é válida por cerca de 30 segundos, então uma nova é gerada.
Etapa final: gerar um lote de senhas de uso único
Então, o que acontece se o seu telefone Android não estiver disponível e você perder o acesso ao Autenticador? Você fica sem acesso ao seu site Joomla?
Não se você seguir os próximos passos.
A configuração do Google Authenticator recomenda que você crie um lote de senhas de uso único. Essas são chaves secretas, que podem ser usadas apenas uma vez.
Você deve gerá-los e armazená-los em um local seguro, imprimi-los e colocá-los em sua carteira e na sua mesa, de modo que se você perder o acesso ao seu telefone, poderá usar essas chaves secretas únicas para ser capaz de fazer login, até recuperar o acesso ao Autenticador.
Configurando a autenticação de dois fatores com o Joomla YubiKey
Se você tem acesso ou comprou uma autenticação YubiKey para dois fatores, você também pode usar isso com o seu site Joomla. Estas são as etapas para habilitar a autenticação de dois fatores YubiKey com Joomla
- Cadastre-se gratuitamente para obter seu ID de API de serviço da Web Yubico e chave secreta (que você precisará mais tarde)
- Baixe o plugin YubiKey do Projeto YubiKey do Google Code e o componente de autenticação YubiKey
- Instale o plugin de autenticação via administração Joomla: Extensões> Extension Manager> Upload Package File
- Encontre o plug-in de autenticação Yubikey no Extensões> Plugins > Autenticação - Yubikey. Você precisará especificar o seu ID de API do Yubico Web Service e a chave secreta nas configurações do plug-in e salvar as configurações.
- Instale o componente de autenticação Joomla Yubikey através do Extension Manager
- Acesse o componente YubiKey Authentication e adicione um novo usuário Yubikey com o componente.
- permitir que o Autenticação - Yubikey plug-in no Gerenciador de plug-ins. Sua chave secreta acima agora é gerada pela YubiKey. Agora você deve ser capaz de se conectar usando a autenticação de dois fatores YubiKey
- Você também precisará desabilitar o plugin de autenticação padrão do Joomla, que é habilitado por padrão quando você instala o Joomla, caso contrário, o login normal do Joomla ainda funcionará.
Perguntas Frequentes
O que é autenticação de dois fatores ou 2FA?
A autenticação de dois fatores é um mecanismo de segurança que adiciona uma variável adicional a um nome de usuário e senha, um terceiro campo que é gerado por um dispositivo que está disponível apenas para um usuário específico. Por exemplo, com o Joomla, você pode usar o Google Authenticator para gerar a chave secreta associada apenas ao seu usuário. Você também deve ter visto o 3FA usado com seu banco on-line ou para assinar / verificar transações VISA.
Por que a autenticação de dois fatores é usada?
A combinação de usuário + senha pode ser adivinhada usando uma variedade de técnicas, como phishing, usando nomes de usuário e senha conhecidos, engenharia social ou simplesmente por meio de força bruta ou uma combinação das opções acima. Ao usar a autenticação de dois fatores, você introduz um terceiro parâmetro ao qual apenas o usuário tem acesso. Portanto, mesmo que o nome de usuário / senha esteja disponível, a chave secreta estará disponível apenas para o usuário da conta que possui o gerador de chave secreta.
A autenticação de dois fatores é segura?
Embora nenhum mecanismo de segurança seja 100% à prova de tudo e os hackers tenham sido capazes de encontrar maneiras e meios em torno do 2FA, usando-o e tornando-o muito mais seguro do que não usá-lo.
Espero que tenha sido útil, se você gostou, compartilhe :)
. deixe um útil comente com suas ideias, depois compartilhe com seu (s) grupo (s) do Facebook, que considerariam isso útil e vamos colher os benefícios juntos. Obrigado por compartilhar e ser legal!
Divulgação: Esta página pode conter links para sites externos de produtos que amamos e recomendamos de todo o coração. Se você comprar produtos que sugerimos, podemos receber uma taxa de referência. Essas taxas não influenciam nossas recomendações e não aceitamos pagamentos por análises positivas.