Для чого потрібна мультифакторна аутентифікація? Сайт на CMS Joomla 4 складається з двох частин - лицьової частини (інтерфейсу для користувачів) та адміністративної панелі. Користувачі можуть авторизуватися як на передній частині, так і в адмінпанелі, введенням свого логіну та пароля. Ці дані для входу можуть потрапити в руки зловмиснику.
Тим паче, що штучний інтелект значно спрощує злом паролів, навіть складних. Саме тому необхідна автентифікація.
Аутентифікація в Joomla 4 означає перевірку справжності користувача при вході на сайт. Перевірка відбувається за допомогою введення тимчасового коду, або інших даних, залежно від обраного методу аутентифікації, в додатковій формі. Joomla 4.2 та її новіші версії пропонують кілька методів аутентифікації. Тому цю аутентифікацію називають багатофакторною або мультифакторною (MFA).
Ви також можливо зустрічали вираз "Двофакторна аутентифікація (2FA)" відносно Joomla 4. В попередніх версіях Joomla, аутентифікація називалась двофакторною, та мала відповідні відмінності. Власники сайтів на Joomla версії нижче 4.2 можуть оновлювати CMS без страху втратити налаштування аутентифікації, оскільки вони автоматично перенесуться в налаштування MFA. Однак перед оновленням не забудьте зробити бекап.
Як створити бекап за допомогою компонента Akeeba Backup: 4 простих кроки.
Способи автентифікації в Joomla 4:
- Код, відправлений на електронну пошту.
- Код, згенерований у системах, подібних до Google Authenticator, Authy та інших аналогічних.
- WC3 Web автентифікація через браузер за допомогою пароля або біометричних даних (відбиток пальця, сканування обличчя тощо).
- Токен YubiKey (для клієнтів компанії Yubico).
- Бекап-коди.
Окрім стандартних способів автентифікації в Joomla 4, існують додаткові, такі як SMS-повідомлення; їх можна налаштувати за допомогою розширень.
Щоб налаштувати автентифікацію в Joomla, спочатку необхідно включити плагіни тих методів перевірки автентичності, які вам будуть зручні для використання. Потім активуйте ці методи в налаштуваннях користувача.
Етап 1: Активація плагінів автентифікації
Плагіни мультифакторної автентифікації майже не містять налаштувань. Все, що вам потрібно зробити, - це включити їх.
1) Переходимо в адмінпанель (адреса сайту /administrator - у рядку браузера) та вибираємо Плагіни:
2) У розділі плагінів необхідно знайти плагіни мультифакторної аутентифікації:
1. Для зручності пошуку плагінів MFA скористайтеся пошуком, введіть "Multi-factor Authentication".
2. Якщо навпроти назви плагіна є іконка-замок - натисніть на замок, щоб розблокувати плагін.
3. Плагін "Multi-factor Authentication - Fixed Code" призначений для розробників, його не можна активувати на живих сайтах. На скрині цей плагін вимкнений, на відміну від інших плагінів аутентифікації. Всі інші плагіни, які належать до MFA, ви можете активувати.
Налаштування плагінів аутентифікації
Оскільки плагіни не містять налаштувань (крім Authentication Code by Email), відкривати їх не обов'язково, можна увімкнути/вимикати прямо у списку плагінів, натиснувши на коло з хрестиком/галочкою, що зліва перед назвою плагіна. Поруч з увімкненим плагіном буде зелене коло.
Multi-factor Authentication - Authentication Code by Email - плагін аутентифікації, який, як уже зрозуміло з назви, буде надсилати одноразовий код на електронну пошту користувача. Плагін має всього кілька налаштувань. Натисніть на назву плагіна для редагування.
1. Зробити автентифікацію через Email обов'язковою для всіх користувачів.
На відміну від інших плагінів, налаштування яких потрібно проводити, в тому числі на боці користувача, автентифікацію через Email можна зробити обов'язковою для всіх користувачів у самому плагіні.
Обов'язкова автентифікація через Email - це додаткова опція безпеки на випадок, якщо користувач втратив свій основний автентифікатор. У такому випадку при вході користувач може запросити альтернативний спосіб автентифікації - через Email, і система відправить код на Email, вказаний в налаштуваннях користувача.
Досить зручна опція для адміністратора сайту, який має десятки і більше користувачів - можна включити Email автентифікацію для всіх користувачів одним натисканням кнопки.
2. Період часу, протягом якого відправлений код буде діяти. Тобто через дві хвилини код стає недійсним, і система згенерує та відправить новий код. Дві хвилини є рекомендованим періодом, але можна змінити період у більшу або меншу сторону.
Плагін можна активувати в його налаштуваннях, змінивши статус на "Увімкнено" (кнопка праворуч). Також не забудьте зберегти зміни кнопками зверху.
У нашому випадку налаштування плагіна (не обов'язково для всіх користувачів; час дії - 2 хв) залишилися без змін, їх встановлені значення за замовчуванням нас влаштовують. Ми просто увімкнули плагін.
Етап 2: Активація способів автентифікації в налаштуваннях користувача
Joomla 4 передбачає гнучке налаштування кожного користувача. Це стосується його прав, сповіщень, мови та аутентифікації. Тому способи аутентифікації потрібно встановлювати для кожного користувача окремо (навіть якщо користувач - всього один). Адже комусь буде зручно отримувати повідомлення на електронну пошту, а комусь - код на Google Authenticator.
Переходимо в Користувачі > Керувати, потрапляємо на сторінку всіх користувачів. Натисніть на ім'я конкретного користувача для його редагування.
Переходимо на вкладку "Багатофакторна автентифікація (Multi-factor Authentication)". Щоб ця вкладка з'явилась в налаштуваннях користувача, необхідно включити хоча б один з плагінів мультифакторної аутентифікації (Етап 1).
На сайті, що на скріні вище, включені всі 4 плагіни аутентифікації, відповідно всі вони відображені у вкладці Багатофакторна автентификація користувача. На вашому сайті, в налаштуваннях аутентифікації користувача будуть відображені лише ті способи аутентифікації, плагіни яких ви увімкнули.
Також автоматично з'явився ще один спосіб аутентифікації - Резервні коди. Таким чином, в Joomla 4.2 (або старших версіях) доступні 5 способів аутентифікації. Налаштування кожного з них на боці користувача ми розглянемо нижче.
Резервні коди (Backup Codes)
Натисніть на посилання "Роздрукуйте ці коди (Print these codes)", щоб перейти в вікно бекап-кодів.
Скопіюйте і збережіть коди для подальшої аутентифікації за допомогою даного методу. Ви можете застосувати кожен з цих кодів тільки один раз!
Щоб згенерувати нові коди, натисніть "Відновлення резервних кодів (Regenerate Backup Codes)". Регенерувати коди рекомендується, якщо ви допускаєте, що хтось міг їх побачити, або у випадку, коли закінчилися вільні бекап-коди.
Цей спосіб аутентифікації не потребує додаткової активації, резервні коди генеруються автоматично після увімкнення будь-яких плагінів аутентифікації. Він є скоріше додатковим методом на той випадок, якщо немає можливості скористатися способом аутентифікації якому надаєте перевагу.
Код верифікації (Verification code)
Цей спосіб відправляє шестизначний код кожні 30 секунд на ваш додаток.
Додатки, які ви можете використовувати: Google Authenticator, Authy, LastPass Authenticator і т.д.
Також ви можете використовувати менеджери паролів: 1Password, BitWarden, Keeper, KeePassXC, Strongbox і т.д.
В окремих випадках можливо використовувати браузер (наприклад, Safari).
Щоб активувати, натисніть "Add a new Verification code (Додати новий код перевірки)":
Необхідно згенерувати шестизначний код вперше, щоб активувати цей метод аутентифікації. Залежно від обраного вами методу, ви можете виконати одну з наступних дій, щоб згенерувати код:
- використати ключ (Enter this key),
- сканувати QR-код,
- скористатися налаштуваннями браузера.
Ваш додаток, менеджер паролів або браузер надасть вам шестизначний код, який ви повинні ввести в поле внизу (Enter the six digit verification code). Потім натисніть кнопку Зберегти та закрити.
Наприклад, скористаємося додатком Google Authenticator.
Відкрийте Google Authenticator на своєму смартфоні.
1. У нижньому правому куті натисніть на хрестик, виберіть сканування QR-коду та наведіть камеру на QR-код, що знаходиться на сторінці налаштувань.
2. Як тільки додаток просканує QR-код, ви отримаєте шестизначний код. Його час дії позначений синім колом зправа та закінчується через 30 секунд. Після цього Google Authenticator формує новий код.
У подальшому, при аутентифікації за допомогою даного способу, ви будете отримувати 6-значний код аналогічним шляхом, який необхідно буде вводити в додаткову форму, після введення логіну та пароля.
YubiKey
Спосіб аутентифікації на основі токенів YubiKey. Даний спосіб підійде для клієнтів компанії Yubico. З вартістю послуг компанії можна ознайомитися на їхньому сайті https://www.yubico.com/.
Даний спосіб має дуже прості налаштування. Натисніть кнопку Додати новий YubiKey (Add a new YubiKey):
Введіть код згенерований в YubiKey у полі внизу, та натисніть Зберегти та закрити.
Веб-аутентифікація (WebAuthn)
WebAuthn - безпечний та зручний спосіб підтвердження входу без введення додаткових кодів.
Для підтвердження входу потрібен аутентифікатор - ключ доступу, який знаходиться на фізичному або віртуальному носії (USB, Bluetooth або NFC). Аутентифікатором може бути сам пристрій (що працює на Android або iOS), який дозволяє здійснити вхід за допомогою відбитка пальця або сканування обличчя.
Для роботи веб аутентифікації на вашому сайті обов'язково потрібний протокол HTTPS. WebAuthn, працюючи через HTTPS, використовує сильну криптографію з відкритим ключем. Це дозволяє вашому сайту безпечно передавати дані, подібно до того, як передають дані сайти банків та платіжних систем.
Налаштування
Щоб налаштувати веб аутентифікацію, потрібно зайти в адмін-панель з того пристрою, яким ви плануєте користуватися. Різні операційні системи будуть поводитися по-різному.
Незалежно від пристрою, шлях до налаштувань аутентифікації залишається тим же: переходимо до розділу Користувачі, вибираємо конкретного користувача, натискаємо на його ім'я для редагування налаштувань, переходимо на вкладку Multi-factor Authentication. Шукаємо в цій вкладці налаштування Web Authentication та натискаємо кнопку "Add a new Web Authentication (Додати нову веб аутентифікацію)".
Вище кнопки "Add a new Web Authentication" будуть розташовані додані раніше пристрої або ключі, кожен з яких можна редагувати або видалити за допомогою кнопок праворуч.
Далі, все що потрібно зробити - натиснути кнопку "Зареєструйте свій автентифікатор (Register your Authenticator)", і слідувати подальшим інструкціям, залежно від вашої системи:
Windows попросить вставити USB-ключ.
Android та iOS запропонують вибрати один з наступних способів:
- відбиток пальця,
- сканування обличчя,
- розблокування клавіатури іншим способом, встановленим на вашому пристрої.
Код на електронну пошту (Code by Email)
Аутентифікація за допомогою коду, відправленого на електронну пошту користувача - простий спосіб, який не потребує додаткових ключів або додатків. У всіх є email. У користувача сайту Joomla точно є email, оскільки без поштової скриньки неможливо зареєструвати користувача. Все, що потрібно зробити - це підтвердити email в налаштуваннях користувача, в тій же вкладці Багатофакторна автентифікація.
Після того як ви натиснете кнопку "Add a new Codd by Email (Додати новий код на Email)", відбудеться перехід на сторінку налаштування, а система відразу відправить 6-значний код на Email користувача. У налаштуваннях потрібно ввести ці шість цифр в полі внизу, та зберегти зміни (Зберегти та закрити):
При аутентифікації за допомогою Email у майбутньому вам будуть приходити аналогічні повідомлення з 6-значним кодом, який потрібно вводити в додаткове поле при авторизації.
Ми розглянули настройки всіх п'яти способів аутентифікації на боці користувача.
Вибір способу аутентифікації за замовчуванням
Спосіб аутентифікації, обраний за замовчуванням, буде запропонований вам в першу чергу при вході в адмінпанель. Вибирайте найзручніший спосіб для вас. Якщо потрібно, при вході ви можете вибрати альтернативний спосіб аутентифікації з налаштованих раніше.
На боці користувача відкрийте налаштування бажаного методу аутентифікації та встановіть прапорець "Make this the default Multi-factor Authentication method (Зробити цей метод багатофакторної автентифікації за умовчанням", після чого збережіть зміни. Такий прапорець є в налаштування кожного методу.
Наприклад, необхідно встановити Код на Email як бажаний метод. Натисніть на синю іконку для редагування:
Відмічаємо "Make this the default Multi-factor Authentication method", потім натискаємо Зберегти та закрити:
Аналогічні прапорці ви знайдете також у налаштуваннях інших способів аутентифікації (окрім Backup Codes, який є додатковим способом).
Як відбувається аутентифікація на прикладі способу Code by Email
Вхід можливий і на лицьовій частині сайту, але не всі сайти мають налаштування авторизації на лицьовій частині, оскільки такий функціонал часто виявляється зайвим. Тому розглянемо на прикладі входу до адмінпанелі.
1. Ви авторизуєтесь, як зазвичай, вводячи ваш логін та пароль.
2. З'являється форма автентифікації. У нашому випадку - це автентифікація з email-кодом, тому що ми обрали Code by Email способом за замовчуванням:
У цьому полі необхідно ввести 6-значний код, який система відправила на електронну пошту (вказану в налаштуваннях користувача) і натиснути "Підтвердити (Validate)". Це все! Ви успішно пройшли аутентифікацію і маєте доступ до панелі адміністратора.
Код електронної пошти залишається активним протягом 2 хвилин, тому вам потрібно ввести код у відведений час. Якщо ви введете код пізніше, ви побачите повідомлення про помилку, і система згенерує та відправить новий код.
Також, ви можете переключитися на альтернативний метод аутентифікації. Для цього натисніть "Оберіть інший спосіб (Select a different method)". Вам будуть доступні ті методи, які ви налаштували раніше:
Оберіть метод, за допомогою якого бажаєте пройти аутентифікацію та натисніть на його назву, дотримуючись інструкцій вибраного методу.
Мультифакторна аутентифікація - це простий, але ефективний спосіб підвищити безпеку вашого сайту Joomla 4. Налаштування не потребують багато часу. CMS передбачає великий вибір методів аутентифікації, щоб ви могли обрати найбільш зручні способи для себе.