Avez-vous remarqué qu'il y a un nouveau bouton d'authentification Web sur les nouveaux écrans de connexion Joomla 4 ?
C'est grâce à la nouvelle API WebAuthn de Joomla qui permet des connexions sécurisées avec une clé certifiée FIDO. Alors, plongeons dans les mots de passe, la sécurité et WebAuthn, et découvrons comment l'activer sur votre compte d'utilisateur dans Joomla 4.
Si vous avez vérifié Joomla 4, vous savez déjà que la zone d'administration a été remaniée, ce qui inclut l'écran de connexion de l'utilisateur et de l'administrateur. Mais avez-vous remarqué que c'est différent selon que vous êtes connecté à un site Web utilisant https ou http ?
Écran de connexion http non sécurisé
Écran de connexion https sécurisé
Si vous êtes connecté en toute sécurité via https, le nouveau d'authentification Web devient visible. Ce bouton fait partie de la nouvelle WebAuthn , qui vous permet de vous connecter en toute sécurité avec une clé WebAuthn (FIDO2), au lieu d'utiliser un mot de passe.
Les mots de passe sont le fléau de la vie de tout le monde.
La technologie étant de plus en plus étroitement liée à la vie de chacun, votre liste de mots de passe ne cesse de s'allonger. Si vous suivez les conseils généraux sur les mots de passe consistant à ne pas utiliser un mot de passe facile à deviner, à ne pas l'écrire mais à le mémoriser et à utiliser un mélange de lettres, de chiffres et de caractères spéciaux, vous avez un travail difficile devant vous.
Saviez-vous que :
« 123456 » est le mot de passe le plus utilisé au monde !
Pour vous amuser un peu, voici une liste de Nordpass des dix principaux mots de passe utilisés dans le monde en 2021. La liste montre également combien de temps il faut pour les déchiffrer lors d'une attaque par force brute ciblée, et à quelle fréquence ils ont été utilisés, comme on l'a vu en 2021 .
- 123456 - Prend moins d'une seconde à craquer, utilisé plus de 103 millions de fois
- 123456789 - Prend moins d'une seconde à craquer, utilisé plus de 46 millions de fois
- 12345 - Prend moins d'une seconde à craquer, utilisé plus de 32 millions de fois
- qwerty - Prend moins d'une seconde à craquer, utilisé plus de 22 millions de fois
- mot de passe - Prend moins d'une seconde à craquer, utilisé plus de 20 millions de fois
- 12345678 - Prend moins d'une seconde à craquer, utilisé plus de 14 millions de fois
- 111111 - Prend moins d'une seconde à craquer, utilisé plus de 13 millions de fois
- 123123 - Prend moins d'une seconde à craquer, utilisé plus de 10 millions de fois
- 1234567890 - Prend moins d'une seconde à craquer, utilisé plus de 9,6 millions de fois
- 1234567 - Prend moins d'une seconde à craquer, utilisé plus de 9,3 millions de fois
Êtes-vous coupable d'utiliser des mots de passe faibles ? Le vôtre est-il sur cette liste ?
Les bonnes habitudes de mot de passe sont comme toute bonne habitude. Ils sont plus faciles à dire qu'à faire !
Plus de comptes et plus d'applications créent plus de mots de passe, ce qui crée à son tour plus de possibilités de vol et de violation de données. Ainsi, le besoin de processus de connexion plus sécurisés est primordial. C'est quelque chose que GoDaddy, T-Mobile et DailyQuiz auraient souhaité avoir, car ils ont chacun souffert de violations de données géantes en 2021.
Ne pensez pas que cela ne vous arrivera pas. Vous n'avez pas besoin de diriger un conglomérat multinational, même votre petit site Web Mom & Pop pourrait être attaqué et utilisé comme hôte à des fins de spam et de phishing. Ne laissez pas les mots de passe faibles faire de votre site Web Joomla une cible facile pour les pirates.
Bien sûr, les mots de passe faciles à retenir et faibles par nature sont attrayants à utiliser. Des mots de passe plus sécurisés sont une option judicieuse, mais étant difficiles à retenir, nous avons besoin d'aide.
Au fil des ans, nous avons vu différentes solutions à ce problème, mais il y a des avantages et des inconvénients pour chacune. Deux des solutions les plus courantes pour aider à protéger vos mots de passe, et donc l'accès à vos comptes, incluent les gestionnaires de mots de passe et l'autorisation à 2 facteurs.
Gestionnaires de mots de passe
Il existe des gestionnaires de mots de passe gratuits et payants et ils fonctionnent tous de la même manière.
Les gestionnaires de mots de passe doivent être installés sur votre PC, téléphone ou tablette et sont utilisés pour stocker vos mots de passe. La plupart utilisent un cryptage 256 bits pour ce faire. Vous vous connectez au gestionnaire de mots de passe avec un « passe principal » et ils se souviendront ou généreront des mots de passe sécurisés pour tous vos comptes en ligne. En plus de vous connecter automatiquement à ces comptes.
Cependant, il y a quelques inconvénients. Notamment : Vous confiez vos données à un tiers. Si vous perdez votre mot de passe principal, vous perdez l'accès à tous vos comptes. Votre mot de passe principal n'est pas protégé contre les enregistreurs de frappe et les attaques de phishing.
Authentification à deux facteurs (2FA)
L'authentification à deux facteurs existe depuis un certain temps maintenant. En fait, Joomla a été le premier CMS à implémenter cette méthode en novembre 2013 avec le lancement de la version 3.2.0. C'est un moyen d'ajouter une autre couche de sécurité au processus de connexion. Ainsi, non seulement vous avez besoin de votre nom d'utilisateur et de votre mot de passe, mais également d'une clé générée une seule fois. Les clés sont générées par un service externe tel que Google's Authenticator, puis la clé est envoyée à votre téléphone mobile. Vous pouvez ensuite le saisir manuellement dans l'écran de connexion Joomla.
Comme pour l'utilisation d'un gestionnaire de mots de passe, il existe également des problèmes de sécurité et d'accès à la zone d'administration de votre site Web. Bien moins que d'utiliser un gestionnaire de mots de passe. Cela est dû au fait que les aspects enregistreur de frappe / hameçonnage ont été supprimés de l'équation, car les codes générés pour l'authentification à deux facteurs sont à usage unique.
Bien que vous deviez toujours vous souvenir du mot de passe et le garder secret. Cependant, quelqu'un qui ne dispose pas de la « clé supplémentaire » ne peut toujours pas accéder à votre compte, même s'il détient votre mot de passe et votre nom d'utilisateur.
Les principaux problèmes liés à l'authentification à deux facteurs commencent par le temps nécessaire pour se connecter à mesure qu'il augmente. Il y a plus d'occasions de faire des erreurs. Vous risquez de perdre l'accès au service d'authentification que vous avez choisi d'utiliser. Ou, vous risquez de perdre l'accès à l'appareil que vous utilisez pour accéder à ce service d'authentification. Un autre problème pourrait être les codes d'accès d'urgence qui peuvent être pré-générés, puis imprimés pour une utilisation future potentielle. Une personne non autorisée qui les trouverait en fouillant sur votre bureau pourrait les utiliser pour accéder à votre compte.
Maintenant, il y en a un troisième :
WebAuthn & FIDO2
Nous avons maintenant une nouvelle option pour se connecter à Joomla, WebAuthn.
WebAuthn est une technologie Web émergente qui existe depuis un petit moment, mais elle gagne maintenant du terrain avec de plus en plus de sites Web et d'applications offrant cette forme sécurisée de connexion.
WebAuthn, ou The Web Authentication API , est un projet du World Wide Web Consortium (W3C) et de FIDO, qui est une communauté internationale. Les membres de la communauté comprennent des organisations membres, du personnel à temps plein et le public qui travaillent ensemble pour développer des normes Web. Et certains des plus grands acteurs mondiaux sur Internet comme Microsoft, Apple, Yubico et Google sont derrière tout cela.
L'API WebAuthn permet aux sites Web d'enregistrer et d'authentifier les utilisateurs à l'aide de la cryptographie par paire de clés publique/privée, au lieu d'utiliser un mot de passe.
L'API WebAuthn permet de tirer facilement parti des authentificateurs puissants désormais intégrés aux appareils, tels que Windows Hello ou Touch ID d'Apple.
WebAuthn fonctionne en stockant en toute sécurité la clé privée sur l'appareil ou l'application de l'utilisateur, votre clé FIDO2 dans ce cas. Ensuite, une clé publique générée de manière aléatoire est stockée sur le serveur/site Web/application. Lorsque vous vous connectez à l'aide de votre clé FIDO2 WebAuthn, le serveur utilise alors cette clé publique pour prouver votre identité, en la faisant correspondre à celle stockée sur votre clé.
Parce que la clé publique stockée sur le serveur est inutile sans la clé privée, cela signifie que le contenu des bases de données est une cible moins attrayante pour les pirates. Ce qui est un bonus.
WebAuthn se présente sous différentes formes : les lecteurs d'empreintes digitales, les clés et les mobiles sont des appareils FIDO courants.
Voyons donc comment configurer votre compte utilisateur Joomla 4 pour qu'il fonctionne avec une clé certifiée WebAuthn FIDO2.
Se connecter à Joomla avec une clé FIDO2 WebAuthn
La première chose à faire est de vous procurer une clé certifiée FIDO2. J'ai acheté un USB de base d'Amazon pour seulement 15 £. Il est fabriqué par Thetis, mais d'autres sont disponibles. Yubico a une gamme plus large, qui couvre également différents protocoles WebAuthn tels que FIDO2, U2F, carte à puce, OTP, OpenPGP 3. Les clés sont également disponibles avec différents connecteurs ; USB-A, USB-C, NFC et Lightning. Vous devrez donc faire vos recherches et choisir une solution adaptée à vos propres applications.
Lancez votre navigateur et rendez-vous sur votre écran de connexion Joomla. Ou, si vous avez accès à la zone d'administration de Joomla, https://your-website.com/administrator (ou, si vous masquez l'URL de connexion de l'administrateur, allez-y à la place)
Connectez-vous comme d'habitude avec votre nom d'utilisateur et votre mot de passe. Une fois connecté, cliquez sur le bouton « Menu utilisateur » dans le coin supérieur droit de votre écran. Ensuite, dans le menu déroulant, cliquez sur "Modifier le compte".
Sur l'écran suivant, si vous vous êtes connecté via https, vous verrez un onglet intitulé "Connexion à l'authentification Web WC3 (WebAuthn)". Allez-y et ouvrez l'onglet.
Pour ajouter votre clé FIDO2, cliquez sur le bouton 'Add New Authenticator'. Une pop-up apparaîtra alors, vous invitant à insérer votre clé et à la toucher. Alors, insérez votre clé dans une fente USB/Lightning et touchez-la. Ou, comme sur ma clé Thetis, appuyez sur le bouton. Assurez-vous de vérifier les instructions fournies avec votre clé, car ce processus peut être différent, ou vous devrez peut-être d'abord créer un compte auprès du fabricant de la clé. Je n'étais pas obligé de le faire, mais vous devrez peut-être le faire en fonction du type de clé FIDO2 dont vous disposez.
Attendez quelques secondes pendant que votre clé, votre navigateur, votre site Web et votre serveur synchronisent vos clés cryptographiques privées/publiques pour la connexion. L'écran suivant qui apparaît vous informera qu'il a enregistré une nouvelle clé pour votre compte. Un nom de clé générique lui sera associé à ce stade. Alors, changeons-le en quelque chose de plus personnel.
Cliquez sur le bouton bleu "Modifier le nom" et entrez un nouveau nom de clé dans le champ, puis enregistrez-le.
Et c'est tout. Vous avez maintenant configuré votre compte utilisateur pour travailler avec votre nouvelle clé. Il est maintenant temps de le tester, alors déconnectez-vous complètement, revenez à la page de connexion, insérez votre clé dans un port USB/Lightning, entrez votre nom d'utilisateur et cliquez sur le bouton "Authentification Web".
Si tout s'est bien passé, vous êtes maintenant connecté à votre compte utilisateur dans Joomla.
Quelques questions et conseils
Si vous avez lu jusqu'ici et que vous êtes comme nous, vous avez probablement maintenant des questions sur l'utilisation de cette nouvelle API dans Joomla 4. Bien que les clés WebAuthn et FIDO2 soient sécurisées, aucun système n'est parfait. Il y aura toujours des situations et des exceptions aux règles. Voici les questions que j'ai eues lors de la recherche de cet article sur la nouvelle API de connexion WebAuthn de Joomla. Certains ont des réponses, d'autres je m'interroge encore !
Un administrateur peut-il supprimer ma clé de mon compte ?
Non, les administrateurs de Joomla ne peuvent pas ajouter ou supprimer des authentificateurs au nom des utilisateurs. Les utilisateurs doivent se connecter et configurer leurs propres appareils.
Avez-vous besoin d'enregistrer votre clé auprès du fabricant de la clé ?
Ma clé Thetis ne m'a pas obligé à enregistrer ma clé auprès d'eux avant son utilisation, mais d'autres clés peuvent avoir des processus différents.
Ma clé privée est-elle sécurisée ?
Oui, la paire de clés est générée sur le périphérique FIDO2, qui est généralement une clé de sécurité USB. La clé privée est liée de manière sécurisée à l'appareil.
Mon mot de passe fonctionnera-t-il toujours ?
Oui, et c'est un aspect qui, à mon avis, nécessite une réflexion plus approfondie de la part de Joomla pour tirer pleinement parti des avantages de sécurité liés à l'utilisation d'une clé FIDO2 WebAuthn.
Bien que le fait d'avoir un mot de passe lié à votre compte d'utilisateur puisse être pratique si vous perdez l'accès à votre clé, cela représente toujours une opportunité pour les pirates d'accéder à votre compte. Cependant, si vous arrêtez d'utiliser un mot de passe lors de la connexion, les enregistreurs de frappe et les faux sites Web de phishing ne pourront pas voler vos données de connexion. Mais les attaques par force brute pourraient toujours fonctionner.
La solution pour cela, du moins pour le moment, consiste à créer un nouveau mot de passe fort après avoir ajouté votre clé à Joomla. Un mot de passe presque impossible à casser et impossible à retenir. Alors écrivez-le, ne le copiez pas / ne le collez pas (les enregistreurs de frappe ne peuvent pas lire vos notes manuscrites. Saviez-vous que même Microsoft a un enregistreur de frappe intégré dans Windows 10 et 11 ?). Nicholas, d'Akeeba, suggère que ce serait une bonne idée d'utiliser un mot de passe de 128 caractères pour qu'il soit presque impossible pour une attaque par force brute d'accéder à votre compte avec succès.
Si vous êtes le super-utilisateur de votre site Web Joomla, il peut être judicieux de mettre à niveau les exigences de mot de passe standard pour les utilisateurs vers quelque chose de plus sécurisé, en standard. Augmentez la longueur requise du mot de passe de 12 caractères à au moins 20, et incluez des chiffres, des caractères spéciaux et des majuscules. Vous pouvez les trouver dans Utilisateurs > Options > Options de mot de passe.
Que se passe-t-il si je perds ma clé ?
Vous ne pourrez pas l'utiliser pour vous connecter en toute sécurité à votre compte utilisateur Joomla. Vous devrez utiliser le nouveau mot de passe long et sécurisé que vous avez créé après avoir enregistré votre clé FIDO sur votre compte Joomla. Si cela se produit, n'oubliez pas de créer un nouveau mot de passe super fort pour remplacer celui que vous venez d'utiliser, et notez-le comme la dernière fois.
Une clé WebAuthn FIDO2 perdue ne présente pas de risque de sécurité. Les clés sont conçues pour être anonymes pour les services publics en ligne, et aucune information sur votre identité ou vos comptes n'est stockée sur la clé elle-même.
Que se passe-t-il si ma clé est mouillée ?
Cela pourrait être une considération sérieuse si vous gardez votre clé dans une poche, qui pourrait être mouillée. Ou, vous le laissez tomber dans une flaque d'eau! Je ne trouve aucune information sur ma clé Thetis, mais les clés Yubico indiquent qu'elles sont classées IP68, ce qui signifie qu'elles résistent à la poussière et sont bonnes pendant une heure immergées dans 1,5 mètre d'eau.
Puis-je me connecter à plusieurs sites Web avec une seule clé ?
Oui, mais le montant varie d'un fabricant à l'autre. Cela dépend de la quantité de mémoire utilisée dans votre clé.
Dois-je utiliser un nom d'utilisateur plus sécurisé ?
Oui. C'est toujours un bon conseil de rendre plus difficile l'accès à votre compte pour les personnes peu scrupuleuses. john2!4*6smith au lieu de johnsmith est bien meilleur. Si vous utilisez un nom d'utilisateur fort, il sera plus difficile pour quelqu'un d'autre qui pourrait avoir accès à votre clé de l'utiliser à des fins malveillantes.
Dois-je avoir une clé de secours ?
Ce n'est pas une mauvaise idée. Bien que les clés n'aient pas de piles ou de pièces mobiles et puissent être classées IP68 et résistantes à l'écrasement, elles peuvent toujours cesser de fonctionner, se perdre ou être endommagées.
Puis-je avoir 2 clés sur un compte utilisateur Joomla ?
Oui, vous pouvez enregistrer plusieurs clés sur votre compte utilisateur Joomla. Donc, avoir une sauvegarde est logique.
Ma clé peut-elle être clonée ou copiée ?
Les clés FIDO2 sont sécurisées, par conséquent, de par leur conception, elles ne peuvent pas être copiées. S'ils ne peuvent pas être copiés, il va de soi que le clonage ne sera pas non plus un problème.
Une fois connecté, dois-je laisser ma clé FIDO2 dans le port USB/Lightning ?
Non, une fois connecté, inutile de laisser votre clé insérée dans le port USB/Lightning.
Puis-je utiliser ma clé FIDO2 sous Linux ?
Oui et non. Certaines versions plus récentes de Linux ont une prise en charge intégrée des clés de sécurité prêtes à l'emploi. De nombreuses versions plus anciennes ne le font pas et vous devrez apporter une modification mineure à la configuration du système pour que votre clé fonctionne. Google est votre ami ici !
Quels navigateurs prennent en charge ma clé FIDO ?
Les choses s'améliorent rapidement. Lorsque les documents originaux de Joomla ont été écrits pour cette fonctionnalité, le support était un peu sommaire.
Mais maintenant, depuis mars 2022, la prise en charge des navigateurs de bureau est bien meilleure avec tous les acteurs clés à bord. Bien que les navigateurs mobiles soient toujours à la traîne, à l'exception de Firefox.
| Navigateur | TU | Prise en charge |
|---|---|---|
| Bord | Windows | FIDO2 |
| Chrome | (Windows/Mac/Linux) | FIDO2 et U2F |
| Firefox | (Windows/Mac/Linux) | FIDO2 et U2F |
| Opéra | (Windows/Mac/Linux) | FIDO2 et U2F |
| Safari | Mac OS | FIDO2 et U2F |
Voici les statistiques d'utilisation de caniuse.com pour WebAuthn et Fido.
WebAuthn
https://caniuse.com/?search=webauthn
FIDO
https://caniuse.com/?search=fido
Qu'en est-il du RGPD ?
Comme les clés FIDO ne stockent que des clés privées/publiques cryptographiquement couplées, et aucune autre information, elles ne partagent aucune information personnellement identifiable avec les services FIDO ou les ordinateurs avec lesquels elles sont enregistrées. Ils sont donc conformes au RGPD.
En dehors de la connexion à mon compte Joomla, à quoi d'autre puis-je utiliser ma clé WebAuthn FIDO2 ?
Il existe littéralement des milliers de sites Web qui utilisent ce type de système de connexion sécurisé. Joomla étant le meilleur, bien sûr. Voici quelques-uns de la liste de sites Web et d'applications de Yubico qui prennent en charge les protocoles WebAuthn FIDO2.
Authentification unique dans le cloud
Connexion instantanée sécurisée à des millions de sites et d'applications.
Gestionnaires de mots de passe
Protégez et gérez vos mots de passe sur Internet.
Protégez les données personnelles et sensibles dans votre boîte de réception.
Des médias sociaux
Protégez votre réputation en sécurisant vos profils sociaux.
Jeux
Gardez votre équipement et votre réputation durement gagnés entre de bonnes mains.
Outils de développement
Protégez votre code et votre propriété intellectuelle contre les pirates.
Stockage en ligne
Stockez en toute confidentialité des photos et autres fichiers sensibles en ligne.
Monnaie cryptographique
Le moyen le plus sûr de stocker votre crypto-monnaie sur un échange.
Accès informatique
Empêchez l'accès non autorisé à votre ordinateur hors ligne.
Vous pouvez même utiliser votre clé WebAuthn FIDO2 pour accéder à votre compte Tesla !
Conclusion
Comme pour toute technologie émergente ou en développement, il existe de nombreux conseils contradictoires sur Google. Une grande partie est maintenant ancienne, obsolète et insignifiante. Si vous cherchez à vous connecter à vos sites Web et applications en toute sécurité, prenez le temps de trouver les informations les plus récentes, du moins en ce qui concerne la compatibilité.
Je pense que toute avancée technologique qui aide à garder vos activités en ligne sûres et sécurisées est un bonus. Surtout quand nous sommes si inutiles pour nous protéger avec des mots de passe forts. Cela me rappelle l'expression sur le visage de mes clients lorsque je remets les informations de connexion à leurs nouveaux sites Web. C'est à ce moment-là qu'ils réalisent qu'ils ne peuvent pas utiliser « fred123 » comme mot de passe !
Personnellement, j'utilise toujours des mots de passe forts et très oubliables, mais je suis sûr que je suis en minorité. Donc, cette nouvelle fonctionnalité qui permet une connexion sécurisée à votre compte Joomla est géniale. Tout ce qui supprime le phishing, l'enregistrement des clés et réduit les attaques par force brute de l'équation est cool pour moi. Ne perdez pas votre clé !
Du point de vue d'un développeur, ce serait également une bonne idée d'inclure quelques clés FIDO2 déjà enregistrées sur le site Web Joomla lorsque vous les remettez à votre client. Si vous faisiez cela, il ne serait même pas nécessaire de donner un mot de passe. Bien qu'ils puissent toujours en générer un eux-mêmes via la fonction de mot de passe perdu de Joomla s'ils en avaient besoin pour une raison quelconque.
Maintenant que l'API WebAuthn est incluse dans les fonctions principales de Joomla, je vais certainement l'utiliser comme option pour me connecter à tous mes sites Web Joomla 4, ainsi qu'aux sites Web de mes clients. Il n'y aura plus de recherche de la dernière version d'un mot de passe oublié depuis longtemps sur l'un des nombreux disques durs.
Enfin, un grand merci à Nicholas d'Akeeba pour sa perspicacité et ses informations concernant cette nouvelle fonctionnalité Joomla.
