Yubikey gebruiken in Joomla 4

-ik gebruik d laatste versie van Joomla $, dat zou dan op dit moment ersie 4,2,6 moeten zijn

-ik heb een Yubikey 5 gekocht om MFA voor o.a. Joomla 4 in te kunnen stellen. De plugin voor Yubikey staat standaard op 'aan' en je kan hem alleen 'uit' zetten, verder kan je er niets aan wijzigen. Uit beschikbare instructies die ik voor Joomla 3 heb kunnen vinden konje onder Joomla 3 daar meer zaken aanpassen, in Joomla 4 dus niet.

In Joomla 4 moet je per gebruiker 2FA eo MFA instellen. Je moet met het account zijn ingelogd waar je dat voor wilt realiseren, op zich logisch. Er bestaat ook een onderdeel waar je de Yubikey kan registreren (voor die gebruiker) maar daar is een bepaalde code voor nodig. Nergens wordt vermeld waar je dan die code vandaan zou moeten halen.

Onder het kopje 'W3C Web Authencation kan ik de sleutel wel registreren en moet ik bij het allereerste keer plaatsen zelf een pincode opgeven. Ik heb zelf een 6-cijferige pincode verzonnen, genoteerd en ingegeven. Die registratie wordt geaccepteerd echter nadien kan ik nog gewoon met naam en wachtwoord inloggen, de sleutel voegt dus helemaal niets toe.

Wie heeft er een volledige handleiding voor registratie en gebruik van een Yubikey 5 NFC voor Joomla 4.

Ik hoop snel op een positieve reactie.

Grtzzz

Aangezien dat je deze extensie hebt gekocht mag je verwachten dat de makers een handleiding hebben, of problemen verhelpen.
Probeer het dus even bij de makers.
www.yubico.com/support-services/

Die vraag heb ik inmiddels ook bij de leverancier gedropt en het is wachten op een volledige reactie.

Als ik die ontvang zal ik het ook hier ventileren, dat was mijn uiteindelijke doel want op dit moment is er maar lastig info over te vinden.
Grtzzz

Heb je dit ook doorgelezen?

Niet dat exacte artikel maar wel een soortgelijk. Hier wordt ook exact de route beschreven die ik zelf al had toegepast. Het bijzondere is dan echter dat je weliswaar na de registratie kan inloggen met de yubikey, maar ook niet steeds met alleen naam en wachtwoord en DUS ZONDER YUBIKEY. Dan heb ik op termijn dus wel het gemak dat ik wachtwoordvrij kan gaan inloggen via de sleutel maar op veiligheidsniveau ben ik niets opgeschoten. Het is toch wat betreft extra beveiliging dat alleen de houder van een geregistreerde sleutel kan inloggen.

Ik heb ook vanaf een andere pc proberen in te loggen met alleen naam en wachtwoord. En dat lukt dan nog steeds zonder extra sleutel.

Ook van de leverancier had ik een soortgelijke manual ontvangen en die heb ik inmiddels ook mijn ervaringen doorgegeven. Er zit in Koomla nog een optie dat je de yubikey als 'yubikey' kan registreren maar dan moet de key tijdens het registratieproces zelfstandig een unieke code produceren cq ophalen bij de Yubicom-server maar dat gebeurt ook niet. Het lijkt dus niet volledig te functioneren of het registratieproces lijkt niet volledig. Ik wacht het nog af waar de engineers mee komen.

Hallo Astrid,

ik heb een antwoord ontvangen van het verkooppunt van de Yubikey en dat antwoord is blijkbaar gegeven door een vertegenwoordiger van Yubicom. Het komt er op neer dat ze aan opensource-projecten ondersteuning geven aan deskundigen van bepaalde fora maar dat zij géén concrete handleiding verstrekken. Ze veronderstellen dat er binnen een forum wel een handleiding zal circuleren. Ik heb die voor Joomla4 niet ontdekt. Hieronder de ontvangen reactie.

Er bestaan idd 3 verschillende implementatie opties.

YubiOTP username, password en dan door het aanraken van de Yubikey wordt een OTP gestuurd naar de website. De website dient dan verbonden te zijn met YubiOTP als een service. Wordt vaker toegepast op oudere Joomla websites.

Gebaseerd op u2f username password en dan de Yubikey. Hierbij wordt de publiekkey van de Yubikey opgeslagen in de database bij de username en password. Deze publiekkey is uniek voor iedere website waardoor database diefstal geen risico meer vormt.

Gebaseerd op FIDO2 / WebAuthn. Hierbij wordt de username gekoppeld aan het certificaat en wordt deze ook opgeslagen op de Yubikey. Er hoeft in die situatie ook geen wachtwoord te worden opgeslagen in de database en afhankelijk van de implementatie ondersteund deze passwordless.

Het is dus afhankelijk van de versie van Joomla implementatie en welke route er gekozen wordt om WebAuthn te implementeren.

Yubico is niet verantwoordelijk voor deze software implementaties, maar biedt op zekere hoogte wel ondersteuning aan applicatie leveranciers. Denk aan beschikbaar stellen van een SDK.

Veel opensource trajecten beiden wel deze integratie maar ook opensource support, vaak een forum. Heb nog niet gekeken naar welke online support voor Joomla wordt geboden, maar verwacht dat er veel over te lezen is.

Zou trouwens ook kijken naar implementatie in Plesk aangezien dit vaak het management platform onder Joomla websites is.

Als gezegd heb ik geen concrete handleiding voor Joomla4 kunnen vinden en met 'try and error' heb ik wel wat zaken voor elkaar gekregen op een 4-tal joomla sites. Echter niet optimaal en ik vraag me af of ik wel de juiste implementatie heb gehanteerd. Bij een site moet ik zelfs bij het inloggen 2x de yubikey-procedure doorlopen. We hebben de sleutels ook in gebruik om de Google-account te beschermen en daar verliep de implementatie probleemloos en zo zal het ook voor Joomla4 kunnen, maar dan zou het praktisch zijn als er ergens een concrete handleiding voor zou staan.

Misschien kan jij in dit geval nog wat betekenen.

Nu eerst nog een prettige jaarwisseling.
Grtzzz
Edit Astrid: Ik heb de reactie tussen tags geplaatst, volgende keer graag zelf even doen.

Ik heb er geen ervaring mee. Maar dit lijkt me toch een perfecte handleiding.

Hallo Astrid,

bedankt voor het meekijken. Dit artikel had ik ook gevonden. Voor zover ik weet heb ik ook precies deze stappen gedaan. Het resultaat bij mij is dat ik nu kan inloggen mét de Yubikey. Maar het bijzondere is dat ik vaak ook zónder Yubikey kan inloggen terwijl ik kort voordien heb uitgelogd. Naar mijn idee zou dat toch niet mogen kunnen.

Ik zocht het probleem bij de gehanteerde installatie-methodiek maar mogelijk speelt er wat anders. Ik maak gebruik van DJ-classifieds en voor die toepassing moet ik ook een gebruiker aanmaken om dat pakket in te kunnen richten en te gebruiken. Ik moet daar in eerste instantie ook inloggen met de Yubikey en het volledige protocol. Als ik dan uitlog en opnieuw met een bestaande gebruiker wil inloggen dan wordt meestal opnieuw om de sleutel gevraagd. Maar dus niet altijd en dat lijkt me niet correct.

Mogelijk logt dat pakket niet voldoende uit en blijft er op een of andere manier toch een goedgekeurd inlogprofiel in stand.

Ik neem nu aan dat het niet aan de implementatie van de sleutel ligt maar bij de combinatie met de toepassing DJ-classifieds.

Deze discussie kan dan m.i. worden gesloten.

Je had je topic afgesloten met de knop "Oplossing". Maar omdat de door jou geselecteerde post geen oplossing bevat, heb ik dit verwijderd en je draadje gesloten. Deze knop is namelijk alleen bedoeld om te gebruiken op een bericht waarin de oplossing staat beschreven.