Ich möchte hier mal kurz den Yubikey vorstellen und wie man damit z.B. das Backend schützt und Joomla! etwas sicherer macht.
YubiKey
Der YubiKey ist ein Hardwareschlüssel, der beim Berühren eines Buttons ein One-Time-Passcode (OTP) generiert. Dieser YubiKey ist sehr robust und enthält eigentlich keine Teile die kaputt gehen können. Der Schlüssel basiert auf einer 128-bit AES Verschlüsselung. Eine weitere Möglichkeit ist, in einem zweiten Speicherbereich ein eigenes Passwort abzulegen. Dieses Passwort ist statisch, um es zu benutzen muss man länger als 1 Sekunde den Button berühren. Für das normale OTP genügt ein kurzes Antippen. So, genug Werbung für den YubiKey, den Rest könnt ihr beim Hersteller nachlesen.
Einrichtung unter Joomla!
Die YubiKey-Funktionalität wird mittels eines Plugins zur Verfügung gestellt. Dazu gehen wir im Backend zu Erweiterungen/Plugins. Dort suchen wir dann nach "Zwei". Als Ergebnis bekommt ihr nun die Zwei-Faktor-Authentifizierung Yubikey angezeigt.
Ein Klick auf den Titel des Plugins bringt uns zu den Einstellungen. Dort aktivieren wir das Plugin und suchen uns aus, ob es im Frontend, Backend oder in beiden angezeigt wird. Ich benutze es immer nur für die Absicherung des Backends. Also aktivieren wir "Administrator(Backend)" und klicken auf "Speichern & Schließen".
Nun ist das Plugin aktiv, wenn man sich nun mal aus dem Backenend ausloggt, sieht man beim erneuten Login ein neues Eingabefeld mit dem Namen "Secret Key". Da wir aber keinen User für den YubiKey eingerichtet haben, ist dieses Feld noch nicht zu benutzen. Bitte leer lassen und wieder einloggen.
Ich schütze damit grundsätzlich alle meine Super User. Also machen wir uns ran, diesen hier zu schützen. Unter Benutzer, den User "Super User" suchen und diesen auswählen. Nun sehen wir zu den normalen Tabs "Kontodetails", "Zugewiesene Gruppen" und "Basiseinstellungen" einen neuen Tab mit dem Namen "Zwei-Faktor-Authentifizierung".
Wir klicken nun auf "Zwei-Faktor-Authentifizierung".
Dort aktivieren wir den YubiKey, nun wird auf die Eingabe des Keys gewartet. Den Key einstecken und kurz den Button des YubiKeys berühren. Der Key erscheint jetzt in dem Eingabefeld. Das ganze speichern wir nun. Danach erscheint eine Liste mit Einmal-Passwörtern. Gut sichern, Screenshot, Ausdrucken oder bei gutem Gedächtnis merken
Nun ist der User komplett eingerichtet und kann seinen YubiKey zum Login benutzen.
Was sind die Vorteile?
Der Superuser hat nicht nur ein Passwort, sondern auch ein zweites Tool zur Authentifizierung. Niemand, der den Key nicht hat, kann sich nun am Backend einloggen. Das heißt, auch der liebe Hacker irgendwo auf der Welt, kann sich ohne den Key nicht im Backend anmelden, Auch nicht, wenn er im Besitz des normalen User-Passwortes ist. Auch ein BruteForce-Angriff verläuft damit im Nichts.
Man kann den zweiten Slot auch für ein statisches Passwort benutzen, z.B. um sein Notebook abzusichern. Es gibt auch andere Anbieter im Netz, die einen YubiKey unterstützen. Ein Beispiel ist LastPass. Der YubiKey ist schon lange an meinem Schlüsselbund und ich möchte ihn nicht missen.
Wer Fehler findet oder Verbesserungen hat, kann das hier gerne posten.
Ich stehe in keinerlei wirtschaftlicher Verbindung, zu einer der genannten Firmen. Ich nutze nur gerne deren Dienste im Zusammenhang mit Joomla!