Como habilitar, desabilitar e usar a autenticação de fator 2 do Joomla

autenticação de dois fatores do joomla

A autenticação de dois fatores do Joomla é uma das melhorias do projeto Joomla que podem e irão melhorar a segurança. Isso ocorre porque ao habilitar a autenticação de dois fatores, é praticamente impossível para um hacker usar um ataque de força bruta para adivinhar os detalhes do seu Joomla! usuário e senha.

Isso é particularmente importante para a parte do administrador do site, que garante que os ataques que tentam adivinhar sua senha nunca sejam bem-sucedidos. A propósito, se você deseja proteger fortemente o seu site Joomla, tornando-o mais rápido, você deveria ler isto.

O que é a autenticação de dois fatores do Joomla?

A autenticação de dois fatores do Joomla 3 é uma camada adicional de segurança, que cria uma senha temporária (baseada no tempo) que é única para um nome de usuário específico e seu site. A chave é descartada (e torna-se inválida literalmente após alguns segundos). Se você não tiver acesso a essa senha temporária ou chave secreta, não será possível fazer login.

Se você deseja tornar seu site mais seguro, em termos de credenciais de login, a 2FA é o caminho a percorrer.

Desativando a autenticação de dois fatores ou a chave secreta do Joomla

Vamos discutir duas maneiras de desabilitar 2FA no Joomla, uma é se você ainda tem acesso a uma chave secreta ou ao seu autenticador e ainda é capaz de gerar chaves secretas. A segunda é uma forma de desabilitar mesmo se você perder o acesso ao seu mecanismo de chave secreta.

Com acesso à chave secreta

Se você já ativou a autenticação de dois fatores e deseja removê-la, em primeiro lugar, você precisará certificar-se de que tem acesso à administração (ou seja, usando uma chave secreta).

  1. Faça login no Administrador do Joomla com a chave secreta,
  2. Desative o plugin de autenticação de dois fatores de Extensões> Plugins 
  3. Procurar por dois fatores, Em seguida Desabilitar o plugin de autenticação de dois fatores que está ativado.

desabilitar o plugin de autenticação de dois fatores

Sem acesso à chave secreta

Se você NÃO tem acesso ao painel Administrador / Administração do site porque ativou 2FA e sabe que não consegue fazer login, será necessário desativá-lo via PHPMyAdmin 

  1. De sua conta de hospedagem, faça login em PHPMyAdmin
  2. Encontre a tabela que termina em '_extensions' (os primeiros dígitos / letras variam de acordo com a instalação)
  3. Encontre o plugin chamado plg_twofactorauth_totp e mude seu status 'habilitado' de '1' para '0'
  4. Salvar

Isso desativa o plug-in 2FA e, portanto, elimina o login com a chave secreta.

Desativar Joomla Two Factor Authentication Plugin

Habilitando a autenticação de dois fatores para Joomla!

Então, vamos habilitar a autenticação de dois fatores no Joomla.

Por favor, note que isso é suportado como parte do núcleo e não requer nenhum Joomla! extensão. A seguir está o login de administrador normal (à esquerda) e o login de administrador do Joomla com autenticação de dois fatores (à direita). 

Joomla Administrator Login NormalAdministrador Joomla com segredo Como você pode ver, a chave secreta é um novo campo que permite inserir a chave temporária.

Mas de onde você realmente consegue a chave temporária? 

A primeira etapa que você precisa fazer é habilitar a autenticação de dois fatores habilitando o plug-in no Gerenciador de plug-ins (Gerenciador de plug-ins> Autenticação de dois fatores - Yubikey ou Google Authenticator (depende de qual gerador de chave você planeja usar)).

Você pode selecionar se deseja que isso seja habilitado para

  1. O back-end apenas (administrador)
  2. O front-end apenas (front-end)
  3. Ambos

Depois de habilitar o plugin, você começará a ver o campo da chave secreta.

Agora você precisa configurar o usuário por meio do Gerenciador de usuários. 

A ideia é que agora você precisará associar o usuário a um dispositivo ao qual apenas o usuário específico tem acesso. Um dispositivo onipresente que você pode usar para gerar as chaves secretas é o Google Authenticator.

Este é um aplicativo para smartphone disponível no Google Play Store or Apple iTunes que é usado para gerar chaves secretas para acessar sua Conta do Google. O Google Authenticator também pode funcionar como gerador de segredos para o Joomla.

Para configurar o Autenticador como seu Método de Autenticação, você precisa realizar as seguintes etapas:  

Configurando o Joomla Google Authenticator

  • Vá para o Gerenciador de usuários, clique no usuário que deseja configurar (por exemplo, o usuário superadministrador)
  • Depois de habilitar o plugin Two Factor Authentication conforme descrito acima, você encontrará uma nova guia "Two Factor Authentication", como pode ser visto abaixo como parte dos parâmetros do usuário
  • No menu suspenso Método de autenticação, escolha o Google Authenticator (que está disponível por padrão na instalação do Joomla Core).
    Autenticação de dois fatores com o Google Authenticator
  • Assim que escolher o Google Authenticator, você obterá etapas detalhadas sobre como configurá-lo. Se você já usou a autenticação de dois fatores antes, sabe que esta é uma etapa bastante fácil, que normalmente é concluída digitalizando um código QR usando o próprio aplicativo Authenticator (veja abaixo)
  • Depois de escanear o código, o Google Authenticator começará a gerar códigos específicos para esse nome de usuárioConfigurando o Google Authenticator com um código QR
  • Para concluir a configuração, você precisará inserir um código secreto correto do Autenticador após a configuração

Ativar autenticação de dois fatores

Depois que todas essas etapas forem concluídas, a autenticação de dois fatores foi habilitada para este usuário. Quando você chegar à tela de login, seja no front-end ou no back-end (de acordo com o que você escolheu), você precisará fornecer o código secreto do seu Autenticador, caso contrário, você não será capaz de Conecte-se.

Como gerar uma chave secreta do Joomla

Você não pode gerar uma chave secreta do Joomla sem passar pelo processo acima de associar um nome de usuário a uma conta específica do Google Authenticator do Joomla. 

Depois de passar por esse processo, é simples gerar uma chave secreta. Você pode acessar o autenticador de seu telefone e ler a chave secreta que é gerada para a conta. 

Lembre-se de que cada chave só é válida por cerca de 30 segundos, então uma nova é gerada.

gerar código para autenticador Joomla Google

Etapa final: gerar um lote de senhas de uso único

Então, o que acontece se o seu telefone Android não estiver disponível e você perder o acesso ao Autenticador? Você fica sem acesso ao seu site Joomla?

Não se você seguir os próximos passos.

A configuração do Google Authenticator recomenda que você crie um lote de senhas de uso único. Essas são chaves secretas, que podem ser usadas apenas uma vez.

Você deve gerá-los e armazená-los em um local seguro, imprimi-los e colocá-los em sua carteira e na sua mesa, de modo que se você perder o acesso ao seu telefone, poderá usar essas chaves secretas únicas para ser capaz de fazer login, até recuperar o acesso ao Autenticador.

Vamos ajudá-lo a gerenciar melhor seu Joomla

Joomla

Botão de e-book de dicas grátis do Joomla

Configurando a autenticação de dois fatores com o Joomla YubiKey

Se você tem acesso ou comprou uma autenticação YubiKey para dois fatores, você também pode usar isso com o seu site Joomla. Estas são as etapas para habilitar a autenticação de dois fatores YubiKey com Joomla

  1. Cadastre-se gratuitamente para obter seu ID de API de serviço da Web Yubico e chave secreta (que você precisará mais tarde)
  2. Baixe o plugin YubiKey do Projeto YubiKey do Google Code e o componente de autenticação YubiKey
  3. Instale o plugin de autenticação via administração Joomla: Extensões> Extension Manager> Upload Package File  
  4. Encontre o plug-in de autenticação Yubikey no Extensões> Plugins > Autenticação - Yubikey. Você precisará especificar o seu ID de API do Yubico Web Service e a chave secreta nas configurações do plug-in e salvar as configurações.
  5. Instale o componente de autenticação Joomla Yubikey através do Extension Manager
  6. Acesse o componente YubiKey Authentication e adicione um novo usuário Yubikey com o componente.
  7. permitir que o Autenticação - Yubikey plug-in no Gerenciador de plug-ins. Sua chave secreta acima agora é gerada pela YubiKey. Agora você deve ser capaz de se conectar usando a autenticação de dois fatores YubiKey
  8. Você também precisará desabilitar o plugin de autenticação padrão do Joomla, que é habilitado por padrão quando você instala o Joomla, caso contrário, o login normal do Joomla ainda funcionará.

PERGUNTAS FREQUENTES

O que é autenticação de dois fatores ou 2FA?

A autenticação de dois fatores é um mecanismo de segurança que adiciona uma variável adicional a um nome de usuário e senha, um terceiro campo que é gerado por um dispositivo que está disponível apenas para um usuário específico. Por exemplo, com o Joomla, você pode usar o Google Authenticator para gerar a chave secreta associada apenas ao seu usuário. Você também deve ter visto o 3FA usado com seu banco on-line ou para assinar / verificar transações VISA.

Por que a autenticação de dois fatores é usada?

A combinação de usuário + senha pode ser adivinhada usando uma variedade de técnicas, como phishing, usando nomes de usuário e senha conhecidos, engenharia social ou simplesmente por meio de força bruta ou uma combinação das opções acima. Ao usar a autenticação de dois fatores, você introduz um terceiro parâmetro ao qual apenas o usuário tem acesso. Portanto, mesmo que o nome de usuário / senha esteja disponível, a chave secreta estará disponível apenas para o usuário da conta que possui o gerador de chave secreta.

A autenticação de dois fatores é segura?

Embora nenhum mecanismo de segurança seja 100% à prova de tudo e os hackers tenham sido capazes de encontrar maneiras e meios em torno do 2FA, usando-o e tornando-o muito mais seguro do que não usá-lo.

Espero que tenha sido útil, se você gostou, compartilhe :)

Sobre o autor
David Attard
Autor: David AttardSite: https://www.linkedin.com/in/dattard/
David tem trabalhado na ou em torno da indústria online / digital nos últimos 18 anos. Ele tem vasta experiência nas indústrias de software e web design usando WordPress, Joomla e nichos ao seu redor. Como consultor digital, seu foco é ajudar as empresas a obter uma vantagem competitiva usando uma combinação de seu website e plataformas digitais disponíveis hoje.

Mais uma coisa... Você sabia que as pessoas que compartilham coisas úteis como esta postagem também parecem FANTÁSTICAS? ;-)
. deixe um útil comente com suas ideias, depois compartilhe com seu (s) grupo (s) do Facebook, que considerariam isso útil e vamos colher os benefícios juntos. Obrigado por compartilhar e ser legal!

Divulgação: Esta página pode conter links para sites externos de produtos que amamos e recomendamos de todo o coração. Se você comprar produtos que sugerimos, podemos receber uma taxa de referência. Essas taxas não influenciam nossas recomendações e não aceitamos pagamentos por análises positivas.

 

quem somos nós?

CollectiveRay é administrado por David Attard - trabalhando dentro e ao redor do nicho de web design por mais de 12 anos, oferecemos dicas práticas para pessoas que trabalham com e em sites. Também administramos DronesBuy.net - um site para entusiastas de drones.

David Attard

 

 

Autor (es) em destaque em:  Logotipo da revista Inc   Logotipo do Sitepoint   Logotipo do CSS Tricks    logotipo do webdesignerdepot   Logotipo WPMU DEV   e muitos mais ...