Zabezpieczenie logowania Joomla tokenem - Weryfikację dwuskładnikowa - Google Authenticator#

Data: 2016-04-13 09:24:52

W artykule przedstawimy jak wykorzystać Weryfikację dwuskładnikowa - Google Authenticator do tego, aby zabezpieczyć witrynę przed nieautoryzowanym logowaniem. Ogólna zasada działania jest taka, że do logowania oprócz hasła, loginu potrzebujemy jednorazowe hasło generowane w telefonie komórkowym. To zabezpieczenie praktycznie uniemożliwia hackerowi logowanie do Joomla na konto zabezpieczone weryfikacją dwuskładnikową.

KROK 1 - Aktywacja dodatku w sekcji PLUGINS

Przechodzimy do ROZSZERZENIA > DODATKI wybieramy dodatek o nazwie Weryfikacja dwuskładnikowa - Google Authenticator" Ten dodatek pozwala użytkownikom twojej witryny stosować weryfikację dwuskładnikową za pomocą Google Authenticator lub innego generatora haseł jednorazowych opartego na synchronizacji czasowej (Time-based One Time Password). Aby korzystać z weryfikacji dwuskładnikowej, użytkownik musi wyedytować swój profil i odblokować weryfikację dwuskładnikową. Po opublikowaniu dodatku przechodzimy do aktywacji w koncie użytkownika.

Krok 2 Edycja konta użytkownika

Po zalogowaniu na nasz login użytkownika przechodzimy do UŻYTKOWNICY w panelu administracyjnym. Następnie wybieramy nasze konto z listy użytkowników. We właściwościach danego konta użytkownika pojawi się dodatkowa zakładka WERYFIKACJA DWUSKŁADNIKOWA. Funkcja ta pozwala na używanie Google Authenticator lub kompatybilnej aplikacji do weryfikacji dwuskładnikowej (uwierzytelniania dwuskładnikowego). Aby zalogować się do strony oprócz podania swojej nazwy i hasla użytkownika trzeba będzie podać sześciocyfrowy kod weryfikacyjny wygenerowany przez Google Authenticator. Kod weryfikacyjny zmieniany jest co 30 sekund. Dzięki weryfikacji dwuskładnikowej konto jest lepiej chronione, ponieważ utrudnia ona hakerowi zalogowanie się do niego, nawet jeśli udało mu się jakoś poznać hasło.

Krok 3 Pobranie aplikacji TWO FACTOR AUTHENTICATOR

Na systemy Windows Mobile pobieramy Microsoft Authenticator, na systemy Android, Iphone, Blackberry pobieramy Google Authenticator. Po instalacji uruchamiamy aplikację. Poniższe zrzuty pokazują aplikację Microsoft Authenticator, ale zasada każdego tego typu programu jest analogiczna. Po instalacji możemy przejść do uruchomienia funkcji dla użytkownika. Do poprawnego działania tokenu musisz mieć ustawiony poprawny czas w telefonie - najlepiej aktualizowany automatycznie.

Krok 4 uruchomienie metody autentykacji

Jeśli już mamy na komórce aplikację generującą token przechodzimy znów do panelu Joomla i naszego konta użytkownika (krok 2) tam w zakładce WERYFIKACJA DWUSKŁADNIKOWA w polu metoda autentykacji wybieramy GOOGLE AUTHENTICATOR od razu pojawią nam się dodatkowe opcje poniżej. Jeśli pobraliśmy aplikację przechodzimy do skanowania QR code

Krok 5 skanowanie QR code

Uruchamiamy aplikację na komórce i klikamy plus aby dodać nową witrynę do weryfikacji. Program poprosi nas o nazwę i klucz tajny. Możemy je przepisać z witryny, ale zalecamy kliknięcie ikony aparatu foto co uruchomi aparat fotograficzny w komórce i po skierowaniu aparatu w kierunku QR code na monitorze aplikacja natychmiast zweryfikuje i doda witrynę.

Krok 6 końcowa weryfikacja witryny w aplikacji

Następnie na stronie JOOMLA w sekcji KROK 3 - aktywuj weryfikację dwyskładnikową wpisujemy kod jednorazowy z naszej komórki i klikamy enter albo zapisujemy natychmiast ustawienia konta. W tym momencie jeśli pozytywnie przeszliśmy weryfikację system Joomla wyświetli nam listę jednorazowych haseł awaryjnych - sugerujemy wydrukować je i zamknąć w bezpiecznej kopercie np. w sejfie firmowym. W przypadku zgubienia telefonu komórkowego te hasła jednorazowe pozwolą nam bez problemu zalogować się w systemie Joomla.

Krok 7 weryfikacja logowania

Teraz możemy sprawdzić jak działa weryfikacja dwuskładnikowa. Wylogowujemy się z Joomla. W oknie logowania pojawi się trzy pola: login, hasło, hasło jednorazowe. Osoby, które nie skonfigurowały dla swojego konta metody dwuskładnikowej logują się przy pomocy hasła i loginu tak jak dotychczas. Jeśli mamy skonfigurowane dwuskładnikowe to wpisujemy login, hasło a następnie z telefonu komórkowego 6-cyfrowy pin i klikamy od razu zalogu się.