Two-factor authentication w Joomla! - JoomlaDay Polska 2015

2015

CZEŚĆ

2015

Two-factor authenticationczyli inne spojrzenie na bezpieczeństwo Joomla!

Bartłomiej Krztuk

2015

JAK ZABEZPIECZYĆ STRONĘ OPARTĄ O JOOMLA?

2015

Zalecane zabezpieczenia

• Back up early and often • Update early and often • Use a secure host • Proper file permissions (Protect directories and files) • Use well-formed passwords • Maintain a strong site backup process • Change the default administrator username

https://docs.joomla.org/Security_Checklist

2015

PROBLEM: SŁABE HASŁA

2015

http://www.techspot.com/

2015

Popularność haseł

https://atlas.qz.com/charts/NyL3uhCp

2015

Czas łamania prostego hasła

2015

… i trochę bardziej skomplikowanego

2015

CiekawostkaTak się składa, że CrackStation niedawno udostępnił wszystkim zainteresowanym własny słownik bazowy zawierający 1.493.677.782 (niemal 1,5 miliarda) wpisów o rozmiarze ~15 GB. Jak zapewnia sam autor słownika, zawiera on: • wszystkie słowa z Wikipedii we wszystkich językach, • wszystkie słowa z wielu książek dostępnych w ramach Projektu Gutenberg, • ogromną liczbę haseł zebranych z wielu upublicznionych do tej pory wycieków baz haseł.

Skompresowany słownik waży „zaledwie” 4.2 GB i jest dostępny m.in. za pośrednictwem sieci Torrent.

http://sekurak.pl/crackstation-udostepnia-ogromny-slownik-hasel/

2015

ROZWIĄZANIE: TWO-FACTOR AUTHENTICATION

2015

Czym jest two-factor authentication?

Two Factor Authentication is "something you know" (like a password) and "something you have"

(like your phone)

2015

Co odróżnia TFA od innych metod?

• Czynnik ludzki • Poziom zabezpieczenia • Brak potrzeby zapamiętywania dodatkowego hasła • Wygoda korzystania • Dostępność

2015

Joomla! to jedyny z wiodących systemów CMS posiadający tę funkcjonalność wbudowaną czyli niewymagającą zewnętrznych rozszerzeń.

2015

Ale to nie wszystko…

Nie dość, że w Joomla! znajdziemy tę funkcjonalność już w wersji instalacyjnej to jeszcze dzięki wtyczkom mamy wybór z jakiej metody chcemy skorzystać. Standardowo, dostępne są dwie ale nic nie stoi na przeszkodzie aby doinstalować kolejne:

• Yubikey • Google Authenticator

2015

YUBIKEY

2015

2015

YUBIKEY• Wspierany przez każde urządzenie umożliwiające podłączenie klawiatury

USB (Windows, OS X, Linux i nie tylko…) • Nie wymaga dedykowanych sterowników • Niezniszczalny ;) - wodoodporny, bez baterii, port pokryty złotem (ask us

about the dog that ate our YubiKey) • Dwie wersje - nano/regular • Tani • Szerokie zastosowanie (nie tylko w Joomla!)

2015

YUBIKEY - koszty

2015

YUBIKEY - kto używa

2015

Google Authenticator

2015

2015

Google authenticator

• Bezpłatny • Dostępny na praktycznie każdą platformę włączając w to urządzenia

mobilne, również offline • Kod na podstawie kwantu czasu (trzeba sprawnie go przepisać - 30

sekund, RFC 6238) • Od Google +/-

2015

WŁĄCZAMY TWO-FACTOR AUTHENTICATION

2015

Włączamy pluginy typu twofactorauth

2015

Ustawienia użytkownika

2015

Podajemy klucz/skanujemy QR code

2015

Zapisujemy hasła jednorazowe (!)

2015

2015

Hasła jednorazowe

Na wypadek gdyby zagubiono np. Yubikey lub gdy w awaryjnej sytuacji musimy zalogować się do systemu bez dodatkowej autoryzacji Joomla! tuż po włączeniu 2FA generuje listę jednorazowych haseł.

2015

NIE DAJMY SIĘ ZWARIOWAĆ CZYLI KIEDY UŻYWAĆ 2FA

2015

Dla kogo two-factor authentication

• Dla super-userów i administratorów • Dla osób administrujących dużą ilością witryn • Gdy back-end zawiera wrażliwe dane użytkowników • Gdy skonfigurowane są inne podstawowe zabezpieczenia • Dla tych którzy potrafią wyważyć wygodę korzystania z poziomem

zabezpieczeń

2015

PYTANIA?

2015

PREZENTACJA DOSTĘPNA NA www.krztuk.pl

2015

DZIĘKUJĘ ZA UWAGĘ