Embed Size (px)
Citation preview
2015
CZEŚĆ
2015
Two-factor authenticationczyli inne spojrzenie na bezpieczeństwo Joomla!
Bartłomiej Krztuk
2015
JAK ZABEZPIECZYĆ STRONĘ OPARTĄ O JOOMLA?
2015
Zalecane zabezpieczenia
• Back up early and often • Update early and often • Use a secure host • Proper file permissions (Protect directories and files) • Use well-formed passwords • Maintain a strong site backup process • Change the default administrator username
https://docs.joomla.org/Security_Checklist
2015
PROBLEM: SŁABE HASŁA
2015
http://www.techspot.com/
2015
Popularność haseł
https://atlas.qz.com/charts/NyL3uhCp
2015
Czas łamania prostego hasła
2015
… i trochę bardziej skomplikowanego
2015
CiekawostkaTak się składa, że CrackStation niedawno udostępnił wszystkim zainteresowanym własny słownik bazowy zawierający 1.493.677.782 (niemal 1,5 miliarda) wpisów o rozmiarze ~15 GB. Jak zapewnia sam autor słownika, zawiera on: • wszystkie słowa z Wikipedii we wszystkich językach, • wszystkie słowa z wielu książek dostępnych w ramach Projektu Gutenberg, • ogromną liczbę haseł zebranych z wielu upublicznionych do tej pory wycieków baz haseł.
Skompresowany słownik waży „zaledwie” 4.2 GB i jest dostępny m.in. za pośrednictwem sieci Torrent.
http://sekurak.pl/crackstation-udostepnia-ogromny-slownik-hasel/
2015
ROZWIĄZANIE: TWO-FACTOR AUTHENTICATION
2015
Czym jest two-factor authentication?
Two Factor Authentication is "something you know" (like a password) and "something you have"
(like your phone)
2015
Co odróżnia TFA od innych metod?
• Czynnik ludzki • Poziom zabezpieczenia • Brak potrzeby zapamiętywania dodatkowego hasła • Wygoda korzystania • Dostępność
2015
Joomla! to jedyny z wiodących systemów CMS posiadający tę funkcjonalność wbudowaną czyli niewymagającą zewnętrznych rozszerzeń.
2015
Ale to nie wszystko…
Nie dość, że w Joomla! znajdziemy tę funkcjonalność już w wersji instalacyjnej to jeszcze dzięki wtyczkom mamy wybór z jakiej metody chcemy skorzystać. Standardowo, dostępne są dwie ale nic nie stoi na przeszkodzie aby doinstalować kolejne:
• Yubikey • Google Authenticator
2015
YUBIKEY
2015
2015
YUBIKEY• Wspierany przez każde urządzenie umożliwiające podłączenie klawiatury
USB (Windows, OS X, Linux i nie tylko…) • Nie wymaga dedykowanych sterowników • Niezniszczalny ;) - wodoodporny, bez baterii, port pokryty złotem (ask us
about the dog that ate our YubiKey) • Dwie wersje - nano/regular • Tani • Szerokie zastosowanie (nie tylko w Joomla!)
2015
YUBIKEY - koszty
2015
YUBIKEY - kto używa
2015
Google Authenticator
2015
2015
Google authenticator
• Bezpłatny • Dostępny na praktycznie każdą platformę włączając w to urządzenia
mobilne, również offline • Kod na podstawie kwantu czasu (trzeba sprawnie go przepisać - 30
sekund, RFC 6238) • Od Google +/-
2015
WŁĄCZAMY TWO-FACTOR AUTHENTICATION
2015
Włączamy pluginy typu twofactorauth
2015
Ustawienia użytkownika
2015
Podajemy klucz/skanujemy QR code
2015
Zapisujemy hasła jednorazowe (!)
2015
2015
Hasła jednorazowe
Na wypadek gdyby zagubiono np. Yubikey lub gdy w awaryjnej sytuacji musimy zalogować się do systemu bez dodatkowej autoryzacji Joomla! tuż po włączeniu 2FA generuje listę jednorazowych haseł.
2015
NIE DAJMY SIĘ ZWARIOWAĆ CZYLI KIEDY UŻYWAĆ 2FA
2015
Dla kogo two-factor authentication
• Dla super-userów i administratorów • Dla osób administrujących dużą ilością witryn • Gdy back-end zawiera wrażliwe dane użytkowników • Gdy skonfigurowane są inne podstawowe zabezpieczenia • Dla tych którzy potrafią wyważyć wygodę korzystania z poziomem
zabezpieczeń
2015
PYTANIA?
2015
PREZENTACJA DOSTĘPNA NA www.krztuk.pl
2015
DZIĘKUJĘ ZA UWAGĘ
