Joomla 4 w nowym wydaniu zaproponuje użytkownikom nową metodę logowania i uwierzytelniania się do systemu cms Joomla. Oczywiście stare metody jak podstawowe login i hasło nadal zastaną czy też podwójna autentykacja (2FA). Logowanie bez hasła czy to możliwe, otóż tak. Nowy standard przyszedł z W3C i wszystkie nowoczesne przeglądarki już go obsługują (Google Chrome, Mozilla Firefox, Microsoft Edge i Apple Safari).

W3C WEB AUTHENTICATION

Web Authentication API (znany również jako WebAuthn) to specyfikacja napisana przez W3C i FIDO przy współudziale Google, Mozilla, Microsoft, Yubico i innych. Interfejs API umożliwia serwerom rejestrowanie i uwierzytelnianie użytkowników przy użyciu kryptografii klucza publicznego zamiast hasła. WebAuthn wykorzystuje kryptografię asymetryczną z kluczem publicznym i prywatnym. Klucz publiczny jest udostępniany serwerowi. Klucz prywatny nigdy nie opuści tokenu sprzętowego. 

LEPSZY NIŻ DWUSKŁADNIKOWE UWIERZYTELNIANIE

2FA (Two-Factor Authentication) znane jest głównie jako dodatkowy składnik wymagany podczas logowania się do strony typu social media jak Instagam, Facebook czy Google oraz w Polsce do autoryzacji potwierdzenia przelewów bankowych. W prostym języku znaczy to tyle, że logująca się osoba lub wykonująca przelew musi potwierdzić, że jest uprawniona do tej czynności np. przez SMS, kody autoryzacyjne generowane przez mobilną aplikację, uwierzytelnieniem biometrycznym (odcisk palca) lub sprzętowym tokenem. Jednak w pewnych warunkach można obejść 2FA poprzez ataki phishing'owe. 

W3C Web Authentication rozwiązuje kilka problemów i poprawia ergonomie użytkownika.

  • Dane biometryczne lub inne informacje poufne, jak hasła, nigdy nie opuszczają urządzenia użytkownika i nigdy nie są przechowywane na serwerze. Eliminuje to ryzyko phishingu oraz kradzieży haseł.
  • Użytkownik loguje się za pomocą czytnika linii papilarnych, kamery, kluczom bezpieczeństwa lub urządzeniem mobilnym.
  • Prosta implementacja poprzez wywoływanie API, we wszystkich wspieranych przeglądarkach i na wszystkich platformach (Windows, android, iOS).

WebAuthn Passwordless w JOOMLA 4

System - Logowanie bez hasła (WebAuthn Passwordless) przez WebAuthn jest domyślnie włączone podczas instalacji Joomla 4. Gdy jest włączone i używamy protokołu  HTTPS, przy logowaniu na zapleczu i interfejsie witryny pojawi się przycisk "Uwierzytelnianie sieci" (Web Authentication) w część ekranu logowania lub modułu logowania.

web authentication joomla 4 logowanie

Jak włączyć logowanie bez hasła. Udaj się do zaplecza administracyjnego. System dodatki i odszukaj "WebAuthn" następnie sprawdź stan, czy jest włączony. 

joomla 4 WebAuthn ustawienia

web authentication joomla 4 dodatki

Dodatek (plugin) - nie wymaga dodatkowej konfiguracji! 

Wymagania:

  • Strona musi być zabezpieczona certyfikatem SSL i połączenie logowania musi odbywać się poprzez HTTPS.
  • Użytkownik musi posiadać np. klucz Yubikey z obsługa FIDO2/WebAuthn, U2F lub może korzystać z urządzenia z zabezpieczeniem biometrycznym (odcisk palca, Windows hello) jak Laptop czy telefon.

VIDEO - LOGOWANIE ZA POMOCĄ WEB AUTHN - JOOMLA 4

Jeden klucz prywatny / urządzenie może potwierdzić tożsamość. Urządzenie / klucz nie potwierdzi nam użytkownika, który znajduje się przed komputerem, a chcemy go uwierzytelnić telefonem. Klucz musi się znajdować na urządzeniu, czyli w tym wypadku musiałby być to komputer ze wpiętym Yubikey.

PODSUMOWANIE

Według statystyk 81% wycieków danych jest spowodowane słabymi hasłami. Wiele osób ciężko jest przekonać do dwu składnikowego uwierzytelniania. Nowy standard bez hasłowy jest obiecujący i rozwiązuje kilka problemów z 2FA. Jednak czy się przyjmie to będzie zależne od ludzi i łatwego zastosowania. Nadal jest wymagany klucz na przykład Yubikey, na którym jest przechowywany prywatny klucz. Jak go zgubisz to się nie zalogujesz, ale analogicznie jak zgubisz klucze od domu to też nie wejdziesz do mieszkania. Oczywiście działa równolegle login i hasło więc w tym wypadku jesteś bezpieczny, pod warunkiem, że założyłeś konto w tradycyjny sposób.

Uciążliwość przy generowaniu kodu (2FA), a koszt zakupu klucza, który teoretycznie jest o wiele bezpieczniejszy. To będą musieli w przyszłości rozważyć administratorzy Joomla 4, jeśli będą chcieli korzystać z najnowszych rozwiązań. 

Ta metoda na pewno sprawdzi się w aplikacjach mobilnych i stronach gdzie będzie można wykorzystać np. czytnik linii papilarnych, które są już na tyle powszechne, że mało który telefon go nie posiada. Z całą pewnością podniesie to poziom bezpieczeństwa użytkowników i zniweluje precent przejętych kont. Użytkownicy na pewno skorzystają, ponieważ nie będą musieli pamiętać wymyślnych haseł.

Przydatne linki:

Dokumentacja - https://w3c.github.io/webauthn/

Opis działania - https://webauthn.guide/#intro

Demo - https://webauthn.io

Klucze Yubico - https://www.yubico.com/products/

Kolejne z cyklu artykuły o nowościach w Joomla 4:

  1. Joomla 4 Inteligentne wyszukiwanie (smart-search)
  2. Joomla 4 Szablony wiadomości e-mail. 
  3. Joomla 4 i wcag, czyli dostępność cyfrowa.
  4. Joomla 4 - Nagłówki HTTP - Bezpieczeństwo
  5. Joomla 4 - Logowanie bez haseł (w3c web authentication)