SlideShare une entreprise Scribd logo

Two-factor authentication w Joomla! - JoomlaDay Polska 2015

Bartłomiej Krztuk
Bartłomiej Krztuk

Uruchamiając stronę w oparciu o Joomla! często zabezpieczamy ją w zaawansowany sposób używając zewnętrznych rozszerzeń, skupiając się na odpowiedniej konfiguracji serwera zapominając od podstawowych problemach takich jak mocne hasła. Jak sprawić aby nasza strona nie padła ofiarą ataku słownikowego i do czego służy weryfikacja dwuetapowa - w końcu Joomla! to pierwszy duży CMS, który posiada tę funkcjonalność wbudowaną i dostępną dla każdego.

Internet
1  sur  35
Télécharger pour lire hors ligne
2015 CZEŚĆ
2015 Two-factor authentication czyli inne spojrzenie na bezpieczeństwo Joomla! Bartłomiej Krztuk
2015 JAK ZABEZPIECZYĆ STRONĘ OPARTĄ O JOOMLA?
2015 Zalecane zabezpieczenia • Back up early and often • Update early and often • Use a secure host • Proper file permissions (Protect directories and files) • Use well-formed passwords • Maintain a strong site backup process • Change the default administrator username https://docs.joomla.org/Security_Checklist
2015 PROBLEM: SŁABE HASŁA
2015 http://www.techspot.com/
2015 Popularność haseł https://atlas.qz.com/charts/NyL3uhCp
2015 Czas łamania prostego hasła
2015 … i trochę bardziej skomplikowanego
2015 Ciekawostka Tak się składa, że CrackStation niedawno udostępnił wszystkim zainteresowanym własny słownik bazowy zawierający 1.493.677.782 (niemal 1,5 miliarda) wpisów o rozmiarze ~15 GB. Jak zapewnia sam autor słownika, zawiera on: • wszystkie słowa z Wikipedii we wszystkich językach, • wszystkie słowa z wielu książek dostępnych w ramach Projektu Gutenberg, • ogromną liczbę haseł zebranych z wielu upublicznionych do tej pory wycieków baz haseł. Skompresowany słownik waży „zaledwie” 4.2 GB i jest dostępny m.in. za pośrednictwem sieci Torrent. http://sekurak.pl/crackstation-udostepnia-ogromny-slownik-hasel/
2015 ROZWIĄZANIE: TWO-FACTOR AUTHENTICATION
2015 Czym jest two-factor authentication? Two Factor Authentication is "something you know" (like a password) and "something you have" (like your phone)
2015 Co odróżnia TFA od innych metod? • Czynnik ludzki • Poziom zabezpieczenia • Brak potrzeby zapamiętywania dodatkowego hasła • Wygoda korzystania • Dostępność
2015 Joomla! to jedyny z wiodących systemów CMS posiadający tę funkcjonalność wbudowaną czyli niewymagającą zewnętrznych rozszerzeń.
2015 Ale to nie wszystko… Nie dość, że w Joomla! znajdziemy tę funkcjonalność już w wersji instalacyjnej to jeszcze dzięki wtyczkom mamy wybór z jakiej metody chcemy skorzystać. Standardowo, dostępne są dwie ale nic nie stoi na przeszkodzie aby doinstalować kolejne: • Yubikey • Google Authenticator
2015 YUBIKEY
2015
2015 YUBIKEY • Wspierany przez każde urządzenie umożliwiające podłączenie klawiatury USB (Windows, OS X, Linux i nie tylko…) • Nie wymaga dedykowanych sterowników • Niezniszczalny ;) - wodoodporny, bez baterii, port pokryty złotem (ask us about the dog that ate our YubiKey) • Dwie wersje - nano/regular • Tani • Szerokie zastosowanie (nie tylko w Joomla!)
2015 YUBIKEY - koszty
2015 YUBIKEY - kto używa
2015 Google Authenticator
2015
2015 Google authenticator • Bezpłatny • Dostępny na praktycznie każdą platformę włączając w to urządzenia mobilne, również offline • Kod na podstawie kwantu czasu (trzeba sprawnie go przepisać - 30 sekund, RFC 6238) • Od Google +/-
2015 WŁĄCZAMY TWO-FACTOR AUTHENTICATION
2015 Włączamy pluginy typu twofactorauth
2015 Ustawienia użytkownika
2015 Podajemy klucz/skanujemy QR code
2015 Zapisujemy hasła jednorazowe (!)
2015
2015 Hasła jednorazowe Na wypadek gdyby zagubiono np. Yubikey lub gdy w awaryjnej sytuacji musimy zalogować się do systemu bez dodatkowej autoryzacji Joomla! tuż po włączeniu 2FA generuje listę jednorazowych haseł.
2015 NIE DAJMY SIĘ ZWARIOWAĆ CZYLI KIEDY UŻYWAĆ 2FA
2015 Dla kogo two-factor authentication • Dla super-userów i administratorów • Dla osób administrujących dużą ilością witryn • Gdy back-end zawiera wrażliwe dane użytkowników • Gdy skonfigurowane są inne podstawowe zabezpieczenia • Dla tych którzy potrafią wyważyć wygodę korzystania z poziomem zabezpieczeń
2015 PYTANIA?
2015 PREZENTACJA DOSTĘPNA NA www.krztuk.pl
2015 DZIĘKUJĘ ZA UWAGĘ

Recommandé

Symfony2 - garść porad
Symfony2 - garść poradSymfony2 - garść porad
Symfony2 - garść porad
Michał Kurzeja
 
Nie pytaj, co WordPress może zrobić dla Ciebie, zapytaj, co Ty możesz zrobić ...
Nie pytaj, co WordPress może zrobić dla Ciebie, zapytaj, co Ty możesz zrobić ...Nie pytaj, co WordPress może zrobić dla Ciebie, zapytaj, co Ty możesz zrobić ...
Nie pytaj, co WordPress może zrobić dla Ciebie, zapytaj, co Ty możesz zrobić ...
WordCamp Polska
 
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Michał Smereczyński
 
Kivy na Androidzie
Kivy na AndroidzieKivy na Androidzie
Kivy na Androidzie
Daftcode
 
Wtyczkowe kompendium
Wtyczkowe kompendiumWtyczkowe kompendium
Wtyczkowe kompendium
Tomasz Dziuda
 
Joomla! 3.5 - Czy mniej znaczy więcej?
Joomla! 3.5 - Czy mniej znaczy więcej?Joomla! 3.5 - Czy mniej znaczy więcej?
Joomla! 3.5 - Czy mniej znaczy więcej?
Bartłomiej Krztuk
 
Google Web Toolkit
Google Web ToolkitGoogle Web Toolkit
Google Web Toolkit
bartosz_w
 
Make deploy great again!
Make deploy great again!Make deploy great again!
Make deploy great again!
The Software House
 

Recommandé

Symfony2 - garść porad
Symfony2 - garść poradSymfony2 - garść porad
Symfony2 - garść porad
Michał Kurzeja
 
Nie pytaj, co WordPress może zrobić dla Ciebie, zapytaj, co Ty możesz zrobić ...
Nie pytaj, co WordPress może zrobić dla Ciebie, zapytaj, co Ty możesz zrobić ...Nie pytaj, co WordPress może zrobić dla Ciebie, zapytaj, co Ty możesz zrobić ...
Nie pytaj, co WordPress może zrobić dla Ciebie, zapytaj, co Ty możesz zrobić ...
WordCamp Polska
 
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Michał Smereczyński
 
Kivy na Androidzie
Kivy na AndroidzieKivy na Androidzie
Kivy na Androidzie
Daftcode
 
Wtyczkowe kompendium
Wtyczkowe kompendiumWtyczkowe kompendium
Wtyczkowe kompendium
Tomasz Dziuda
 
Joomla! 3.5 - Czy mniej znaczy więcej?
Joomla! 3.5 - Czy mniej znaczy więcej?Joomla! 3.5 - Czy mniej znaczy więcej?
Joomla! 3.5 - Czy mniej znaczy więcej?
Bartłomiej Krztuk
 
Google Web Toolkit
Google Web ToolkitGoogle Web Toolkit
Google Web Toolkit
bartosz_w
 
Make deploy great again!
Make deploy great again!Make deploy great again!
Make deploy great again!
The Software House
 
[PL] Umbraco - „scyzoryk” w rękach .net developera @ WG.NET, Warszawa 2016
[PL] Umbraco - „scyzoryk” w rękach .net developera @ WG.NET, Warszawa 2016[PL] Umbraco - „scyzoryk” w rękach .net developera @ WG.NET, Warszawa 2016
[PL] Umbraco - „scyzoryk” w rękach .net developera @ WG.NET, Warszawa 2016
Marcin Zajkowski
 
Interfejs użytkownika w aplikacji mobilnej - LWUIT
Interfejs użytkownika w aplikacji mobilnej - LWUITInterfejs użytkownika w aplikacji mobilnej - LWUIT
Interfejs użytkownika w aplikacji mobilnej - LWUIT
Dariusz Walczak
 
I tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_goI tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_go
Krzysztof Binkowski
 
Wysoka Dostępność Windows Server 2008 w kontekscie umów SLA
Wysoka Dostępność Windows Server 2008 w kontekscie umów SLAWysoka Dostępność Windows Server 2008 w kontekscie umów SLA
Wysoka Dostępność Windows Server 2008 w kontekscie umów SLA
Tobias Koprowski
 
Integracja środowiska testowego z użyciem Robot Framework, TrojQA 2014-12-16
Integracja środowiska testowego z użyciem Robot Framework, TrojQA 2014-12-16Integracja środowiska testowego z użyciem Robot Framework, TrojQA 2014-12-16
Integracja środowiska testowego z użyciem Robot Framework, TrojQA 2014-12-16
Krzysztof Synak
 
Olga Żądło - Robot Framework
Olga Żądło - Robot FrameworkOlga Żądło - Robot Framework
Olga Żądło - Robot Framework
Trójmiejska Grupa Testerska
 
Zabezpiecz swoją stronę w Joomla!
Zabezpiecz swoją stronę w Joomla!Zabezpiecz swoją stronę w Joomla!
Zabezpiecz swoją stronę w Joomla!
Wojciech Klocek
 
Tech cafe Microservices
Tech cafe MicroservicesTech cafe Microservices
Tech cafe Microservices
Konrad Król
 
Jak zacząć, aby nie żałować - czyli 50 twarzy PHP
Jak zacząć, aby nie żałować - czyli 50 twarzy PHPJak zacząć, aby nie żałować - czyli 50 twarzy PHP
Jak zacząć, aby nie żałować - czyli 50 twarzy PHP
Piotr Horzycki
 
Porażka nie wchodzi w grę, czyli o niezawodności
Porażka nie wchodzi w grę, czyli o niezawodnościPorażka nie wchodzi w grę, czyli o niezawodności
Porażka nie wchodzi w grę, czyli o niezawodności
Kamil Grabowski
 
Jak wydaliśmy wiedźmina, GOG.com IT
Jak wydaliśmy wiedźmina, GOG.com ITJak wydaliśmy wiedźmina, GOG.com IT
Jak wydaliśmy wiedźmina, GOG.com IT
GOG.com dev team
 
Ciągłe Dostarcznie - Wprowadzenie
Ciągłe Dostarcznie - WprowadzenieCiągłe Dostarcznie - Wprowadzenie
Ciągłe Dostarcznie - Wprowadzenie
Artur Radosz
 
Swoole w PHP. Czy to ma sens?
Swoole w PHP. Czy to ma sens?Swoole w PHP. Czy to ma sens?
Swoole w PHP. Czy to ma sens?
The Software House
 
PLNOG 4: Krzysztof Góźdź - Od ssh do batuty - czyli jak z administratora stać...
PLNOG 4: Krzysztof Góźdź - Od ssh do batuty - czyli jak z administratora stać...PLNOG 4: Krzysztof Góźdź - Od ssh do batuty - czyli jak z administratora stać...
PLNOG 4: Krzysztof Góźdź - Od ssh do batuty - czyli jak z administratora stać...
PROIDEA
 
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
Krzysztof Binkowski
 
university day 1
university day 1university day 1
university day 1
Sławomir Borowiec
 
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
Fundacja Rozwoju Branży Internetowej Netcamp
 
Przyszłość ma na imię Mobile – testowanie i automatyzacja testów aplikacji mo...
Przyszłość ma na imię Mobile – testowanie i automatyzacja testów aplikacji mo...Przyszłość ma na imię Mobile – testowanie i automatyzacja testów aplikacji mo...
Przyszłość ma na imię Mobile – testowanie i automatyzacja testów aplikacji mo...
Stowarzyszenie Jakości Systemów Informatycznych (SJSI)
 
Edytory tekstu online
Edytory tekstu onlineEdytory tekstu online
Edytory tekstu online
IOKI Sp. z o.o. Sp. K.
 
Wtyczki WordPress, których każdy developer powinien używać
Wtyczki WordPress, których każdy developer powinien używaćWtyczki WordPress, których każdy developer powinien używać
Wtyczki WordPress, których każdy developer powinien używać
Maciej Swoboda
 

Contenu connexe

Similaire à Two-factor authentication w Joomla! - JoomlaDay Polska 2015

WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
Krzysztof Binkowski
 
Przyszłość ma na imię Mobile – testowanie i automatyzacja testów aplikacji mo...
Przyszłość ma na imię Mobile – testowanie i automatyzacja testów aplikacji mo...Przyszłość ma na imię Mobile – testowanie i automatyzacja testów aplikacji mo...
Przyszłość ma na imię Mobile – testowanie i automatyzacja testów aplikacji mo...
Stowarzyszenie Jakości Systemów Informatycznych (SJSI)
 

Similaire à Two-factor authentication w Joomla! - JoomlaDay Polska 2015 (20)

[PL] Umbraco - „scyzoryk” w rękach .net developera @ WG.NET, Warszawa 2016
[PL] Umbraco - „scyzoryk” w rękach .net developera @ WG.NET, Warszawa 2016[PL] Umbraco - „scyzoryk” w rękach .net developera @ WG.NET, Warszawa 2016
[PL] Umbraco - „scyzoryk” w rękach .net developera @ WG.NET, Warszawa 2016
 
Interfejs użytkownika w aplikacji mobilnej - LWUIT
Interfejs użytkownika w aplikacji mobilnej - LWUITInterfejs użytkownika w aplikacji mobilnej - LWUIT
Interfejs użytkownika w aplikacji mobilnej - LWUIT
 
I tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_goI tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_go
 
Wysoka Dostępność Windows Server 2008 w kontekscie umów SLA
Wysoka Dostępność Windows Server 2008 w kontekscie umów SLAWysoka Dostępność Windows Server 2008 w kontekscie umów SLA
Wysoka Dostępność Windows Server 2008 w kontekscie umów SLA
 
Integracja środowiska testowego z użyciem Robot Framework, TrojQA 2014-12-16
Integracja środowiska testowego z użyciem Robot Framework, TrojQA 2014-12-16Integracja środowiska testowego z użyciem Robot Framework, TrojQA 2014-12-16
Integracja środowiska testowego z użyciem Robot Framework, TrojQA 2014-12-16
 
Olga Żądło - Robot Framework
Olga Żądło - Robot FrameworkOlga Żądło - Robot Framework
Olga Żądło - Robot Framework
 
Zabezpiecz swoją stronę w Joomla!
Zabezpiecz swoją stronę w Joomla!Zabezpiecz swoją stronę w Joomla!
Zabezpiecz swoją stronę w Joomla!
 
Tech cafe Microservices
Tech cafe MicroservicesTech cafe Microservices
Tech cafe Microservices
 
Jak zacząć, aby nie żałować - czyli 50 twarzy PHP
Jak zacząć, aby nie żałować - czyli 50 twarzy PHPJak zacząć, aby nie żałować - czyli 50 twarzy PHP
Jak zacząć, aby nie żałować - czyli 50 twarzy PHP
 
Porażka nie wchodzi w grę, czyli o niezawodności
Porażka nie wchodzi w grę, czyli o niezawodnościPorażka nie wchodzi w grę, czyli o niezawodności
Porażka nie wchodzi w grę, czyli o niezawodności
 
Jak wydaliśmy wiedźmina, GOG.com IT
Jak wydaliśmy wiedźmina, GOG.com ITJak wydaliśmy wiedźmina, GOG.com IT
Jak wydaliśmy wiedźmina, GOG.com IT
 
Ciągłe Dostarcznie - Wprowadzenie
Ciągłe Dostarcznie - WprowadzenieCiągłe Dostarcznie - Wprowadzenie
Ciągłe Dostarcznie - Wprowadzenie
 
Swoole w PHP. Czy to ma sens?
Swoole w PHP. Czy to ma sens?Swoole w PHP. Czy to ma sens?
Swoole w PHP. Czy to ma sens?
 
PLNOG 4: Krzysztof Góźdź - Od ssh do batuty - czyli jak z administratora stać...
PLNOG 4: Krzysztof Góźdź - Od ssh do batuty - czyli jak z administratora stać...PLNOG 4: Krzysztof Góźdź - Od ssh do batuty - czyli jak z administratora stać...
PLNOG 4: Krzysztof Góźdź - Od ssh do batuty - czyli jak z administratora stać...
 
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
 
university day 1
university day 1university day 1
university day 1
 
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
 
Przyszłość ma na imię Mobile – testowanie i automatyzacja testów aplikacji mo...
Przyszłość ma na imię Mobile – testowanie i automatyzacja testów aplikacji mo...Przyszłość ma na imię Mobile – testowanie i automatyzacja testów aplikacji mo...
Przyszłość ma na imię Mobile – testowanie i automatyzacja testów aplikacji mo...
 
Edytory tekstu online
Edytory tekstu onlineEdytory tekstu online
Edytory tekstu online
 
Wtyczki WordPress, których każdy developer powinien używać
Wtyczki WordPress, których każdy developer powinien używaćWtyczki WordPress, których każdy developer powinien używać
Wtyczki WordPress, których każdy developer powinien używać
 

Two-factor authentication w Joomla! - JoomlaDay Polska 2015