Joomla 4.2 ile artık sitelerimizin kimliğini doğrulamak için yeni bir yolumuz var. İki Faktörlü Kimlik Doğrulama, gelen birçok yeni kimlik doğrulama yöntemiyle modası geçmiştir, bu nedenle Çok Faktörlü Kimlik Doğrulama (MFA) gelir.
9 yılı aşkın bir süredir Joomla, İki Faktörlü Kimlik Doğrulama çözümüne sahiptir. Her kullanıcının bir kullanıcı adı ve şifresi vardır ve bazı siteler için ikinci bir kimlik doğrulama faktörü kullanmaları da istenmiştir. Hesabınızı telefonunuzdaki Google Authenticator veya Authy ile ilişkilendiriyor olabilir. Kullanıcı adınızı ve şifrenizi girdikten sonra telefonunuzda görüntülenen 6 haneli bir kod istenir. Her 30 saniyede bir değişir ve ekrandaki numara ve bağlı hesaba yazdığınız numara doğru değilse giriş reddedilir.
Nicholas K. Dionysopoulos'un (yeni Çok Faktörlü Kimlik Doğrulama özelliğine katkıda bulunan geliştirici) izlediği yaklaşım, bir "Captive Login" yaklaşımıdır. İlk olarak, kullanıcı hesabınıza giriş yapın. Sitenin oturum açma alanına erişmeden önce, oturum açmanızı doğrulamak için başka bir ekran gösterilir - "Captive Login" burada gerçekleşir. Kullanıcı hesabınızda ayarlanan yöntemlerden herhangi biriyle doğrulama yapabilirsiniz. Ardından, tamamen giriş yaptınız ve her zamanki gibi devam edebilirsiniz.
Kullanıcılar birden fazla MFA yöntemine sahip olabilir. Bir kurulum, iki WebAuthn anahtarı (ana ve yedek) ve WebAuthn dongle'larını desteklemeyen eski bir akıllı telefonda kullanım için klasik altı basamaklı bir kod olabilir. Bu, MFA'yı daha kullanışlı ve insanları sitelerinden uzaklaştıran kazalara karşı daha dayanıklı hale getirir.
Birden fazla kimlik doğrulama yönteminiz varsa, durup bugün kimlik doğrulaması yapmak için hangi yöntemi kullanacağınızı düşünmek istemezsiniz, özellikle de zamanın %99'unda aynı yöntemi kullanmanız muhtemel olduğundan. Bu nedenle, varsayılan bir yöntem seçebilirsiniz. Aptalca hata olasılığını azaltmak için yalnızca bir kez kullanılabilen acil durum kodlarını varsayılan yöntem olarak KULLANMAZSINIZ.
Diyelim ki üç WebAuthn kimlik doğrulayıcı ayarladınız. Oturum açtığınızda, hangi WebAuthn kimlik doğrulayıcısını kullanacağınızı seçmek için tıklamanız gerekmeden WebAuthn oturumu açmanızı isteyen tek bir sayfa görmek istersiniz.
WebAuthn ve YubiKey, bu yöntemin birden çok örneğini ayarlamanıza izin verir, bu nedenle, kullanmak istediğiniz WebAuthn kimlik doğrulayıcısını veya YubiKey'i seçmek yerine yöntemi seçmeniz yeterlidir, örneğin 'WebAuthn'. Daha sonra ayarladığınız kimlik doğrulayıcı/anahtarlardan hangisini kullanabilirsiniz. Profesyonel bir Çok Faktörlü Kimlik Doğrulama çözümünden beklediğiniz gibi Joomla bunu çözecektir. Normal Kimlik Doğrulama Kodu ve E-posta ile Kimlik Doğrulama Kodu yalnızca tek bir örneğe izin verir, bu nedenle yöntem toplu işlemi yapmazlar.
Kullanıcı başına birden çok MFA yöntemini desteklemek için Joomla tablolarının yeniden yapılandırılması gerekiyordu. İki #__users sütunundan (otpKey ve otep) gelen MFA verileri kendi tablolarına (#__user_tfa) taşındı. Önceden kurulmuş herhangi bir eski İki Faktörlü Kimlik Doğrulama (TFA) yöntemi, ilk oturum açma sırasında otomatik olarak taşınır. Bu, MFA'nın yüz binlerce kullanıcıya sahip sitelerde bile temiz bir şekilde taşınacağı anlamına gelir; bu, taşıma işlemi güncelleme sırasında gerçekleştirilmiş olsaydı böyle olmazdı. Bu, bir kullanıcı oturum açana kadar arka uçtaki com_users içinde TFA/MFA durumunu veya yapılandırma ayarlarını görmeyeceğiniz anlamına gelir.
MFA yapılandırma verileri, sitenin "sırrından" türetilen bir anahtar kullanılarak AES-256 kullanılarak hala şifrelenir. Bu nedenle, herhangi bir uzantıdaki basit bir SQLi Güvenlik Açığı, MFA'nın sırlarını ifşa etmeyecektir.
Artık mevcut Kimlik Doğrulama Kodu ve YubiKey yöntemlerinin yanı sıra E-posta ve WebAuth ile Kimlik Doğrulama Kodunu kullanabilirsiniz. İlki size e-postanıza 6 haneli bir kod gönderir ve ayrıca herkes için zorla etkinleştirilecek şekilde ayarlanabilir (kullanıcılarınız teknoloji konusunda çok bilgili değilse uygun bir yedekleme sağlamak için). İkincisi, Windows Hello ve Android'i destekler
İsteğe bağlı olarak, belirli kullanıcı gruplarını MFA'nın zorla etkinleştirilmesi ve diğer grupların MFA'nın zorla reddedilmesini sağlayacak şekilde ayarlayabilirsiniz. MFA'yı zorunlu kılan grupların MFA'yı kurmaları ve siteyi kullanmaya devam etmek için kullanmaları gerekecektir. MFA'yı kullanması yasak olan gruplardan, daha önce etkinleştirmiş olsalar bile hiçbir zaman sabit oturum açmaları istenmez ve com_users'da MFA yapılandırma bölümünü görmezler.
İsteğe bağlı olarak, oturum açarlarsa ve henüz MFA'yı etkinleştirmemişlerse kullanıcılara otomatik olarak bir başlangıç sayfası gösterilmesini sağlayabilirsiniz. MFA kurabilir, farklı bir sayfaya gidebilir veya işe alım sayfasını sonsuza kadar kapatabilirler. Ayrıca, örneğin varsayılan MFA kurulum sayfasını göstermek yerine kendi makalenizi görüntülemek istiyorsanız, başlangıç URL'sini özelleştirebilirsiniz. Nicholas'a göre bu, MFA'nın benimsenmesini on kat artırıyor. Yerleştirmenin varsayılan olarak devre dışı olduğunu unutmayın.
Bir Süper Kullanıcı olarak, başka bir Süper Kullanıcının MFA ayarlarını hiçbir şekilde değiştiremezsiniz. Sonuç olarak, bir Süper Kullanıcı ayrıntılarını yanlış alırsa, bazı veritabanı düzenlemeleri yapmanız gerekecektir.
Yöneticiler yalnızca diğer kullanıcılar için MFA seçeneklerini kaldırabilir. Ayrıcalıklı bir kullanıcı olarak, MFA seçeneklerini yalnızca diğer (Süper Kullanıcılar olmayan) kullanıcı hesaplarından kaldırabilir veya MFA'larını tamamen devre dışı bırakabilirsiniz. MFA yapılandırmalarını düzenleyemez veya yeni MFA yöntemlerini kaydedemezsiniz.
MFA yapılandırma arayüzü, kullanıcı hesabınız için MFA'yı tamamen devre dışı bırakan bir Kapatma düğmesi içerir. Bu, tüm MFA yöntemlerine erişiminizi kaybettiyseniz, bir acil durum kodu kullandıysanız ve diğer sorunlarınızı çözene kadar MFA'yı kapatmak istiyorsanız kullanışlıdır.
Sabit MFA sayfasında hangi modül konumlarının görüntüleneceğini seçebilirsiniz. Bu, kullanıcılara daha iyi bir görsel deneyim sunmak için örneğin sitenizin üstbilgisini ve altbilgisini görüntülemenize olanak tanır.
Sonuç olarak, yeni Çok Faktörlü Kimlik Doğrulama ile Joomla 4.2, geleceğe uygun, genişletilebilir, güvenli bir kimlik doğrulama ile donatılmıştır.
Kaynak: Joomla.org - Philip Walton
