Authentifizierung mit WebAuthn in Joomla 4.2

Solange die Validierung der Multi-Faktor-Authentifizierung noch nicht abgeschlossen ist, können die Benutzer nicht zu anderen Menüpunkten wechseln oder die Website nutzen. Dadurch wird die Multi-Faktor-Authentifizierung gegen Phishing geschützt. Außerdem ermöglicht sie interaktive Validierungsmethoden wie WebAuthn (einschließlich der Integration mit Windows Hello, Apple TouchID / FaceID und Android Biometric Screen Lock) oder beispielsweise den Versand von sechsstelligen Authentifizierungscodes per E-Mail. Beide dieser interaktiven, bequemen Methoden sind jetzt als Plugins verfügbar, die in Joomla mitgeliefert werden.

Bisher wurde darauf vertraut, dass ein Benutzerpasswort und im besten Fall auch der Benutzername Dritten nicht bekannt sind und somit ein nicht autorisierter Zugriff auf das System blockiert wird. Seit Joomla Version 3.2 ist eine Zwei-Faktor-Authentifizierung mit Joomla Bordmitteln möglich. Zur Verfügung standen bis dato dafür zwei Plugins: zum einen konnte der Google-Authenticator genutzt werden und als zweite Option bot sich der YubiKey Hardwareschlüssel an. Schnell entstanden für das CMS weitere 2FA-Plugins. Durch den zweiten Faktor wurde die Sicherheit erheblich verbessert.

Im Hauptmenü auf der linken Seite gelangst du über System auf Plugins.  Hier kannst du nach Plugin-Typ “multifactorauth” filtern oder “webauthn” in die Suche eingeben. Wobei die Suche dann das ältere 2FA- und das neue MFA-Plugin findet. Setze unter Status das Häkchen um das gewünschte Plugin zu aktivieren.

Als Nächstes wird der eigene Benutzer in der Benutzerverwaltung über Benutzer im Menü links ausgewählt. Im Tab Multi-Faktor-Authentifizierung wählst du Web-Authentifizierung hinzufügen aus. Anschließend klickst du auf Authentifikator registrieren

Nun kannst du je nach Betriebssystem des eigenen Rechners zwischen verschiedenen Möglichkeiten wählen. Darunter sind die Integration mit Windows Hello, Apple TouchID / FaceID und auch Android Biometric Screen Lock. Wähle deine präferierte Variante. Unter Multi-Faktor-Authentifizierung wird nun angezeigt, dass du WebAuthn eingerichtet hast. Abschließend fehlt nur noch die Validierung.

Nach einem vorherigen Abmelden aus dem Backend und dem erneuten Anmelden erscheint nach der Abfrage nach Benutzername und Passwort ein weiterer Schritt.

Folge den Anweisungen. Nach erfolgreicher Bestätigung ist das Backend wie gewohnt zu verwenden.

Mit der Multi-Faktor-Authentifizierung geht Joomla einen Schritt weiter. Jeder Benutzer kann selbst entscheiden, welchen Authentifizierungsmechanismus er nutzen will, um den Zugang zur Website oder Backend zu sichern. Der User kann selbst entscheiden, ob zur Authentifizierung neben Benutzername und Passwort nun WebAuthn, ein YubiKey, ein Verifizierungscode oder ein Code per E-Mail verwendet werden soll. Vorausgesetzt, der Administrator der Seite hat die entsprechenden Plugins aktiviert.

Joomla 4.2 wurde am 16. August 2022 veröffentlicht und ist zum Zeitpunkt des Artikels in der Version 4.2.2 verfügbar. Das Release enthält neben vielen Verbesserungen zwei große neue Funktionen: zum einen die oben angesprochene Multifaktor-Authentifizierung und zum anderen die neuen Tastenkombinationen.

Tastenkombinationen (Keyboard shortcuts)

Strg+C und Strg+V kennt vermutlich jeder Anwender eines PCs. Ähnliche Tastenkombinationen sind nun auch im Joomla Backend möglich. Derzeit sind neun Tastenkombinationen integriert, z. B. J + F, um in das Suchfeld zu springen, oder J + S, um zu speichern. Und die gute Nachricht ist, dass auch andere Erweiterungen ihre eigenen Tastenkombinationen hinzufügen können. Wenn man J + X drückt, erhält man eine Liste mit allen Tastenkombinationen. 

JoomlaDay 2022

Am 23. und 24. September trifft sich die Joomla-Community beim JoomlaDay in Bad Hersfeld. An beiden Tagen bieten zahlreiche Sessions und Workshops Gelegenheit zum Austausch. Buch jetzt dein Ticket!