Joomla! 3.2 dvoufázové ověření v praxi

Přátelé, uživatelé nebo kolemjdoucí poutníci, pokud jste zvyklí využívat Google služby nebo Google Android ve svém smartphone, určitě jste se setkali s možností využívat dvoufázové ověření k přihlášení se do různých služeb. Klasicky je tato funkce (druh zabezpečení) využívána v rámci účtu pro Google služby, kdy do svého Androidího telefonu nainstalujete aplikaci Google Authenticator, která Vám umožní po aktivaci a ověření této služby používat pro svůj Google účet navíc tuto ochranu pro přihlášení a zvýšení své bezpečnosti.

Nejedná se o všelék, ale rozhodně stojí za to tuto funkci používat, pokud je ta možnost ji plně využít a kor v systému, který je nonstop, tedy 24/7/365 online v provozu na internetu.

Google Authenticator, YubiKey vs Joomla! 3.2

Vývojový tým Joomla! nám v rámci nové STS verze Joomla! 3.2 nabídl možnost aplikovat a následně aktivně využívat dvoufázové ověření, které značně zlepší ochranu administrace / správcovské části stránek proti zneužití třetí stranou.

HOTP vs TOTP

Google Authenticator

V podstatě lze říci, že Google Authenticator generuje TOTP – (Time-based One-time Password Algorithm) security token do mobilní aplikace, jež je popsaný v RFC 6238 a který více či méně vychází z HOTP (An HMAC-Based One-Time Password Algorithm) popsaný v RFC 4226. Jedná se o definici toho, jak vypočítat jednorázové heslo, které se po určitém časovém limitu pokaždé změní a tedy v rámci Google Authenticator každých cca 30s.

HOTP a TOTP jsou narozdíl od jiných systémů pro generování jednorázových hesel ve zpracování prakticky totožné. Server drží stejný (tajný) klíč jako klient a v rámci autentizace provádí porovnání svého tajného klíče s klíčem od uživatele a hledá shodu. TOTP verze akorát od HOTP vyžaduje, aby se systémový čas na obou zařízeních (server a klient) moc nelišil. 

Případně pro více informací o Google Authenticator doporučuji prostudovat článek na root.cz

YubiKey

Další možná metoda pro dvoufázové ověření je tzv, YubiKey token, jedná se o TOP (one-time-pad) security token, který je navržen tak, aby byl maximálně uživatelsky přívětivý. YubiKey používá v podstatě dvou svých standardů a to "Yubikey Standard" a "YubiKey Neo". YubiKey Neo má všechny funkce z předešlé verze, akorát navíc obsahuje podporu pro bezkontaktní NFC interface, OpenPGP aplikaci a javacard s možností doinstalace vlastních aplikací, je-li potřeba.

Případně pro více informací o YubiKey doporučuji prostudovat článek na root.cz, včetně postupu, jak toto rozšíření aplikovat a používat.

Zprovoznění dvoufázového ověření

Nyní abychom se vrátili zpátky k tématu aplikace a nastavení dvoufázové ověření. Pokud testujete Joomla! 3.2, anebo na této verzi již plodíte nové projekty, jistě se Vám bude tato funkce hodit. Nastavení a aktivace je zcela jednoduchá.

Pokud jste doinstalovali redakční systém Joomla! 3.2 nebo provedli aktualizaci ze starší verze, naskočí Vám na úvodní stránce v administraci okno oznamující "Po instalaci zde máte několik informací". V této komponentě Vám bude systém Joomla! přinášet oznámení o nových funkcích a možnostech, které lze v systému aktivovat. Do tohoto rozšíření se lze také dostat pomocí Komponenty - Informace po instalaci. Zde můžeme přímo povětšinou pluginy aktivovat a posléze je také i využívat.

Pokud by jste z nějakého důvodu neměli aktivní toto rozšíření, tak dvoufázové ověřování lze aktivovat přímo ve správci pluginů a zde je potřeba nalézt plugin s názvem "Dvoufázové ověření - Google Authenticator" nebo "Dvoufázové ověření - YubiKey" v závislosti na tom, zda chceme použít Google Authenticator nebo YubiKey.

Jakmile máme aktivní jeden z výše uvedených pluginů, už nám jen zbývá nastavit u námi používaného uživatele dvoufázové ověření. To provedeme ve správci uživatelů, kde si zvolíme konkrétního uživatele a tedy v našem případě Super user. Zde zvolíme buď Google Authenticator nebo YubiKey.

Pokud potřebujeme dvoufázové ověření použít pouze pro veřejnou část nebo pro administrační část, je možné přímo v nastavení pluginu toto ošetřit. Viz náhled.

Nastavení dvoufázového ověřování

Google Authenticator

V případě použití Google Authenticator je nastavení a aktivace rozepsána v jednotlivých krocích. V prvém kroku je nutné si stáhnout do telefonu nebo stolního (desktop) počítače aplikaci Google Authenticator a provést její nastavení a spárování.

V druhém kroku nám systém vysvětluje, že je potřeba do aplikace Google Authenticator provést přidání dalšího účtu a to buď pomocí položek "účet" a "kód", případně pokud máme v telefonu nainstalovanou aplikaci na čtení QR kódu, můžeme použít tuto aplikaci ke spárování námi použité aplikace Google Authenticator.

Ve třetím a posledním kroku nás systém vyzývá, abychom vložili bezpečnostní kód, který generuje Google Authenticator pro ověření, zda je vše správně napojeno a spárováno.

V případě, kdy nevíme, jak nastavit Google Authenticator, použijeme Google nápovědu.

Poté se již odhlásíme a hle - na úvodní stránce administrace nám přibylo políčko pro vložení našeho tajného klíče od Google Authenticator pro vstup do administrace stránek.

YubiKey

V případě použití YubiKey je nastavení a aktivace rozepsána v jednotlivých krocích. V prvém kroku je nutné vložit svůj YubiKey klíč do USB portu a poté je potřeba se na jednu vteřinu přesunout na zlatý disk na Vašem YubiKey klíči a v případě, kdy je takový kód vytvořený klíčem YubiKey správně ověřen za pomocí YubiCloud, bude dvoufázové ověření povoleno a spárováno s Vašim účtem.

Závěrem

Ať již používáte Google Authenticator nebo YubiKey, určitě je to krok správným směrem, neboť ochrany není nikdy dost a v rámci online světa a online aplikací to je čím dál tím markantnější. Snad Vám tento článek nastínil možnosti, jak aplikovat a nastavit dvoufázové ověření pro Vaše zbrusu nové stránky postavené na Joomla! 3.2.