Como habilitar, desabilitar e usar a autenticação de fator 2 do Joomla

autenticação de dois fatores do joomla

A autenticação de dois fatores do Joomla é uma das melhorias do projeto Joomla que podem e irão melhorar a segurança. Isso ocorre porque ao habilitar a autenticação de dois fatores, é praticamente impossível para um hacker usar um ataque de força bruta para adivinhar os detalhes do seu Joomla! usuário e senha.

Isso é particularmente importante para a parte do administrador do site, que garante que os ataques que tentam adivinhar sua senha nunca sejam bem-sucedidos. A propósito, se você deseja proteger fortemente o seu site Joomla, tornando-o mais rápido, você deveria ler isto.

O que é a autenticação de dois fatores do Joomla?

A autenticação de dois fatores do Joomla 3 é uma camada adicional de segurança, que cria uma senha temporária (baseada no tempo) que é única para um nome de usuário específico e seu site. A chave é descartada (e torna-se inválida literalmente após alguns segundos). Se você não tiver acesso a essa senha temporária ou chave secreta, não será possível fazer login.

Se você deseja tornar seu site mais seguro, em termos de credenciais de login, a 2FA é o caminho a percorrer.

Desativando a autenticação de dois fatores ou a chave secreta do Joomla

Vamos discutir duas maneiras de desabilitar 2FA no Joomla, uma é se você ainda tem acesso a uma chave secreta ou ao seu autenticador e ainda é capaz de gerar chaves secretas. A segunda é uma forma de desabilitar mesmo se você perder o acesso ao seu mecanismo de chave secreta.

Com acesso à chave secreta

Se você já ativou a autenticação de dois fatores e deseja removê-la, em primeiro lugar, você precisará certificar-se de que tem acesso à administração (ou seja, usando uma chave secreta).

  1. Faça login no Administrador do Joomla com a chave secreta,
  2. Desative o plugin de autenticação de dois fatores de Extensões> Plugins 
  3. Procurar por dois fatores, Em seguida Desabilitar o plugin de autenticação de dois fatores que está ativado.

desabilitar o plugin de autenticação de dois fatores

Sem acesso à chave secreta

Se você NÃO tem acesso ao painel Administrador / Administração do site porque ativou 2FA e sabe que não consegue fazer login, será necessário desativá-lo via PHPMyAdmin 

  1. De sua conta de hospedagem, faça login em PHPMyAdmin
  2. Encontre a tabela que termina em '_extensions' (os primeiros dígitos / letras variam de acordo com a instalação)
  3. Encontre o plugin chamado plg_twofactorauth_totp e mude seu status 'habilitado' de '1' para '0'
  4. Salvar

Isso desativa o plug-in 2FA e, portanto, elimina o login com a chave secreta.

Desativar Joomla Two Factor Authentication Plugin

Habilitando a autenticação de dois fatores para Joomla!

Então, vamos habilitar a autenticação de dois fatores no Joomla.

Por favor, note que isso é suportado como parte do núcleo e não requer nenhum Joomla! extensão. A seguir está o login de administrador normal (à esquerda) e o login de administrador do Joomla com autenticação de dois fatores (à direita). 

Administrador do Joomla Login NormalAdministrador Joomla com segredo Como você pode ver, a chave secreta é um novo campo que permite inserir a chave temporária.

Mas de onde você realmente consegue a chave temporária? 

A primeira etapa que você precisa fazer é habilitar a autenticação de dois fatores habilitando o plug-in no Gerenciador de plug-ins (Gerenciador de plug-ins> Autenticação de dois fatores - Yubikey ou Google Authenticator (depende de qual gerador de chave você planeja usar)).

Você pode selecionar se deseja que isso seja habilitado para

  1. O back-end apenas (administrador)
  2. O front-end apenas (front-end)
  3. Ambos

Depois de habilitar o plugin, você começará a ver o campo da chave secreta.

Agora você precisa configurar o usuário por meio do Gerenciador de usuários. 

A ideia é que agora você precisará associar o usuário a um dispositivo ao qual apenas o usuário específico tem acesso. Um dispositivo onipresente que você pode usar para gerar as chaves secretas é o Google Authenticator.

Este é um aplicativo para smartphone disponível no Google Play Store or Apple iTunes que é usado para gerar chaves secretas para acessar sua Conta do Google. O Google Authenticator também pode funcionar como gerador de segredos para o Joomla.

Para configurar o Autenticador como seu Método de Autenticação, você precisa realizar as seguintes etapas:  

Configurando o Joomla Google Authenticator

  • Vá para o Gerenciador de usuários, clique no usuário que deseja configurar (por exemplo, o usuário superadministrador)
  • Depois de habilitar o plugin Two Factor Authentication conforme descrito acima, você encontrará uma nova guia "Two Factor Authentication", como pode ser visto abaixo como parte dos parâmetros do usuário
  • No menu suspenso Método de autenticação, escolha o Google Authenticator (que está disponível por padrão na instalação do Joomla Core).
    Autenticação de dois fatores com o Google Authenticator
  • Assim que escolher o Google Authenticator, você obterá etapas detalhadas sobre como configurá-lo. Se você já usou a autenticação de dois fatores antes, sabe que esta é uma etapa bastante fácil, que normalmente é concluída digitalizando um código QR usando o próprio aplicativo Authenticator (veja abaixo)
  • Depois de escanear o código, o Google Authenticator começará a gerar códigos específicos para esse nome de usuárioConfigurando o Google Authenticator com um código QR
  • Para concluir a configuração, você precisará inserir um código secreto correto do Autenticador após a configuração

Ativar autenticação de dois fatores

Depois que todas essas etapas forem concluídas, a autenticação de dois fatores foi habilitada para este usuário. Quando você chegar à tela de login, seja no front-end ou no back-end (de acordo com o que você escolheu), você precisará fornecer o código secreto do seu Autenticador, caso contrário, você não será capaz de Conecte-se.

Como gerar uma chave secreta do Joomla

Você não pode gerar uma chave secreta do Joomla sem passar pelo processo acima de associar um nome de usuário a uma conta específica do Google Authenticator do Joomla. 

Depois de passar por esse processo, é simples gerar uma chave secreta. Você pode acessar o autenticador de seu telefone e ler a chave secreta que é gerada para a conta. 

Lembre-se de que cada chave só é válida por cerca de 30 segundos, então uma nova é gerada.

gerar código para autenticador Joomla Google

Etapa final: gerar um lote de senhas de uso único

Então, o que acontece se o seu telefone Android não estiver disponível e você perder o acesso ao Autenticador? Você fica sem acesso ao seu site Joomla?

Não se você seguir os próximos passos.

A configuração do Google Authenticator recomenda que você crie um lote de senhas de uso único. Essas são chaves secretas, que podem ser usadas apenas uma vez.

Você deve gerá-los e armazená-los em um local seguro, imprimi-los e colocá-los em sua carteira e na sua mesa, de modo que se você perder o acesso ao seu telefone, poderá usar essas chaves secretas únicas para ser capaz de fazer login, até recuperar o acesso ao Autenticador.

Vamos ajudá-lo a gerenciar melhor seu Joomla

Joomla

Botão de e-book de dicas grátis do Joomla

Configurando a autenticação de dois fatores com o Joomla YubiKey

Se você tem acesso ou comprou uma autenticação YubiKey para dois fatores, você também pode usar isso com o seu site Joomla. Estas são as etapas para habilitar a autenticação de dois fatores YubiKey com Joomla

  1. Cadastre-se gratuitamente para obter seu ID de API de serviço da Web Yubico e chave secreta (que você precisará mais tarde)
  2. Baixe o plugin YubiKey do Projeto YubiKey do Google Code e o componente de autenticação YubiKey
  3. Instale o plugin de autenticação via administração Joomla: Extensões> Extension Manager> Upload Package File  
  4. Encontre o plug-in de autenticação Yubikey no Extensões> Plugins > Autenticação - Yubikey. Você precisará especificar o seu ID de API do Yubico Web Service e a chave secreta nas configurações do plug-in e salvar as configurações.
  5. Instale o componente de autenticação Joomla Yubikey através do Extension Manager
  6. Acesse o componente YubiKey Authentication e adicione um novo usuário Yubikey com o componente.
  7. permitir que o Autenticação - Yubikey plug-in no Gerenciador de plug-ins. Sua chave secreta acima agora é gerada pela YubiKey. Agora você deve ser capaz de se conectar usando a autenticação de dois fatores YubiKey
  8. Você também precisará desabilitar o plugin de autenticação padrão do Joomla, que é habilitado por padrão quando você instala o Joomla, caso contrário, o login normal do Joomla ainda funcionará.

Perguntas Frequentes

O que é autenticação de dois fatores ou 2FA?

A autenticação de dois fatores é um mecanismo de segurança que adiciona uma variável adicional a um nome de usuário e senha, um terceiro campo que é gerado por um dispositivo que está disponível apenas para um usuário específico. Por exemplo, com o Joomla, você pode usar o Google Authenticator para gerar a chave secreta associada apenas ao seu usuário. Você também deve ter visto o 3FA usado com seu banco on-line ou para assinar / verificar transações VISA.

Por que a autenticação de dois fatores é usada?

A combinação de usuário + senha pode ser adivinhada usando uma variedade de técnicas, como phishing, usando nomes de usuário e senha conhecidos, engenharia social ou simplesmente por meio de força bruta ou uma combinação das opções acima. Ao usar a autenticação de dois fatores, você introduz um terceiro parâmetro ao qual apenas o usuário tem acesso. Portanto, mesmo que o nome de usuário / senha esteja disponível, a chave secreta estará disponível apenas para o usuário da conta que possui o gerador de chave secreta.

A autenticação de dois fatores é segura?

Embora nenhum mecanismo de segurança seja 100% à prova de tudo e os hackers tenham sido capazes de encontrar maneiras e meios em torno do 2FA, usando-o e tornando-o muito mais seguro do que não usá-lo.

Espero que tenha sido útil, se você gostou, compartilhe :)

Sobre o autor
David Attard
David trabalha na indústria online e digital ou em torno dela há 21 anos. Ele tem vasta experiência nas indústrias de software e web design usando WordPress, Joomla e nichos que os cercam. Ele trabalhou com agências de desenvolvimento de software, empresas internacionais de software, agências de marketing locais e agora é Chefe de Operações de Marketing na Aphex Media – uma agência de SEO. Como consultor digital, seu foco é ajudar as empresas a obter uma vantagem competitiva usando uma combinação de seus sites e plataformas digitais disponíveis atualmente. Sua combinação de experiência em tecnologia combinada com uma forte visão de negócios traz uma vantagem competitiva aos seus escritos.

Mais uma coisa... Você sabia que as pessoas que compartilham coisas úteis como esta postagem também parecem FANTÁSTICAS? ;-)
. deixe um útil comente com suas ideias, depois compartilhe com seu (s) grupo (s) do Facebook, que considerariam isso útil e vamos colher os benefícios juntos. Obrigado por compartilhar e ser legal!

Divulgação: Esta página pode conter links para sites externos de produtos que amamos e recomendamos de todo o coração. Se você comprar produtos que sugerimos, podemos receber uma taxa de referência. Essas taxas não influenciam nossas recomendações e não aceitamos pagamentos por análises positivas.

 

quem somos nós?

CollectiveRay é administrado por David Attard - trabalhando dentro e ao redor do nicho de web design por mais de 12 anos, oferecemos dicas práticas para pessoas que trabalham com e em sites. Também administramos DronesBuy.net - um site para entusiastas de drones.

David Attard

 

 

Autor (es) em destaque em:  Logotipo da revista Inc   Logotipo do Sitepoint   Logotipo do CSS Tricks    logotipo do webdesignerdepot   Logotipo WPMU DEV   e muitos mais ...