Joomla 4.2'de Yeni, Çok Faktörlü Kimlik Doğrulama
Joomla 4.2 ile artık sitelerimizin kimliğini doğrulamak için yeni bir yolumuz var. İki Faktörlü Kimlik Doğrulama, gelen birçok yeni kimlik doğrulama yöntemiyle modası geçmiştir, bu nedenle Çok Faktörlü Kimlik Doğrulama (MFA) gelir.
Çok Faktörlü Kimlik Doğrulama Nedir?
9 yılı aşkın bir süredir Joomla, İki Faktörlü Kimlik Doğrulama çözümüne sahiptir. Her kullanıcının bir kullanıcı adı ve şifresi vardır ve bazı siteler için ikinci bir kimlik doğrulama faktörü kullanmaları da istenmiştir. Hesabınızı telefonunuzdaki Google Authenticator veya Authy ile ilişkilendiriyor olabilir. Kullanıcı adınızı ve şifrenizi girdikten sonra telefonunuzda görüntülenen 6 haneli bir kod istenir. Her 30 saniyede bir değişir ve ekrandaki numara ve bağlı hesaba yazdığınız numara doğru değilse giriş reddedilir.
Nicholas K. Dionysopoulos'un (yeni Çok Faktörlü Kimlik Doğrulama özelliğine katkıda bulunan geliştirici) izlediği yaklaşım, bir "Captive Login" yaklaşımıdır. İlk olarak, kullanıcı hesabınıza giriş yapın. Sitenin oturum açma alanına erişmeden önce, oturum açmanızı doğrulamak için başka bir ekran gösterilir - "Captive Login" burada gerçekleşir. Kullanıcı hesabınızda ayarlanan yöntemlerden herhangi biriyle doğrulama yapabilirsiniz. Ardından, tamamen giriş yaptınız ve her zamanki gibi devam edebilirsiniz.
Kullanıcı Başına Birden Çok Kimlik Doğrulama Yöntemi
Kullanıcılar birden fazla MFA yöntemine sahip olabilir. Bir kurulum, iki WebAuthn anahtarı (ana ve yedek) ve WebAuthn dongle'larını desteklemeyen eski bir akıllı telefonda kullanım için klasik altı basamaklı bir kod olabilir. Bu, MFA'yı daha kullanışlı ve insanları sitelerinden uzaklaştıran kazalara karşı daha dayanıklı hale getirir.
Varsayılan Yöntem
Birden fazla kimlik doğrulama yönteminiz varsa, durup bugün kimlik doğrulaması yapmak için hangi yöntemi kullanacağınızı düşünmek istemezsiniz, özellikle de zamanın %99'unda aynı yöntemi kullanmanız muhtemel olduğundan. Bu nedenle, varsayılan bir yöntem seçebilirsiniz. Aptalca hata olasılığını azaltmak için yalnızca bir kez kullanılabilen acil durum kodlarını varsayılan yöntem olarak KULLANMAZSINIZ.
Daha Kolay Kimlik Doğrulama İçin Gruplama Yöntemleri
Diyelim ki üç WebAuthn kimlik doğrulayıcı ayarladınız. Oturum açtığınızda, hangi WebAuthn kimlik doğrulayıcısını kullanacağınızı seçmek için tıklamanız gerekmeden WebAuthn oturumu açmanızı isteyen tek bir sayfa görmek istersiniz.
WebAuthn ve YubiKey, bu yöntemin birden çok örneğini ayarlamanıza izin verir, bu nedenle, kullanmak istediğiniz WebAuthn kimlik doğrulayıcısını veya YubiKey'i seçmek yerine yöntemi seçmeniz yeterlidir, örneğin 'WebAuthn'. Daha sonra ayarladığınız kimlik doğrulayıcı/anahtarlardan hangisini kullanabilirsiniz. Profesyonel bir Çok Faktörlü Kimlik Doğrulama çözümünden beklediğiniz gibi Joomla bunu çözecektir. Normal Kimlik Doğrulama Kodu ve E-posta ile Kimlik Doğrulama Kodu yalnızca tek bir örneğe izin verir, bu nedenle yöntem toplu işlemi yapmazlar.
Mevcut İki Faktörlü Kimlik Doğrulama Yöntemleri Otomatik Olarak Taşınacaktır
Kullanıcı başına birden çok MFA yöntemini desteklemek için Joomla tablolarının yeniden yapılandırılması gerekiyordu. İki #__users sütunundan (otpKey ve otep) gelen MFA verileri kendi tablolarına (#__user_tfa) taşındı. Önceden kurulmuş herhangi bir eski İki Faktörlü Kimlik Doğrulama (TFA) yöntemi, ilk oturum açma sırasında otomatik olarak taşınır. Bu, MFA'nın yüz binlerce kullanıcıya sahip sitelerde bile temiz bir şekilde taşınacağı anlamına gelir; bu, taşıma işlemi güncelleme sırasında gerçekleştirilmiş olsaydı böyle olmazdı. Bu, bir kullanıcı oturum açana kadar arka uçtaki com_users içinde TFA/MFA durumunu veya yapılandırma ayarlarını görmeyeceğiniz anlamına gelir.
Veriler Şifrelenir
MFA yapılandırma verileri, sitenin "sırrından" türetilen bir anahtar kullanılarak AES-256 kullanılarak hala şifrelenir. Bu nedenle, herhangi bir uzantıdaki basit bir SQLi Güvenlik Açığı, MFA'nın sırlarını ifşa etmeyecektir.
Yeni Kimlik Doğrulama Yöntemleri Mevcut
Artık mevcut Kimlik Doğrulama Kodu ve YubiKey yöntemlerinin yanı sıra E-posta ve WebAuth ile Kimlik Doğrulama Kodunu kullanabilirsiniz. İlki size e-postanıza 6 haneli bir kod gönderir ve ayrıca herkes için zorla etkinleştirilecek şekilde ayarlanabilir (kullanıcılarınız teknoloji konusunda çok bilgili değilse uygun bir yedekleme sağlamak için). İkincisi, Windows Hello ve Android'i destekler
Zorunlu MFA ve Yasak MFA Grupları
İsteğe bağlı olarak, belirli kullanıcı gruplarını MFA'nın zorla etkinleştirilmesi ve diğer grupların MFA'nın zorla reddedilmesini sağlayacak şekilde ayarlayabilirsiniz. MFA'yı zorunlu kılan grupların MFA'yı kurmaları ve siteyi kullanmaya devam etmek için kullanmaları gerekecektir. MFA'yı kullanması yasak olan gruplardan, daha önce etkinleştirmiş olsalar bile hiçbir zaman sabit oturum açmaları istenmez ve com_users'da MFA yapılandırma bölümünü görmezler.
Benimseme Sağlamak İçin İlk Katılım
İsteğe bağlı olarak, oturum açarlarsa ve henüz MFA'yı etkinleştirmemişlerse kullanıcılara otomatik olarak bir başlangıç sayfası gösterilmesini sağlayabilirsiniz. MFA kurabilir, farklı bir sayfaya gidebilir veya işe alım sayfasını sonsuza kadar kapatabilirler. Ayrıca, örneğin varsayılan MFA kurulum sayfasını göstermek yerine kendi makalenizi görüntülemek istiyorsanız, başlangıç URL'sini özelleştirebilirsiniz. Nicholas'a göre bu, MFA'nın benimsenmesini on kat artırıyor. Yerleştirmenin varsayılan olarak devre dışı olduğunu unutmayın.
Süper Kullanıcılar Diğer Süper Kullanıcıları Düzenleyemez
Bir Süper Kullanıcı olarak, başka bir Süper Kullanıcının MFA ayarlarını hiçbir şekilde değiştiremezsiniz. Sonuç olarak, bir Süper Kullanıcı ayrıntılarını yanlış alırsa, bazı veritabanı düzenlemeleri yapmanız gerekecektir.
Yöneticiler yalnızca diğer kullanıcılar için MFA seçeneklerini kaldırabilir. Ayrıcalıklı bir kullanıcı olarak, MFA seçeneklerini yalnızca diğer (Süper Kullanıcılar olmayan) kullanıcı hesaplarından kaldırabilir veya MFA'larını tamamen devre dışı bırakabilirsiniz. MFA yapılandırmalarını düzenleyemez veya yeni MFA yöntemlerini kaydedemezsiniz.
Tek Tıklamayla Devre Dışı Bırak
MFA yapılandırma arayüzü, kullanıcı hesabınız için MFA'yı tamamen devre dışı bırakan bir Kapatma düğmesi içerir. Bu, tüm MFA yöntemlerine erişiminizi kaybettiyseniz, bir acil durum kodu kullandıysanız ve diğer sorunlarınızı çözene kadar MFA'yı kapatmak istiyorsanız kullanışlıdır.
Sabit Sayfada Modül Konumları Özelleştirmesi
Sabit MFA sayfasında hangi modül konumlarının görüntüleneceğini seçebilirsiniz. Bu, kullanıcılara daha iyi bir görsel deneyim sunmak için örneğin sitenizin üstbilgisini ve altbilgisini görüntülemenize olanak tanır.
Sonuç olarak, yeni Çok Faktörlü Kimlik Doğrulama ile Joomla 4.2, geleceğe uygun, genişletilebilir, güvenli bir kimlik doğrulama ile donatılmıştır.
Kaynak: Joomla.org - Philip Walton