Plugins para incluir doble autenticación en los principales CMS


Share on FacebookTweet about this on TwitterShare on LinkedInEmail this to someoneShare on Google+

Uno de los sistema para incrementar la seguridad de los servicios web que se ha impuesto en los últimos años, por su eficacia y facilidad de uso, es el de la verificación o autenticación en dos pasos. En nuestro artículo de hoy, explicamos en qué consiste la doble autenticación y cómo implantarla  fácilmente a través de los plugins y extensiones que tenemos en los principales gestores de contenidos o CMS. ¡Veamos cuáles podemos utilizar en función del gestor de contenidos que tengamos!

¿Cuál es el funcionamiento de este sistema de seguridad realmente? La autenticación en dos pasos consiste en pedirnos un código que llega a nuestros móviles, ya sea por SMS o como notificación en las apps, al tratar de iniciar sesión. Mediante este procedimiento, evitamos que otras personas puedan acceder sin permiso a nuestra cuenta de usuario si averiguan la contraseña. La mayoría implementa el dispositivo como tercer elemento de autenticación (token físico), lo que lo vincula más al usuario real y no a un interceptor. Esto es posible hacerlo en nuestros sitios web creados con un CMS, como WordPress, Joomla!, Prestashop, etc., a través de plugins o extensiones y agregarle, de esta manera, un nivel extra de seguridad, especialmente, cuando queremos proteger los paneles de administración de nuestro proyecto web.

Doble autenticación en WordPress

  • Duo Two-Factor AuthenticationTan solo deberemos crear una cuenta gratuita, obtener la API Key, instalar el plugin, vincular la API key que hemos conseguido y seleccionar a qué tipo de usuarios se les solicitará la verificación en dos pasos (administradores, autores, comentaristas, etc.). Solamente siguiendo estos pasos, cuando los usuarios se identifiquen, se les pedirá la verificación (SMS, popup, password) a través de la app de Duo para móviles. El servicio es gratuito hasta 10 usuarios. A partir de ese número, nos cobrarán 1$ por usuario adicional.

  • ClefA través de una app para el móvil, cuando iniciemos sesión en WordPress y previa instalación de su plugin, presionaremos un nuevo botón que aparecerá en la parte inferior con el nombre de Log in with your phone. A continuación, tendrás que escanear con tu móvil (desde la propia app Clef) la onda animada que se muestra en la pantalla del ordenador. Entonces, el dispositivo móvil establecerá conexión con el escritorio y podrás iniciar la sesión segura.

  • Two Factor AuthUtilizando el algoritmo TOTP/HOTP, Two Factor Auth permite identificarse con un código creado aleatoriamente que se encarga de generar One Time Passwords, que son claves con caducidad que se generan cada cierto tiempo para crear nuevas claves. Estas se pueden enviar automáticamente, tras su generación, tanto vía email como a través de aplicaciones de terceros ofrecidas para dispositivos móviles por herramientas de seguridad como Duo Mobile y Google Authenticator.

Doble autenticación en Joomla!

El propio factor doble de autenticación de Joomla! fue el primer gran CMS en implementar un sistema de autenticación en su configuración estandár, sin plgins ni extensiones opciones. Esto agrega un código de un solo uso enviado a tu teléfono inteligente o una Yubikey para tus contraseñas existentes para hacer que tu sitio tenga una prueba extra contra los hackers.

Tradicionalmente, cuando se inicia sesión en un sitio web, tienes que proporcionar tu nombre de usuario y tu contraseña para identificarte ante el sistema. El mayor problema con este enfoque es que tu nombre de usuario y contraseña pueden ser robados o adivinados. Por ejemplo, si tu equipo está infectado con malware o intentas obtener acceso a tu sitio desde una red de confianza, tales como una conexión de wi-fi pública, es posible que alguien pueda interceptar tu nombre de usuario y contraseña. Esto significa que puede iniciar sesión en tu sitio con tus credenciales, lo que se traduce en que tu sitio puede ser hackeado.

Con el fin de evitarlo, Joomla! 3.2.0 y versiones posteriores vienen con un sistema incorporado de autenticación de factor doble, que asegura el inicio de sesión en tu sitio con un código secreto secundario de un solo uso. Esto se llama Two-Factor Authentication o acortado a 2FA.

La primera vez que vas a instalar Joomla! 3.2 o superior y tienes acceso a tu servidor, verás un aviso sobre en los mensajes de postinstalación:

  • Two Factor AuthenticationSi queremos optar por un plugin, también podemos trata de un plugin desarrollado por Ready Bytes Software Labs Pvt. Ltd., que está disponible gratuitamente para Joomla! 2.5.x y Joomla! 3.1.x respectivamente, que permite implementar esta seguridad “adicional” de forma sencilla, poco intrusiva y sin modificar demasiado las pautas de acceso a los sitios web administrados con Joomla!.  Este plugin destaca por las siguientes características: dos pasos de configuración configurables con Google Authenticator, verificación con un código de barras, con clave, copia de seguridad de los códigos, inicio de sesión con autenticación de dos pasos.

Doble autenticación en PrestaShop

    • Autenticación de doble factor para back office. Esta extension de pago para PrestaShop usa la autenticación de doble factor de Google para proteger las cuentas administrativas usando un  smartphone. Mantiene seguras las credenciales del back office, incluso al iniciar sesión desde redes públicas o inseguras, mediante la doble autenticación durante  login del back office de la tienda. Estas son las principales características:
      1. Con el, puedes sincronizar tu teléfono iPhone o Android con tu cuenta del back office y usar la aplicación móvil gratuita de Google Authenticator para generar códigos únicos de un solo uso, los cuales ingresas, junto con tu contraseña, cada vez que entras.
      2. De esta forma, aunque tu contraseña sea robada, interceptada o adivinada, nadie más podrá acceder a tu cuenta sin tener acceso a tu teléfono.
      3. Incrementa la seguridad de tu administración de PrestaShop.
      4. Usa la misma autentificación de doble factor que utiliza Google para proteger sus cuentas de usuario, y agrega una capa extra de seguridad a tu back office.
      5. Aunque tu contraseña sea robada, nadie más puede acceder a tu cuenta sin tener acceso a tu teléfono smartphone.
      6. La aplicación móvil de Google Authenticator para iPhone y Android es gratuita, y también puedes usarla para tus cuentas de Google. Soporta autenticación tanto basada en tiempo (TOTP) como en contador (HOTP).

Share on FacebookTweet about this on TwitterShare on LinkedInEmail this to someoneShare on Google+