Segunda, 04 Setembro 2017 18:49

Proteja o seu Joomla! com a autenticação de dois fatores (Two-factor authentication) Destaque

Escrito por

Joomla two factor authentication

Desde o lançamento do Joomla! 3.2 no final de 2013, tem sido possível proteger sites baseados em Joomla com um método de autenticação especial chamado two-factor authentication (autenticação de dois fatores ou simplesmente 2FA). O conceito da autenticação de dois fatores é fornecer uma camada adicional de segurança, pois exige o uso de dois componentes diferentes antes que você possa acessar seu site.

Como no Joomla o primeiro componente é sempre uma senha regular de usuário, o segundo pode variar dependendo de sua solução preferida. Adicionar um fator secundário para o seu processo de autenticação fornecerá um impulso substancial de segurança para o seu site, fazendo com que seja quase impossível, ou dificultando bastante, que hackers obtenham acesso ao seu site via dictionary attacks; ou seja, evitando com sucesso solicitações de senha por tentativa de milhões de possibilidades prováveis ​​(tais como as palavras de um dicionário, daí a expressão em inglês), por intermédio de meios automatizados, que, como você pode imaginar, são um pouco mais rápido do que tentar manualmente adivinhar uma senha! É por isso que geralmente as senhas devem conter uma combinação de números, letras maiúsculas e minúsculas, bem como caracteres especiais, a fim de tornar muito mais difícil que um dictionary attacks venha a ter sucesso.

Voltando ao tópico em questão, existem chances de que você use a autenticação de dois fatores em algum momento de sua vida diária. Serviços como o Gmail incluem uma opção para receber um código SMS após o login com seu nome de usuário e senha que deve ser inserido antes que você possa acessar seu e-mail, e a maioria dos bancos exige algum tipo de camada adicional de segurança, como no site da CEF onde eu tenho conta e que, inicialmente, devo colocar meu nome de usuário para só então seguir caminho para inserir minha senha de internet. Não há dúvida de que é uma maneira mais segura para acessar, então porque não usar esse método no Joomla?

Joomla! e a autenticação de dois fatores

Antes da vinda do Joomla! 3.2, não havia nenhum mecanismo interno para garantir que o seu site tivesse a opção de autenticação secundária. No entanto, como podemos esperar da comunidade Joomla, houve, naturalmente, um número de plugins de terceiros disponíveis que estenderam as opções de autenticação. Um dos plugins mais conhecidos foi o plugin 2FA do Akeeba (que é conhecido hoje em dia por sua impressionante extensão Akeeba Backup), que mais tarde foi incorporado no Joomla! core. Deixando isso um pouco de lado, vale a pena mencionar que o Joomla! é o primeiro grande CMS com o 2FA, e que considerando o fato do acesso back-end como um Super Usuário (Administrador) incluir a capacidade de fazer praticamente qualquer coisa no site é uma boa idéia, pelo menos, se imaginar a utilização do 2FA para super administradores. Bom, enquanto nomes de usuários e senhas podem ser armazenados em um gerenciador de senhas ou pelo próprio navegador para logins rápidos, com o 2FA, inevitavelmente, isto vai ser um pouco inconveniente. Ainda assim, a segurança de seu site faz esse passo extra valer a pena, e as opções disponíveis para Joomla são um pouco mais fáceis do que se copiar um código de SMS. Além disso, não se esqueça de que nem sempre é necessário o uso de uma conta de super usuário para as tarefas rotineiras do dia-a-dia como publicar um artigo, ou seja, você nem sempre terá que lidar com a autenticação extra quando estiver fazendo pequenas alterações.

A autenticação de dois fatores não é um método infalível, é uma excelente barreira para previnir a intromissão indesejada nas suas contas online. É de conhecimento público que as senhas é uma faca de foi de gumes: as mais fracas são fácieis de lembrar, mas são muito fácil de serem adivinhadas. E as fortem podem ser dificeis de adivinhar, mas também são dificéis de lembrar. Devido a isso, as pessoas que já são ruins na criação de senhas, utilizam a mesma para todas as suas contas. Nesse sentido, a autenticação de dois fatores, pelo menos, faz com que seja um cibercriminoso não só tenha que descobrir sua senha, como também acessar o segundo fator, muito mais difícil de conseguir e, que implicaria roubar um telefone celular ou  assim comprometer uma conta de email.

Que métodos 2FA podem ser usados no Joomla?

Se você já tem um Joomla! versão superior a 3.2 em seu site, e nós realmente recomendamos que você tenha isso, então há duas opções disponíveis para a autenticação de dois fatores. Basicamente, você poderá escolher entre: * Google Authenticator * Yubikey authentication.

Google Authenticator

O Google Authenticator é uma espécie de token que gera um código de verificação (que consiste apenas em caracteres numéricos) que devem ser preenchidos como o segundo fator após o campo com o nome de usuário / senha. Este método de autenticação usa timestamps para gerar o código de verificação, o que significa que a senha vai funcionar por um período de tempo limitado, logo você precisa ser rápido para colocar o código copiado no campo apropriado. O que é realmente conveniente com método Google Authenticator é o fato de que a aplicação está disponível para múltiplas plataformas e até mesmo como uma extensão do navegador torna mais fácil copiar o código gerado para a área de transferência, de modo que você use apenas CTRL / CMD + V para colocar o código no campo extra, sem pressa.

Yubikey

YK4É um pequeno dispositivo (hardware) que pode gerar um código, que deve ser inserido como o segundo fator de autenticação. Naturalmente, há um custo adicional em comparação com o Google Authenticator pois você terá que comprar o dispositivo, embora ele possa ser usado para várias finalidades além do acesso Joomla (é mais seguro do que um aplicativo de telefone que está sujeito a todas as vulnerabilidades inerentes ao sistema operacional do mesmo). Yubikey oferece várias chaves, mas para Joomla! até mesmo a mais acessível será suficiente. Sua aparência é semelhante a uma pen drive fina com um botão de pressionar na parte superior. Seu sistema vai detectá-lo como um teclado, pois tecnicamente é um teclado com apenas um botão. Tocando este botão ele vai colar imediatamente (sempre onde o cursor é colocado) uma long hash string; realmente conveniente, bem como seguro, porque no Joomla você não precisa clicar sobre o botão de 'login' - você preenche o nome de usuário + senha e clica no botão do Yubikey - simples!

Onde posso ativar a autenticação de dois fatores?

Primeiro de tudo, todos os plugins de autenticação tem que ser estar habilitados, logo vá para oback-end do Joomla, clique em extensões ➝ Plugins para abrir a lista de plugins e, em seguida, filtrá-los em "tipo" por authentication. Certifique-se de que todos eles estão ativos, e depois vá para as configurações do usuário. Na última aba você vai encontrar a configuração de segurança extra, onde poderá especificar qual o método que você deseja usar. Uma vez selecionado, vai ser necessário confirmar essas configurações preenchendo uma senha de uso único do Google Authenticator ou Yubikey, dependendo de qual método você decidiu escolher. Há também um cenário de retorno - após a configuração Joomla! irá mostrar-lhe as senhas de emergência que você deve guardar em lugar seguro, para que você possa usá-los quando você não tem acesso ao seu dispositivo de segundo fator de autenticação.
A segurança extra é algo que à vale ser aproveitada, especialmente com tentativas de hacking em sites serem cada vez mais comum.
Fonte: Gavick, Kaspery. Tradução/adaptação livre: Vitor Pinheiro

Lido 24 vezes Última modificação em Quarta, 06 Setembro 2017 17:47
Templates JoomlaBR

Pinheiro (11) 96571-3921

"Fé não faz as coisas serem fáceis, mas as tornam totalmente possíveis. Creia!"