La seguridad en Joomla se ha ido reforzando a lo largo del tiempo y, en la versión 4 del CMS, disponemos de una opción más: la Autenticación Web o WebAuthn.
En este artículo te voy a enseñar en qué consiste esta técnica y cómo activarla para todos tus usuarios.
Opciones de seguridad en Joomla
Como te decía, en Joomla se han ido implementando constantemente opciones de seguridad. Entre ellas, destacamos las siguientes:
- ACL o niveles de acceso: una funcionalidad que lleva presente en Joomla desde hace muuucho tiempo y que le da mil vueltas a las de otros CMS. Con ella puedes hacer prácticamente lo que necesites en cuanto a los permisos de nivel de acceso; es decir, qué pueden o no hacer los usuarios que pertenezcan a los diferentes grupos de usuario.
- Opciones de contraseña: desde la configuración de usuarios puedes configurar la forma en la que tienen que crear su contraseña aumentando el grado de complejidad de la misma.
Puedes ver más información en el siguiente artículo: Opciones de configuración en la creación de cuentas de usuario Joomla. - Refuerzo de algoritmos de encriptación: la forma en que Joomlma almacena las contraseñas en su base de datos utiliza algoritmos hash más fuertes.
- Autenticación de dos factores (2FA): disponible desde la versión 3.2 de Joomla. Necesitarás de otro dispositivo o aplicación para poder acceder. Esto es, cuando intenas conectarte, te pedirá una "nueva clave" (reconocimiento de rostro o voz, biometría de comportamiento, huella digital, retina o escaneo del iris) desde la aplicación, móvil, usb que tengas configurado. De esta forma se garantiza que eres tú el que está accediendo.
No obstante, aún con todas estas opciones, la seguridad de tu sitio se puede ver comprometida ya que no siempre los usuarios ponen contraseñas seguras (de ahí que configures bien el punto 2 del listado anterior).
En cuanto a la autenticación de dos factores, puede llegar a tener algún que otro problemilla como si pierdes tu teléfono móvil, por ejemplo. En este caso no podrías acceder a la web en cuestión.
Debido a estos problemas, nace WebAuthn o autenticación web (que, además, es un estándar de la W3C).
Qué es WebAuthn o autenticación web
Básicamente, el navegador genera dos números muy largos que están entrelazados matemáticamente, llamados clave pública y clave privada (en conjunto, un par de claves ).
La clave pública se entrega al servidor.
Cuando un usuario decide iniciar sesión, el servidor enviará una parte de los datos generados aleatoriamente al navegador y los recordará. Luego, el navegador usa la clave privada para codificarla y enviarla al servidor para descifrarla. Verifica que los datos descifrados coincidan con los que recordaba y, si los datos descifrados coinciden, iniciará sesión.
WebAuthn se considera lo más parecido a "imposible de hackear" que podemos obtener con la tecnología moderna. No solo es el reemplazo de contraseñas, también está diseñado para solucionar el problema que hay con las contraseñas normales.
Requisitos de WebAuthn
Para que esta tecnología funcione, necesitamos lo siguiente:
- Plugin de sistema Joomla: inicio de sesión sin contraseña de WebAuthn
- Servidor seguro, SSL: tu web tiene que tener instalado un certificado válido para acceder vía https
- Navegadores y plataformas compatibles: actualmente WebAuthn es compatible con los navegadores web Google Chrome, Mozilla Firefox, Microsoft Edge y Safari, así como con las plataformas Windows 10 y Android.
- Un autenticador: que puede ser integrado o llaves de hardware seguras.
Cómo activar WebAuthn en Joomla4
Te muestro a continuación los pasos a seguir.
1/ Habilitar el plugin de sistema
Por defecto viene habilitado, pero sino, tienes que habilitarlo.
El plugin no tiene ningún parámetro de configuración.
2/ Acceder a la web con tus datos
Tienes que conectarte a la web con tus datos de acceso habituales (usuario y contraseña) y luego ir a tu perfil.
Como puedes ver en la imagen anterior, aún no hay ningún autenticador configurado.
Configurar autenticador</`>
Edita tu cuenta o tu perfil desde el enlace indicado.
Como puedes ver en la captura tienes disponible un botón (en este caso de color verde) que se llama "Añadir nuevo autenticador".
Si haces clic en él te aparecerá lo siguiente (dependerá del sistema operativo y navegador que estés utilizando; para este ejemplo estoy utilizando Win10 + Firefox):
Una vez sigas los pasos indicados (ya te digo que depende del sistema operativo y navegador) ya estarás en disposición de acceder a la web sin necesidad de usar la contraseña.
Iniciar sesión
Para acceder a la web ahora solo bastará con poner tu nombre de usuario y hacer clic en el botón de "Autenticación web".
El navegador te pedirá que selecciones y actives tu autenticador. Y listo...
Observaciones finales
Todo lo que tiene que ver con seguridad es muy importante. Cada vez más.
Aunque este tipo de técnica es importante tenerla, no es para todos los públicos. Como sabes, hay usuarios que no tienen tanta pericia con la tecnología y estas cosas se les atragantan. Ten en cuenta esto a la hora de habilitar determinadas funcionalidades. No des al usuario cosas que no va a poner hacer. No les compliques la vida.
Como autenticadores externos recomiendan el uso de la clave de seguridad NFC de Yubico.
En un entorno local esto no te va a funcionar, así que si quieres hacer pruebas, crea un entorno en un servidor remoto o en la nube (donde tentas configurado https).
Creo que no se me olvida contarte nada más sobre qué es y cómo activar Autenticación Web (WebAuthn) en Joomla 4.
Si lo has probado o lo estás utiliznado, puedes contármelo en los comentarios.
Y si te ha gustado, puedes compartirlo ;-)
