Har du multi-faktor-autentificering på din hjemmeside?

Af Michael Sønderup Nielsen
Kategori: Joomla Sikkerhed
Opdateret 21. oktober 2022

Multi-faktor-autentificering på din hjemmeside

Vi skal passe på os selv på internettet. Du skal passe på din hjemmeside. Og det kan du med Joomla 4 og multi-faktor-autentificering. Det er en ny måde at autentificere din hjemmeside på. To-faktor-autentificering er blevet forældet og erstattes nu af multifaktor-autentificering (MFA).

  1. Hvad er multifaktor-autentifikation?
  2. Flere autentifikationsmetoder pr. bruger
  3. Standardmetode
  4. Gruppering af metoder til nemmere autentificering
  5. Data er krypteret
  6. Nye tilgængelige godkendelsesmetoder
  7. ”Tving” dine brugere til at bruge MFA
  8. Nye brugere og MFA-login
  9. Superbrugere kan ikke redigere andre superbrugere
  10. Deaktivering med et enkelt klik
  11. Tilpasning af modulpositioner på den MFA-side

Hvad er multifaktor-autentifikation?

Joomla har altid været et sikkert CMS. De seneste 9 år har Joomla haft en indbygget to-faktor-autentificering – login, om du vil.

Hver bruger har et brugernavn og en adgangskode, og med 2-faktor-login skal der også indtastes en autentificeringskode, som man får fra f.eks. Google Authenicator app’en. Du forbinder din Joomla-bruger med Google Authenticator app’en på din telefon.

Du indtaster dit brugernavn og din adgangskode på hjemmesiden og bliver derefter bedt om at indtaste en 6-cifret kode, som vises på din telefon. Denne kode skifter hvert 30. sekund, og hvis tallet på skærmen og det tal, du indtaster på den tilknyttede konto, ikke er korrekt, får du ikke lov til at logge ind.

Flere autentifikationsmetoder pr. bruger

Brugere kan godt have flere MFA-metoder. En opsætning kunne være to WebAuthn-nøgler (hoved- og backup) og en klassisk sekscifret kode til brug i en ældre smartphone, som ikke understøtter WebAuthn-dongles. Dette gør MFA mere anvendelig og hvis du ”låser” dig selv ude af din egen hjemmeside.

Standardmetode

Hvis du har flere metoder, gider du sikkert ikke hele tiden skulle bruge energi på at huske, hvilken metode du vil bruge til godkendelse i dag. Du benytter med ret stor sandsynlighed den samme metode de fleste gange. Derfor kan du vælge en standardmetode.

Gruppering af metoder til nemmere autentificering

Lad os sige, at du har oprettet tre WebAuthn-autentifikatorer. Når du logger ind, vil du gerne se en enkelt side, der beder dig om et WebAuthn-login, uden at du behøver at klikke for at vælge, hvilken WebAuthn-autenticator du vil bruge.

WebAuthn giver dig mulighed for at oprette flere instanser af den pågældende metode, så i stedet for at vælge hvilken WebAuthn-autenticator du vil bruge, skal du blot vælge metoden, f.eks. "WebAuthn". Derefter kan du bruge hvilken som helst af de authenticator/nøgler, du har sat op. Joomla kan selv finde ud af hvilken du bruger. Metoderne ”Regular Authentication Code” og ”Authentication Code by Email” tillader kun en enkelt instans.

Eksisterende to-faktor-autentifikationsmetoder vil automatisk blive migreret.

Data er krypteret

MFA-konfigurationsdataene er krypteret med AES-256 ved hjælp af en nøgle, der er afledt af din hjemmesides "hemmelige" nøgle. Derfor vil en simpel SQLi-sårbarhed (database) i en hvilken som helst udvidelse ikke afsløre din hjemmeside MFA.

Nye tilgængelige godkendelsesmetoder

Du kan nu bruge ”Authentication Code by Email” og ”WebAuth” oven på de eksisterende metoder ”Authentication Code” og ”YubiKey”. Førstnævnte sender dig en 6-cifret kode til din e-mail. Sidstnævnte understøtter Windows Hello og Android.

”Tving” dine brugere til at bruge MFA

Du kan i Joomla brugeradministrationen indstille (”tvinge”) visse brugergrupper til at bruge MFA og andre grupper til at ikke at tillade MFA. Grupper, der har tvungen MFA, skal konfigurere MFA og bruge den for at fortsætte med at bruge hjemmesiden. Grupper, der er ikke må bruge MFA, vil aldrig blive bedt om at logge på med MFA - også selv om de tidligere har aktiveret det, og de vil heller ikke se MFA-konfigurationsafsnittet i deres profil.

Nye brugere og MFA-login

Du kan få brugerne til automatisk at få vist en slags start-side, når de logger ind, og de endnu ikke har aktiveret MFA. Her kan brugeren konfigurere MFA, gå til en anden side eller for altid afvise denne startside. Du kan også tilpasse startside-URL'en, f.eks. hvis du ønsker at vise din egen artikel i stedet for at vise standardsiden til MFA-opsætning.

Bemærk, at denne MFA-startside er deaktiveret som standard.

Superbrugere kan ikke redigere andre superbrugere

Som Super bruger kan du ikke ændre en anden superbrugeres MFA-indstillinger. Hvis en super bruger får forkerte oplysninger, skal du derfor redigere den pågældende super bruger i databasen.

Administratorer kan kun fjerne MFA-indstillinger for andre brugere. Som privilegeret bruger kan du kun fjerne MFA-indstillinger fra andre (ikke-superbrugere) brugerkonti eller deaktivere deres MFA helt. Du kan ikke redigere deres MFA-konfiguration eller tilmelde nye MFA-metoder.

Deaktivering med et enkelt klik

MFA-konfigurationsgrænsefladen indeholder en knap "Slå fra", som deaktiverer MFA fuldstændigt for din brugerkonto. Dette er nyttigt, hvis du har mistet adgangen til alle MFA-metoder, hvis du har brugt en nødkode, og hvis du bare vil slå MFA fra, indtil du har løst dine andre problemer.

Tilpasning af modulpositioner på den MFA-side

Du kan vælge, hvilke modulpositioner der skal vises på MFA-siden. Dette giver dig mulighed for at vise f.eks. din hjemmesides header og footer for at give brugerne en bedre visuel oplevelse.

Sammenfattende kan det konkluderes, at Joomla 4.2 med den nye Multi-faktor-autentifikation giver dig et ret højt sikkerhedsniveau.

Joomlakonsulenten støtter den grønne omstilling
Joomlakonsulenten støtter miljøvenlig pakning
Joomlakonsulenten støtter et sundt arbejdsmiljø
Joomlakonsulenten siger Nej Tak Til Plastik
Joomlakonsulenten støtter sikker browsing
Joomlakonsulentens CSR-profil
Hjælp til Joomla?