Qwertyuiopasdfghjklzxcvbnmqwerty

uiopasdfghjklzxcvbnmqwertyuiopasd
fghjklzxcvbnmqwertyuiopasdfghjklzx
cvbnmqwertyuiopasdfghjklzxcvbnmq
Joomla! Dvostruka Autoindentifikacija
wertyuiopasdfghjklzxcvbnmqwertyui
opasdfghjklzxcvbnmqwertyuiopasdfg
hjklzxcvbnmqwertyuiopasdfghjklzxc
vbnkjkhjjassefgtzhtjhzitewersmxqw
Two Factor Authentication (TFA)

2/27/2015
akarlovic

ertyuiopasdfghjklzxcvbnmqwertyuio
pasdfghjklzxcvbnmqwertyuiopasdfgh
jklzxcvbnmqwertyuiopasdfghjklzxcv
bnmqwertyuiopasdfghjklzxcvbnmqw
ertyuiopasdfghjklzxcvbnmqwertyuio
pasdfghjklzxcvbnmqwertyuiopasdfgh
jklzxcvbnmqwertyuiopasdfghjklzxcv

Sadraj
Sustav dvostruke Joomla! autoindentifikacije................................................................................................... 3
Ukratko o sustavu dvostruke autoindentifikacije.......................................................................................... 3
Mobilna dvostruka autoindentifikacija ......................................................................................................... 3
Nedostaci mobilnih telefona kod dvostruke autoindentifikacije: ................................................................. 4
Prednosti mobilnih telefona kod dvostruke autoindentifikacije: .................................................................. 4
Upute za koritenje dvostruke autoindentifikacije u Joomla! administraciji ................................................ 5
Mogui naini autoindentifikacije u Joomla CMS-u ...................................................................................... 5
Google Chrome Authenticator ...................................................................................................................... 5
Google Authenticator .................................................................................................................................... 7
Korak 1 - Preuzmi Google Authenticator ................................................................................................... 7
Korak 2 - Podeavanje .............................................................................................................................. 7
Yubikey .......................................................................................................................................................... 8
Podeavanje Yubikey ................................................................................................................................. 8
Jednokratne Yubikey lozinke za hitne sluajeve ........................................................................................ 8
Moram li koristiti sustav autoindentifikacije s tajnim kljuem? .................................................................... 8
Koliko traje podeavanje rauna na novi nain prijave? ............................................................................... 8
to kad imam vie korisnikih rauna? .......................................................................................................... 9
Nemam Yubikey USB a elio bih to koristiti .................................................................................................. 9
to ako se moram logirati, a kod sebe nemam mobitel ili Yubikey USB? ..................................................... 9
to ako se moram logirati, a kod sebe nemam mobitel, Yubikey USB ni spremljene lozinke?..................... 9

besplatan i moan CMS sistem

sa dvostrukom autoindentifikacijom

Sustav dvostruke Joomla! autoindentifikacije

Ukratko o sustavu dvostruke autoindentifikacije
Dvostruka autoindentifikacija daje nedvosmislenu identifikaciju svakog pojedinog korisnika pomou
kombinacije dviju meusobno razliitih komponenti. Ove komponente mogu biti neto to korisnik ima kod
sebe, neto to je neodvojivo od korisnika ili neto to korsnik zna.
Dobar primjer iz svakodnevnog ivota je koritenje bankomata. Samo ispravna kombinacija bankovne
kartice (neto to korisnik posjeduje) i PIN-a (osobni identifikacijski broj, odnosno neto to korisnik zna)
omoguuje da se ta transakcija uspjeno provode. Dvostruka autoindentifikacija je jedna vrsta kontrole
pristupa koju korisnik mora uspjeno proi. Sastoji se od nekoliko kontrola najee dvije do tri:
Neto to se pamti poput na primjer lozinke
Neto to se posjeduje na primjer kartice ili USB kljua
Neto neodvojivo od korisnika poput neeg to ima samo korisnik npr otiska prsta, zjenica oka, boja
glasa i slino.

Dvostruke dakle autoindentifikacije se meusobno povezuju i zahtijevaju unos vie od jednog imbenika,
najee dva do tri, to poveava sigurnost pristupa odnosno potekoe lanim ili neeljenim pristupima.

Mobilna dvostruka autoindentifikacija

Danas svakodnevni dio dvostruke autentinosti je neto to sam korisnik posjeduje. Kao nedostatak toga je
da sam korisnik sa sobom u svakom trenutku mora nositi USB stick, karticu, mobitel i slino. Ako se izgubi,
bude ukradeno ili jednostavno korisnik zaboravi ponjeti sa sobom pristup bez toga nije omoguen.
Osim toga korisniku stvaraju dodatne trokove oko nabavke na primjer USB-a ili kljua koja je donekle
smanjena koritenjem pametnih telefona unutar kojih se instaliraju najee potpuno besplatne, a
istovremeno vrlo uinkovite i funkcionalne aplikacije. Tu na scenu stupa danas svakodnevan i nezaobilazan
kompromis upotrebljivosti neeg i same sigurnosti upotrebe neega.
Mobiteli su danas svakodnevna uobiajena stvar koju svi mi koristimo sve vie i vie. U dvostrukoj se
autoindentifikaciji koriste kako bi izbjegli trokove izdavanja USB ureaja ili posebnog kljua. Koritenjem
aplikacije koja prikazuje lozinku najee brojanu na mobilnom telefonu ime se potvruje sama
autentinost tako da korisnik uz telefon moe koristiti svoj pristup neemu.
Kod te lozinke ovisno o aplikaciji moe biti kada treba poslan na SMS, email ili se prikae na zaslonu neke
mobilne aplikacije. Prednost ove metode je da nema potrebe za dodatnim ureajem, a kako korisnici imaju

danas naviku svuda nositi svoje mobilne ureaje pokazalo se kao vrlo prihvatljivo rjeenje koje ne stvara
poseban troak jer mobitel ionako ve imaju svi.
Prilikom upotrebe mobilnog telefona je poeljno da isti ima jednokratnu lozinku za pristup ime se
izbjegava koritenje svih ili samo odreenih aplikacija. Aplikacije funkcioniraju na nain da se lozinka nakon
odreenog vremena brie i zamjenjuje novom pa novom pa novom tako da se koritena kombinacija ne
moe koristiti dva puta, a kao dodatna se sigurnost moe staviti ukoliko se pokae potrebnim i da se nakon
odreenog broja unosa blokira pristup.

Nedostaci mobilnih telefona kod dvostruke autoindentifikacije:

Korisnik mora instalirati aplikaciju i pritom djeliti broj s samim posluiteljem aplikacije to donekle
smanjuje privatnost
Mobilna baterija mora biti puna
Mobitel mora biti na dostupnom signalu
Izgubi li se ili bude ukraden ponekad je onemoguen pristup
SMS poruke ponekad stvaraju poseban troak ovisno o davatelju usluga
Upotebom aplikacije u roamingu troak soajanja se poveava

Prednosti mobilnih telefona kod dvostruke autoindentifikacije:

Moete unutar same aplikacije koristiti vie korisnikih rauna
Nema potrebe za nabavkom dodatnih tokena ili USB-a
Lozinke se na mobitelima unutar aplikacije stalno mijenjaju pa su time i sigurnije od onih fiksnih
statinih
Mogue je ovisno o aplikaciji da sami odredite broj pokuaja netonih pristupa
Kako su mobiteli najee uvjek sa vama aplikacija za pristup vam je uvijek dostupna
Bude li ukraden mobitel ima svoju lozinku za pristup to onemoguuje upotrebu aplikacije
Mobitel danas u sluaju da bude ukraden ili zaboravljen/izgubljen moete locirati sa velikom
preciznou za razliku od USB-a ili posebnog kljua

Upute za koritenje dvostruke autoindentifikacije u Joomla! administraciji

Napomena: Svi ovdje objavljeni podaci (kljuevi i nazivi rauna i sl.) su samo primjer vai toni i jedinstveni
podaci (Raun i Klju) za Google Authenticato, Yubikey ili neku kompatibilnu aplikaciju se nalaze unutar
vaeg joomla korisnikog rauna.
Dakle u administraciji idete:
Korisnici >> Upravljanje korisnicima >> Odaberete svoje korisniko ime >> Dvostruka autentifikacija
>>
Tu vam se sada otvara mogunost podeavanja vae eljene osobne autoindentifikacije.

Mogui naini autoindentifikacije u Joomla CMS-u

Google Chrome Authenticator
Google Chrome Authenticator
YubiKey sigurni hardverski token

Google Chrome Authenticator

Za Google Chrome Authenticator trebate kao to i sam naziv govori web preglednik Google Chrome,
besplatan je kao i sam Google Chrome Authenticator kojeg preuzmete u nekoliko klika miem. Za to vam
naravno raunalo treba biti spojeno na internet. Znai kao proirenje preuzmete Chrome Authenticator pa
se prijavite u svoj administratorski dio stranice. Nakon uspjene prijave korisnikim imenom i lozinkom
krenete na upravljanje svojim korisnikim raunom gdje odaberete s desne strane natpis: Dvostruka
auroindentifikacija. U tom djelu vam se nalazi opcija na kojoj odaberete kao nain autoindentifikacije:
Google autoindentifikator. Na dijelu Korak 2 nalaze se vai sljedei podaci:
Raun: primjer@primjer.com
Klju: MSWRASRDCWNHVWQJ

Ostanite prijavljeni u administraciji i na djelu korisnikog rauna Dvostruka auroindentifikacija. Na taj ete
nain bre upisati dobiveni kod autoindentifikacije. Raun je va email njega vjerojatno znate napamet, a
Klju kopirajte u meuspremnik desnim klikom mia. Ovo kopiranje je bitno jer svaki put kad ponete
kliknati na neto drugo Chrome Authenticator se automatski vraa u stanje mirovanja pa morate pisati sve
iznova. Tako da kad otvorite Chrome Authenticator upiete email i copy paste odmah unesete Klju.
Kad unesete ime i klju sustav vam odmah daje prvi Sigurnosni kod od est znamenki koji upiete na
podruku Korak 3 na stranici moe pisati i Step 3 tako da vas to ne buni. I to je to.
Uspjeno ste aktivirali Google Authenticator koji moete koristiti i na Google Chrome i na Google
Authenticator aplikacijama za pametne telefone (Android, iOS i BlackBerry).

Nakon unaanja Sigurnosnog koda Korak 3 ili Step 3 nestaje i javlja se dio pod nazivom Jednokratne
lozinke za hitne sluajeve (vidi objanjenje u nastavku).

Google Authenticator
Ova funkcionalnost omoguuje vam da koristite Google Authenticator, ili kompatibilnu aplikaciju, za
dvostruku autentifikaciju. Pored vaeg korisnikog imena i lozinke trebate upisati i sigurnosni kod od est
znamenaka kojeg generira Google Authenticator kako bi se mogli prijaviti na site. Sigurnosni kod se rotira
svakih 30 sekundi. Ovo prua dodatnu zatitu od prijave hakera na va korisniki raun ak i ako imaju vau
lozinku.

Korak 1 - Preuzmi Google Authenticator

Preuzmi i instaliraj Google Authenticator ili kompatibilnu aplikaciju, na svom pametnom telefonu ili
raunalu. Koristi jedno od sljedeeg (mogue klikom na link):
Slubena Google Authenticator aplikacija za Android, iOS i BlackBerry
Kompatibilni klijenti za druge ureaje i operativne sustave (navedeni na Wikipedia)
Ne zaboravite sinkronizirati sat vaeg ureaja s vremenskim serverom. Pomak
vremena u vaem ureaju moe uzrokovati nemogunost prijave na web.

Korak 2 - Podeavanje
Morate unijeti sljedee podatke na Google Authenticator ili kompatibilnu
aplikaciju.
Raun: primjer@primjer.com
Klju: MSWRASRDCWNHVWQJ
Ako elite promijeniti klju, onemoguite dvostruku autentifikaciju. Kada
ponovno pokuate omoguiti generirati e se novi klju.

Prilikom svake prijave morate unijeti:

Korisniko ime:
Lozinku:

antuntun

************

Tajni klju:

001 002

Ne zaboravite: Tajni klju prikazuje se unutar mobilne aplikacije (vidi primjer desno) koju ste instalirali na
svoj pametni telefon (Android, iOS i BlackBerry) ukoliko ga ne ukucate unutar 30 sekundi klju se mijenja
novim. Na primjer kao kod ZABA tokena.
Sve mobilne aplikacije zbog vae sigurnosti preuzimajte samo sa slubenih web servisa za va ureaj.

Yubikey
Ova funkcionalnost omoguuje vam da koristite YubiKey sigurni hardverski token za dvostruku
autentifikaciju (slika desno). Pored vaeg korisnikog imena i lozinke, takoer morate umetnuti svoj
YubiKey u USB prikljuak na raunalu, kliknuti u podruje Tajni Klju i dodirnuti zlatni disk YubiKey ureaja.
Sigurnosni kd generiran od strane vaeg YubiKey ureaja je jedinstven za va ureaj i stalno se mijenja.
Ovo prua dodatnu zatitu od prijave hakera na va korisniki raun ak i ako imaju vau lozinku.

Podeavanje Yubikey
Umetnite va YubiKey ureaj u USB prikljuaj raunala. Kliknite na polje Sigurnosni
kd ispod. Zatim dodirnite zlatni disk na svom YubiKey ureaju jednu sekundu.
Nekon toga, spremite svoj korisniki profil. Ako je kd generiran od strane vaeg
YubiKey potvren od strane YubiCloud servisa, dvostruka autentifikacija e biti
omoguena i ovaj YubiKey e biti povezan s vaim korisnikim raunom.

Jednokratne Yubikey lozinke za hitne sluajeve

Ako nemate pristup vaem ureaju za dvostruku autentifikaciju, moete koristiti
neku od sljedeih lozinki umjesto uobiajenog sigurnosnog koda. Svaka od ovih lozinki za hitne sluajeve
automatski se brie nakon koritenja. Preporuujemo da ispiete ove lozinke i uvate ispis na sigurnom i
dostupnom mjestu, npr. vaem novaniku ili sefu.

Moram li koristiti sustav autoindentifikacije s tajnim kljuem?

Ne morate koristiti, sustav je ugraen no ako ga ne aktivirate za svoj korisniki raun prijava e funkcionirati
sa minimalnom zatitom samo s vaim korisnikim imenom i lozinkom (slika desno). Naravno preporuljivo
je koritenje i polja sa unosom Secret Key isto iz sigurnosnih razloga (hakiranje i slino).

Koliko traje podeavanje rauna na novi nain prijave?

Podeavanje korisnikog rauna traje svega nekoliko minuta, opisano je u poetku, a kasnije je razlika u
brzini prijave gotovo pa jednaka.

to kad imam vie korisnikih rauna?

Preporuljivo je da svi ponu koristiti sustav autoindentifikacije. Ako imate 10 administratora a sustav
koristi na primjer samo njih 8 postotak sigurnosne zatite vae administracije a time i cijelog weba se
smanjuje, nije uinkovit kao to je planirano.

Nemam Yubikey USB a elio bih to koristiti

USB nije besplatan, moete ga preko nas ili samostalno naruiti
preko slubene web stranice https://www.yubico.com

to ako se moram logirati, a kod sebe nemam

mobitel ili Yubikey USB?
Ako nemate pristup vaem ureaju za dvostruku autentifikaciju,
moete koristiti neku od prikazanih lozinki umjesto uobiajenog
sigurnosnog koda. Svaka od tik lozinki za hitne sluajeve automatski
se brie nakon njenog koritenja. Preporuujemo da isprintate ove lozinke i uvate ispis na sigurnom i
dostupnom mjestu, npr. vaem novaniku ili u sefu te ih koristite bude li potrebe.

to ako se moram logirati, a kod sebe nemam mobitel, Yubikey USB ni spremljene
lozinke?
Ne moete se logirati ako je bilo koja od opcija ukljuena, a nemate sve potrebne podatke i/ili ureaje.
Vie sree drugi puta stranica se unitava nakon 3 bezuspjena pokuaja!
Ne brinite to je samo mala ala
Ako se to kojim sluajem desi zatraite od vaeg administratora/servisa odravanja privremeno
onemoguavanje vaeg sigurnosnog kljua.
Nakon toga bit e vam omoguen ulaz SAMO sa korisnikim imenom i lozinkom te sva poetna podeavanja
dvostruke autoindentifikacije trebate odraditi ispoetka. Ako u administraciji imate vie administratora
svaki onaj koji ima ovlasti ureivanja korisnikih rauna moe vam sa vaeg rauna ukloniti sustav dvostruke
autoindentifikacije.
I za kraj: Zahvaljujemo na ukazanom povjerenju, UPAMTITE ovaj opisani sustav vas titi od hakiranja samo
ako ga ukljuite na SVIM raunima za ulaz u administraciju, elimo vam ugodno i sigurno koritenje vaih
web stranica za sve mogue potekoe ili greke u sustavu javite se sa svojim kontakt podacima. Treba nam
SAMO vae korisniko ime i domena, vau korisniku lozinku nikad od vas neemo traiti niti nam je ista
potrebna.

Antun Karlovi
antun.karlovic@gmail.com

Joomla! besplatan i moan CMS sistem sa dvostrukom autoindentifikacijom