Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
2015
CZEŚĆ
2015
Two-factor authentication
czyli inne spojrzenie na bezpieczeństwo Joomla!
Bartłomiej Krztuk
2015
JAK ZABEZPIECZYĆ STRONĘ
OPARTĄ O JOOMLA?
2015
Zalecane zabezpieczenia
• Back up early and often
• Update early and often
• Use a secure host
• Proper file permissi...
2015
PROBLEM: SŁABE HASŁA
2015
http://www.techspot.com/
2015
Popularność haseł
https://atlas.qz.com/charts/NyL3uhCp
2015
Czas łamania prostego hasła
2015
… i trochę bardziej skomplikowanego
2015
Ciekawostka
Tak się składa, że CrackStation niedawno udostępnił wszystkim zainteresowanym
własny słownik bazowy zawie...
2015
ROZWIĄZANIE:
TWO-FACTOR AUTHENTICATION
2015
Czym jest two-factor authentication?
Two Factor Authentication is "something you know"
(like a password) and "somethi...
2015
Co odróżnia TFA od innych metod?
• Czynnik ludzki
• Poziom zabezpieczenia
• Brak potrzeby zapamiętywania dodatkowego ...
2015
Joomla! to jedyny z wiodących systemów CMS
posiadający tę funkcjonalność wbudowaną czyli
niewymagającą zewnętrznych r...
2015
Ale to nie wszystko…
Nie dość, że w Joomla! znajdziemy tę funkcjonalność już w wersji
instalacyjnej to jeszcze dzięki...
2015
YUBIKEY
2015
2015
YUBIKEY
• Wspierany przez każde urządzenie umożliwiające podłączenie klawiatury
USB (Windows, OS X, Linux i nie tylko...
2015
YUBIKEY - koszty
2015
YUBIKEY - kto używa
2015
Google Authenticator
2015
2015
Google authenticator
• Bezpłatny
• Dostępny na praktycznie każdą platformę włączając w to urządzenia
mobilne, również...
2015
WŁĄCZAMY
TWO-FACTOR AUTHENTICATION
2015
Włączamy pluginy typu twofactorauth
2015
Ustawienia użytkownika
2015
Podajemy klucz/skanujemy QR code
2015
Zapisujemy hasła jednorazowe (!)
2015
2015
Hasła jednorazowe
Na wypadek gdyby zagubiono np. Yubikey lub gdy w awaryjnej sytuacji
musimy zalogować się do systemu...
2015
NIE DAJMY SIĘ ZWARIOWAĆ
CZYLI KIEDY UŻYWAĆ 2FA
2015
Dla kogo two-factor authentication
• Dla super-userów i administratorów
• Dla osób administrujących dużą ilością witr...
2015
PYTANIA?
2015
PREZENTACJA DOSTĘPNA NA
www.krztuk.pl
2015
DZIĘKUJĘ ZA UWAGĘ
Upcoming SlideShare
Loading in …5
×

Two-factor authentication w Joomla! - JoomlaDay Polska 2015

1,675 views

Published on

Uruchamiając stronę w oparciu o Joomla! często zabezpieczamy ją w zaawansowany sposób używając zewnętrznych rozszerzeń, skupiając się na odpowiedniej konfiguracji serwera zapominając od podstawowych problemach takich jak mocne hasła.

Jak sprawić aby nasza strona nie padła ofiarą ataku słownikowego i do czego służy weryfikacja dwuetapowa - w końcu Joomla! to pierwszy duży CMS, który posiada tę funkcjonalność wbudowaną i dostępną dla każdego.

Published in: Internet
  • Be the first to comment

  • Be the first to like this

Two-factor authentication w Joomla! - JoomlaDay Polska 2015

  1. 1. 2015 CZEŚĆ
  2. 2. 2015 Two-factor authentication czyli inne spojrzenie na bezpieczeństwo Joomla! Bartłomiej Krztuk
  3. 3. 2015 JAK ZABEZPIECZYĆ STRONĘ OPARTĄ O JOOMLA?
  4. 4. 2015 Zalecane zabezpieczenia • Back up early and often • Update early and often • Use a secure host • Proper file permissions (Protect directories and files) • Use well-formed passwords • Maintain a strong site backup process • Change the default administrator username https://docs.joomla.org/Security_Checklist
  5. 5. 2015 PROBLEM: SŁABE HASŁA
  6. 6. 2015 http://www.techspot.com/
  7. 7. 2015 Popularność haseł https://atlas.qz.com/charts/NyL3uhCp
  8. 8. 2015 Czas łamania prostego hasła
  9. 9. 2015 … i trochę bardziej skomplikowanego
  10. 10. 2015 Ciekawostka Tak się składa, że CrackStation niedawno udostępnił wszystkim zainteresowanym własny słownik bazowy zawierający 1.493.677.782 (niemal 1,5 miliarda) wpisów o rozmiarze ~15 GB. Jak zapewnia sam autor słownika, zawiera on: • wszystkie słowa z Wikipedii we wszystkich językach, • wszystkie słowa z wielu książek dostępnych w ramach Projektu Gutenberg, • ogromną liczbę haseł zebranych z wielu upublicznionych do tej pory wycieków baz haseł. Skompresowany słownik waży „zaledwie” 4.2 GB i jest dostępny m.in. za pośrednictwem sieci Torrent. http://sekurak.pl/crackstation-udostepnia-ogromny-slownik-hasel/
  11. 11. 2015 ROZWIĄZANIE: TWO-FACTOR AUTHENTICATION
  12. 12. 2015 Czym jest two-factor authentication? Two Factor Authentication is "something you know" (like a password) and "something you have" (like your phone)
  13. 13. 2015 Co odróżnia TFA od innych metod? • Czynnik ludzki • Poziom zabezpieczenia • Brak potrzeby zapamiętywania dodatkowego hasła • Wygoda korzystania • Dostępność
  14. 14. 2015 Joomla! to jedyny z wiodących systemów CMS posiadający tę funkcjonalność wbudowaną czyli niewymagającą zewnętrznych rozszerzeń.
  15. 15. 2015 Ale to nie wszystko… Nie dość, że w Joomla! znajdziemy tę funkcjonalność już w wersji instalacyjnej to jeszcze dzięki wtyczkom mamy wybór z jakiej metody chcemy skorzystać. Standardowo, dostępne są dwie ale nic nie stoi na przeszkodzie aby doinstalować kolejne: • Yubikey • Google Authenticator
  16. 16. 2015 YUBIKEY
  17. 17. 2015
  18. 18. 2015 YUBIKEY • Wspierany przez każde urządzenie umożliwiające podłączenie klawiatury USB (Windows, OS X, Linux i nie tylko…) • Nie wymaga dedykowanych sterowników • Niezniszczalny ;) - wodoodporny, bez baterii, port pokryty złotem (ask us about the dog that ate our YubiKey) • Dwie wersje - nano/regular • Tani • Szerokie zastosowanie (nie tylko w Joomla!)
  19. 19. 2015 YUBIKEY - koszty
  20. 20. 2015 YUBIKEY - kto używa
  21. 21. 2015 Google Authenticator
  22. 22. 2015
  23. 23. 2015 Google authenticator • Bezpłatny • Dostępny na praktycznie każdą platformę włączając w to urządzenia mobilne, również offline • Kod na podstawie kwantu czasu (trzeba sprawnie go przepisać - 30 sekund, RFC 6238) • Od Google +/-
  24. 24. 2015 WŁĄCZAMY TWO-FACTOR AUTHENTICATION
  25. 25. 2015 Włączamy pluginy typu twofactorauth
  26. 26. 2015 Ustawienia użytkownika
  27. 27. 2015 Podajemy klucz/skanujemy QR code
  28. 28. 2015 Zapisujemy hasła jednorazowe (!)
  29. 29. 2015
  30. 30. 2015 Hasła jednorazowe Na wypadek gdyby zagubiono np. Yubikey lub gdy w awaryjnej sytuacji musimy zalogować się do systemu bez dodatkowej autoryzacji Joomla! tuż po włączeniu 2FA generuje listę jednorazowych haseł.
  31. 31. 2015 NIE DAJMY SIĘ ZWARIOWAĆ CZYLI KIEDY UŻYWAĆ 2FA
  32. 32. 2015 Dla kogo two-factor authentication • Dla super-userów i administratorów • Dla osób administrujących dużą ilością witryn • Gdy back-end zawiera wrażliwe dane użytkowników • Gdy skonfigurowane są inne podstawowe zabezpieczenia • Dla tych którzy potrafią wyważyć wygodę korzystania z poziomem zabezpieczeń
  33. 33. 2015 PYTANIA?
  34. 34. 2015 PREZENTACJA DOSTĘPNA NA www.krztuk.pl
  35. 35. 2015 DZIĘKUJĘ ZA UWAGĘ

×