Sécuriser son site Joomla en 2 étapes avec une clé de sécurité Yubikey

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Sécuriser son site Joomla en 2 étapes avec une clé de sécurité Yubikey

    Avé la communauté,

    Y'en a t'il parmi vous qui utilisent la double authentification avec le plugin (intégré) Yubikey pour se connecter au Backend ?

    Apprenez et maîtrisez le CMS Joomla grâce à cette base de connaissance Joomla 3 et Joomla 4 contenant une centaine de tutoriels gratuits et en français


    Des difficultés, de la joie ... ?


    En vous remerciant.
    J'ai bien goûté des substances amères
    et nulle ne l'est plus que l'eau de mer,
    c'est pour cela que je préfère la bière

  • #2
    Personnellement je l'ai utilisée sur un site de test; C'est assez simple à mettre en place, la seule chose très importante, c'est de bien noter les "numéros de secours" très utiles en cas de souci.
    Toutefois pour le même usage je préfère l'extension Akeeba Loginguard https://www.akeebabackup.com/products/loginguard.html que je trouve plus complète et plus agréable.
    Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.
    Confucius

    Commentaire


    • #3
      Envoyé par lesoutier Voir le message
      Personnellement je l'ai utilisée sur un site de test; C'est assez simple à mettre en place, la seule chose très importante, c'est de bien noter les "numéros de secours" très utiles en cas de souci.
      Toutefois pour le même usage je préfère l'extension Akeeba Loginguard https://www.akeebabackup.com/products/loginguard.html que je trouve plus complète et plus agréable.
      J'avais suivi une longue discussion entre Nicolas (créateur d'akeeba) et Brian au niveau de la sécurité liée à la double authentification (je n'ai pas retrouvé pour l'instant, mais, c'était virulent). Le souci était, entre autres, que, si on entre dans la base de données Joomla, dans la table users, les informations optKey/otep peuvent être supprimées, inhibant cette fonctionnalité. Il y avait aussi un souci de cryptage des données.

      L'avantage de login guard est d'avoir externalisé cette fonction. Donc, oui, c'est plus "secure". De plus, la saisie de la double identification n'apparaît qu'après login (sinon, cela perturbe certains utilisateurs cette zone inutilisée uniquement par les admin).

      Pascal
      If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

      Commentaire


      • #4
        J'ai retrouvé la discussion : https://github.com/joomla/joomla-cms/issues/20373

        Nicholas est en colère.

        Pascal
        If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

        Commentaire


        • #5
          Nicholas est en colère.
          Ce n'est pas inhabituel chez lui. Je me souviens d'une discussion sur l'obligation de mettre un fichier index.html dans chaque répertoire, discussion dans laquelle il était assez énervé aussi.
          D'un autre coté je le comprends un peu.
          Dernière édition par lesoutier à 01/11/2018, 12h25
          Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.
          Confucius

          Commentaire


          • #6
            Juste pour info, login guard ne semble pas fonctionner avec Joomla 3.9 : j'ai un message "trop de redirection" si je me loggue en front end dès que j'active le plugin "Système - consentement à la politique de confidentialité" sur mon environnement local

            A suivre....

            Pascal
            If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

            Commentaire


            • #7
              Je ne l'utilise que pour l'admin et pas de problème.
              Par contre il y a une version 3.0.2 qui date apparemment d'hier.
              Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.
              Confucius

              Commentaire


              • #8
                Envoyé par lesoutier Voir le message
                Je ne l'utilise que pour l'admin et pas de problème.
                Par contre il y a une version 3.0.2 qui date apparemment d'hier.
                C'est effectivement cette version que j'ai testée.

                En regardant le commentaire sur cette extension, "pas de support sur cette extension, si cela ne fonctionne pas, faites le vous-même" (traduit à la louche), je vais regarder.

                Je pense que le plugin Privacy et le plugin Guard essaient de passer l'un avant l'autre et réciproquement.

                Pascal
                If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                Commentaire


                • #9
                  J'ai fait une modif. sur LoginGuard (https://github.com/akeeba/loginguard/pull/56), on verra si Nicholas l'apprécie car je laisse la priorité au plugin Joomla de consentement.

                  Dans la mesure où les 2 plugins s'ignoraient, il a fallu faire un choix (sachant que, dès qu'il s'agit de problème d'extensions externes, l'équipe de développement Joomla botte en touche) et je désactive la 2eme validation le temps de valider la politique de confidentialité. Cela affiche son profil de l'utilisateur avec un petit risque qu'il casse autre chose que la politique de confidentialité.

                  Pascal
                  If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                  Commentaire


                  • #10
                    Comme prévu, Nicholas n'a pas aimé ma façon de faire.

                    Le commentaire sur sa modification vous dit tout sur sa guerre : https://github.com/akeeba/loginguard......development

                    Bientôt, une nouvelle version. 3.0.3.

                    Bonne nuit,

                    Pascal
                    If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                    Commentaire

                    Annonce

                    Réduire
                    Aucune annonce pour le moment.

                    Partenaire de l'association

                    Réduire

                    Hébergeur Web PlanetHoster
                    Travaille ...
                    X