Dla użytkowników Joomla! 2.5, którzy z przejściem na wyższą wersję Joomla! czekają do czasu wydania wersji 3.5 (LTS), będzie to ciekawe rozwiązanie, które już teraz pozwoli na używanie rozwiązań, jakie znaleźć można w wydaniu z serii 3.x.
Czym jest Two Factor Authentication (TFA)
Weryfikacja dwuetapowa (dwuskładnikowa), bo właśnie tak można nazwać TFA, jest rozwiązaniem, dzięki któremu nasz dostęp do panelu zarządzania Joomla! wymaga podania (poza loginem i hasłem) także specjalnego, wygenerowanego klucza, który możemy odczytać na swoim smarftonie czy specjalnej aplikacji desktopowej. Klucz ten jest zmieniany co 30 sekund, więc nawet jeśli ktoś odczytałby u nas kod, to miałby maksymalnie 30s na jego użycie. Rozwiązanie takie (token) jest stosowane w niektórych bankach, zatem można przyjąć, że jeśli banki używają takiej weryfikacji, to jest ona naprawdę bezpieczna.
Komu może przydać się takie rozwiązanie
W zasadzie rozwiązanie to ma przede wszystkim zastosowanie w chwili, kiedy w naszej pracy często zmieniamy miejsce i łączymy się do nieznanych nam sieci internetowych. Chodzi tutaj o możliwość przechwycenia naszego loginu i hasła, jakiego używamy podczas logowania się do naszej witryny. Załóżmy, że wyjechaliśmy na weekend w góry, zabraliśmy laptopa i na naszym blogu chcemy napisać, jakie to piękne widoki nas przywitały, jaka piękna jest pogoda itd... Oczywiście łączymy się do sieci internetowej, która coraz częściej jest bezpłatnie dostępna w obrębie wynajętego przez nas domku, kwatery czy pokoju hotelowego. Podłączenie się do niezabezpieczonych sieci niesie ze sobą spore zagrożenie - ponieważ w dość prosty sposób możemy "nasłuchiwać", co się w niej dzieje, a przy pomocy wielu programów wyłapywać pakiety http wraz z przesyłanymi w nieszyfrowany sposób danymi - czyli naszym loginem i hasłem.
Przecież nikt nie będzie "podsłuchiwał" sieci do której się zalogowałem.
Błąd. Będąc nawet w popularnym fast foodzie z literą M w nazwie, jesteśmy narażeni na przechwytywanie przez innych naszych danych wysyłanych do co prawda bezpłatnej, ale ogólnodostępnej sieci wifi. Przecież skoro każdy może podłączyć się do sieci, która w żaden sposób nie szyfruje pakietów przesyłanych pomiędzy naszym laptopem a routerem, również każdy widzi "latające" dane. Wydawało mi się to dość nieprawdopodobne, dlatego na potrzeby tego artykułu zrobiłem w domu test. Na jednym komputerze uruchomiłem oprogramowanie pozwalające mi na nasłuch, a na drugim wykonałem logowanie do swojej witryny. Po przefiltrowaniu danych szybko znalazłem to, co mnie interesuje.
Jak widać na powyższych grafikach, jeśli ktoś wie, co chce zrobić i jak przechwytywać pakiety, w dość prosty sposób może otrzymać interesujące go dane. Tutaj od razu chciałbym uspokoić wszystkich, którzy często logują się do banku. Nasłuchiwanie takie nie będzie działało, jeśli połączenie z witryną, na której podajemy login i hasło, jest szyfrowane (czyli znane nam certyfikaty SSL).
Two Factor Authentication dla Joomla! 2.5
Dzięki wdrożeniu dwuskładnikowego uwierzytelnienia mamy pewność, że nawet jeśli znajdziemy się w "otwartej" sieci, to bez większego zastanowienia możemy logować się do naszego zaplecza Joomla!. Aby uzyskać możliwość korzystania z TFA, musimy do naszej Joomla! 2.5 doinstalować odpowiedni dodatek, który znajdziecie na stronie: Two Factor Authentication.
Instalacja
Co będzie nam potrzebne do przygotowania podwójnego uwierzytelnienia?
- konto Google
- dodatek - Two Factor Authentication
- smartfon podłączony do internetu
- aplikacja autoryzująca dla naszego smartfona
Aplikacje dla smartfonów:
Android: Google Authenticator
iPhone: Google Authenticator
Instalacja i konfiguracja
A jeśli zgubisz telefon ?
Jeśli Twój telefon ulegnie usterce lub po prostu go zgubisz, Twój dostęp do zaplecza Joomla! nadal będzie możliwy. Deweloperzy pomyśleli o tym i umożliwili skorzystanie z dwóch wariantów. Możesz użyć jednorazowego kodu dostępu (który powinieneś zapisać po konfiguracji dodatku) lub - jeśli włączyłeś możliwość wysłania kodu na e-mail - będziesz mógł skorzystać z takiej możliwości.
Pamiętaj o kopii zapasowej
Pamiętaj, że przed każda ważną zmianą na stronie należy wykonać pełną kopię zapasową.
