Come abilitare, disabilitare e utilizzare l'autenticazione a 2 fattori di Joomla

autenticazione a due fattori joomla

L'autenticazione a due fattori di Joomla è uno di quei miglioramenti del progetto Joomla che possono e miglioreranno la sicurezza. Questo perché abilitando l'autenticazione a due fattori, è praticamente impossibile per un hacker utilizzare un attacco di forza bruta per indovinare i dettagli del tuo Joomla! nome utente e password.

Ciò è particolarmente importante per la parte amministratore del sito Web, che garantisce che gli attacchi che tentano di indovinare la tua password non possano mai avere successo. Per inciso, se vuoi proteggere fortemente il tuo sito web Joomla, rendendolo più veloce, dovresti leggere questo.

Cos'è l'autenticazione a due fattori di Joomla?

L'autenticazione a due fattori di Joomla 3 è un ulteriore livello di sicurezza, che crea una password temporanea (basata sul tempo) unica per un nome utente specifico e il tuo sito web. La chiave viene scartata (e diventa non valida letteralmente dopo pochi secondi). Se non hai accesso a questa password temporanea o chiave segreta, non sarai in grado di accedere.

Se vuoi rendere il tuo sito web più sicuro, in termini di credenziali di accesso, 2FA è la strada da percorrere.

Disattivazione dell'autenticazione a due fattori o della chiave segreta di Joomla

Discuteremo due modi per disabilitare 2FA in Joomla, uno è se hai ancora accesso a una chiave segreta o al tuo autenticatore e sei ancora in grado di generare chiavi segrete. Il secondo è un modo per disabilitare anche se hai perso l'accesso al meccanismo della tua chiave segreta.

Con accesso alla chiave segreta

Se hai già attivato l'autenticazione a due fattori e desideri rimuoverla, prima di tutto dovrai assicurarti di avere accesso all'amministrazione (cioè utilizzando una chiave segreta).

  1. Accedi all'amministratore di Joomla con la chiave segreta,
  2. Disabilita il plug-in di autenticazione a due fattori da Estensioni> Plugin 
  3. Cercare a due fattori, poi Disabilita il plug-in di autenticazione a due fattori abilitato.

disabilita il plugin per l'autenticazione a due fattori

Nessun accesso alla chiave segreta

Se NON hai accesso al pannello Amministratore / Amministrazione del sito web perché hai abilitato 2FA e sai di non poter accedere, dovrai disabilitarlo tramite PHPMyAdmin 

  1. Dal tuo account di hosting accedi a PHPMyAdmin
  2. Trova la tabella che termina con "_extensions" (le prime cifre / lettere variano a seconda dell'installazione)
  3. Trova il plug-in denominato plg_twofactorauth_totp e cambia il suo stato "abilitato" da "1" a "0"
  4. Risparmi

Questo disabilita il plugin 2FA e quindi elimina l'accesso con la chiave segreta.

Disabilita il plug-in di autenticazione a due fattori di Joomla

Abilitazione dell'autenticazione a due fattori per Joomla!

Quindi vediamo come abilitare l'autenticazione a due fattori in Joomla.

Si prega di notare che questo è supportato come parte del core e non richiede alcun ulteriore Joomla! estensione. Quello che segue è il normale login dell'amministratore (a sinistra) e il login dell'amministratore di Joomla con autenticazione a due fattori (a destra). 

Accesso amministratore Joomla normaleAmministratore di Joomla con segreto Come puoi vedere la chiave segreta è un nuovo campo che ti permette di inserire la chiave temporanea.

Ma da dove prendi effettivamente la chiave temporanea? 

Il primo passo che devi fare è abilitare l'autenticazione a due fattori abilitando il plugin dal Plugin Manager (Plugin Manager> Autenticazione a due fattori: Yubikey o Google Authenticator (dipende dal generatore di chiavi che intendi utilizzare)).

È possibile selezionare se si desidera che questo sia abilitato per

  1. Solo il back-end (amministratore)
  2. Solo il front-end (front-end)
  3. Entrambi

Una volta abilitato il plug-in, inizierai a vedere il campo della chiave segreta.

Ora è necessario configurare l'utente tramite Gestione utenti. 

L'idea è che ora dovrai associare l'utente a un dispositivo a cui solo l'utente specifico ha accesso. Un dispositivo onnipresente che puoi utilizzare per generare le chiavi segrete è Google Authenticator.

Questa è un'app per smartphone disponibile su Google Play Store or Apple iTunes che viene utilizzato per generare chiavi segrete per accedere al tuo account Google. Google Authenticator può anche raddoppiare come generatore di segreti anche per Joomla.

Per impostare l'autenticatore come metodo di autenticazione, è necessario eseguire i seguenti passaggi:  

Configurazione di Joomla Google Authenticator

  • Vai a Gestione utenti, fai clic sull'utente che desideri configurare (es. Utente super amministratore)
  • Dopo aver abilitato il plugin Two Factor Authentication come descritto sopra, troverai una nuova scheda "Two Factor Authentication" come si può vedere di seguito come parte dei parametri dell'utente
  • Dal menu a discesa Metodo di autenticazione, scegli Google Authenticator (che è disponibile per impostazione predefinita nell'installazione di Joomla Core).
    Autenticazione a due fattori con Google Authenticator
  • Non appena scegli Google Authenticator, otterrai passaggi dettagliati su come impostarlo. Se hai già utilizzato l'autenticazione a due fattori, sai che questo è un passaggio abbastanza semplice, che in genere viene completato scansionando un codice QR utilizzando l'app Authenticator (vedi sotto)
  • Dopo aver scansionato il codice, Google Authenticator inizierà a generare codici specifici per quel nome utenteConfigurazione di Google Authenticator con un codice QR
  • Per completare la configurazione, dovrai inserire un codice segreto corretto dall'Autenticatore dopo la configurazione

Attiva l'autenticazione a due fattori

Una volta completati tutti questi passaggi, l'autenticazione a due fattori è stata abilitata per questo utente. Quando arrivi alla schermata di accesso, sia nel front-end che nel back-end (a seconda di ciò che hai scelto), dovrai fornire il codice segreto dal tuo Authenticator, altrimenti non sarai in grado di farlo accesso.

Come generare una chiave segreta di Joomla

Non è possibile generare una chiave segreta Joomla senza passare attraverso il processo di cui sopra di associare un nome utente a uno specifico account Joomla Google Authenticator. 

Dopo aver completato questo processo, generare una chiave segreta è semplice. È possibile accedere all'autenticatore dal telefono e leggere la chiave segreta generata per l'account. 

Ricorda che ogni chiave è valida solo per circa 30 secondi, quindi ne viene generata una nuova.

genera il codice per l'autenticatore Google Joomla

Passaggio finale: genera un batch di password monouso

Quindi cosa succede se il tuo telefono Android non è disponibile e perdi l'accesso all'autenticatore? Rimani bloccato fuori dal tuo sito web Joomla?

Non se fai i passi successivi.

La configurazione di Google Authenticator consiglia di creare un batch di password monouso. Queste sono chiavi segrete, che possono essere utilizzate una sola volta.

Dovresti generarli e conservarli in un luogo sicuro, stamparli e metterli nel portafoglio e sulla scrivania, in modo che se perdi l'accesso al telefono, sarai in grado di utilizzare queste chiavi segrete una tantum per essere in grado di accedere, fino a quando non si riacquista l'accesso all'autenticatore.

Impostazione dell'autenticazione a due fattori con Joomla YubiKey

Se hai accesso o hai acquistato una YubiKey per l'autenticazione a due fattori, puoi utilizzarla anche con il tuo sito web Joomla. Questi sono i passaggi per abilitare l'autenticazione a due fattori YubiKey con Joomla

  1. Registrati GRATIS per ottenere l'ID dell'API del servizio Web Yubico e la chiave segreta (di cui avrai bisogno in seguito)
  2. Scarica il plug-in YubiKey dal Progetto Google Code YubiKey e il componente di autenticazione YubiKey
  3. Installa il plug-in di autenticazione tramite l'amministrazione di Joomla: Estensioni> Gestione estensioni> Carica file pacchetto  
  4. Trova il plug-in di autenticazione Yubikey dal file Estensioni> Plugin > Autenticazione - Yubikey. Dovrai specificare l'ID API del servizio Web Yubico e la chiave segreta nelle impostazioni del plug-in e salvare le impostazioni.
  5. Installa il componente di autenticazione Joomla Yubikey tramite Extension Manager
  6. Accedi al componente di autenticazione YubiKey e aggiungi un nuovo utente Yubikey con il componente.
  7. Attivare la Autenticazione - Yubikey plugin nel Plugin Manager. La tua chiave segreta sopra è ora generata da YubiKey. Ora dovresti essere in grado di connetterti utilizzando l'autenticazione a due fattori YubiKey
  8. Dovrai anche disabilitare il plugin di autenticazione Joomla standard che è abilitato di default quando installi Joomla altrimenti il ​​normale login di Joomla continuerà a funzionare.

Domande frequenti

Che cos'è l'autenticazione a due fattori o 2FA?

L'autenticazione a due fattori è un meccanismo di sicurezza che aggiunge una variabile aggiuntiva a nome utente e password, un terzo campo generato da un dispositivo disponibile solo per un utente specifico. Ad esempio, con Joomla, puoi utilizzare Google Authenticator per generare la chiave segreta associata solo al tuo utente. Potresti aver visto 3FA utilizzato anche con il tuo banking online o per firmare / verificare transazioni VISA.

Perché viene utilizzata l'autenticazione a due fattori?

La combinazione di utente + password può essere indovinata utilizzando una varietà di tecniche come il phishing, utilizzando nomi utente e password noti, ingegneria sociale o semplicemente attraverso la forza bruta o una combinazione di quanto sopra. Utilizzando l'autenticazione a due fattori, si introduce un terzo parametro a cui solo l'utente ha accesso. Quindi, anche se il nome utente / password è disponibile, la chiave segreta sarà disponibile solo per l'utente dell'account che dispone del generatore di chiavi segrete.

L'autenticazione a due fattori è sicura?

Anche se nessun meccanismo di sicurezza è completamente a prova di 100% e si è scoperto che gli hacker sono in grado di trovare modi e mezzi intorno a 2FA, usandolo e abilitandolo molto più sicuro che non usarlo.

Spero che sia stato utile, se ti piace per favore condividi :)

L'autore
Davide Attard
David ha lavorato nel settore online e digitale negli ultimi 21 anni. Ha una vasta esperienza nei settori del software e del web design utilizzando WordPress, Joomla e le nicchie che li circondano. Ha lavorato con agenzie di sviluppo software, società di software internazionali, agenzie di marketing locali e ora è responsabile delle operazioni di marketing presso Aphex Media, un'agenzia SEO. In qualità di consulente digitale, il suo obiettivo è aiutare le aziende a ottenere un vantaggio competitivo utilizzando una combinazione del loro sito Web e delle piattaforme digitali oggi disponibili. La sua miscela di esperienza tecnologica combinata con un forte senso degli affari conferisce un vantaggio competitivo ai suoi scritti.

Un'altra cosa... Sapevi che anche le persone che condividono cose utili come questo post sembrano FANTASTICHE? ;-)
Per favore, lasciare un utile commenta con i tuoi pensieri, quindi condividi questo articolo sui tuoi gruppi di Facebook che lo troverebbero utile e raccogliamo insieme i frutti. Grazie per la condivisione e per essere gentile!

Disclosure: Questa pagina può contenere collegamenti a siti esterni per prodotti che amiamo e consigliamo vivamente. Se acquisti prodotti che ti suggeriamo, potremmo guadagnare una commissione per segnalazione. Tali commissioni non influenzano le nostre raccomandazioni e non accettiamo pagamenti per recensioni positive.

 

chi siamo noi?

CollectiveRay è gestito da David Attard - lavorando dentro e intorno alla nicchia del web design da più di 12 anni, forniamo suggerimenti utili per le persone che lavorano con e sui siti web. Gestiamo anche DronesBuy.net, un sito Web per appassionati di droni.

David Attard

 

 

Autore / i in primo piano su:  Logo della rivista Inc   Logo di Sitepoint   Logo CSS Tricks    logo webdesignerdepot   Logo WPMU DEV   e molti altri ...