Uruchamiając stronę w oparciu o Joomla! często zabezpieczamy ją w zaawansowany sposób używając zewnętrznych rozszerzeń, skupiając się na odpowiedniej konfiguracji serwera zapominając od podstawowych problemach takich jak mocne hasła.
Jak sprawić aby nasza strona nie padła ofiarą ataku słownikowego i do czego służy weryfikacja dwuetapowa - w końcu Joomla! to pierwszy duży CMS, który posiada tę funkcjonalność wbudowaną i dostępną dla każdego.
4. 2015
Zalecane zabezpieczenia
• Back up early and often
• Update early and often
• Use a secure host
• Proper file permissions (Protect directories and files)
• Use well-formed passwords
• Maintain a strong site backup process
• Change the default administrator username
https://docs.joomla.org/Security_Checklist
10. 2015
Ciekawostka
Tak się składa, że CrackStation niedawno udostępnił wszystkim zainteresowanym
własny słownik bazowy zawierający 1.493.677.782 (niemal 1,5 miliarda) wpisów o
rozmiarze ~15 GB. Jak zapewnia sam autor słownika, zawiera on:
• wszystkie słowa z Wikipedii we wszystkich językach,
• wszystkie słowa z wielu książek dostępnych w ramach Projektu Gutenberg,
• ogromną liczbę haseł zebranych z wielu upublicznionych do tej pory
wycieków baz haseł.
Skompresowany słownik waży „zaledwie” 4.2 GB i jest dostępny m.in. za
pośrednictwem sieci Torrent.
http://sekurak.pl/crackstation-udostepnia-ogromny-slownik-hasel/
12. 2015
Czym jest two-factor authentication?
Two Factor Authentication is "something you know"
(like a password) and "something you have"
(like your phone)
13. 2015
Co odróżnia TFA od innych metod?
• Czynnik ludzki
• Poziom zabezpieczenia
• Brak potrzeby zapamiętywania dodatkowego hasła
• Wygoda korzystania
• Dostępność
14. 2015
Joomla! to jedyny z wiodących systemów CMS
posiadający tę funkcjonalność wbudowaną czyli
niewymagającą zewnętrznych rozszerzeń.
15. 2015
Ale to nie wszystko…
Nie dość, że w Joomla! znajdziemy tę funkcjonalność już w wersji
instalacyjnej to jeszcze dzięki wtyczkom mamy wybór z jakiej metody
chcemy skorzystać. Standardowo, dostępne są dwie ale nic nie stoi na
przeszkodzie aby doinstalować kolejne:
• Yubikey
• Google Authenticator
18. 2015
YUBIKEY
• Wspierany przez każde urządzenie umożliwiające podłączenie klawiatury
USB (Windows, OS X, Linux i nie tylko…)
• Nie wymaga dedykowanych sterowników
• Niezniszczalny ;) - wodoodporny, bez baterii, port pokryty złotem (ask us
about the dog that ate our YubiKey)
• Dwie wersje - nano/regular
• Tani
• Szerokie zastosowanie (nie tylko w Joomla!)
23. 2015
Google authenticator
• Bezpłatny
• Dostępny na praktycznie każdą platformę włączając w to urządzenia
mobilne, również offline
• Kod na podstawie kwantu czasu (trzeba sprawnie go przepisać - 30
sekund, RFC 6238)
• Od Google +/-
30. 2015
Hasła jednorazowe
Na wypadek gdyby zagubiono np. Yubikey lub gdy w awaryjnej sytuacji
musimy zalogować się do systemu bez dodatkowej autoryzacji Joomla! tuż
po włączeniu 2FA generuje listę jednorazowych haseł.
32. 2015
Dla kogo two-factor authentication
• Dla super-userów i administratorów
• Dla osób administrujących dużą ilością witryn
• Gdy back-end zawiera wrażliwe dane użytkowników
• Gdy skonfigurowane są inne podstawowe zabezpieczenia
• Dla tych którzy potrafią wyważyć wygodę korzystania z poziomem
zabezpieczeń