Jak na dvoufaktorové přihlašování do Drupalu snadno a rychle

27. 8. 2018 (aktualizováno 10. 4. 2020), Jan Polzer
Chcete-li zabezpečit Drupal tak, aby nehrozilo, že se do něj někdo dostane poté, co „uhodne“ jméno a heslo, použijte dvoufaktorové přihlašování. Každý vstup pak bude vyžadovat opsání kódu z ověřovací aplikace.

Drupal obsahuje základní mechanismus bránící přihlášení různých záškodníků. Při opakovaných pokusech dojde k zablokování uživatelského jména i IP adresy. Možná se vám to někdy stalo. Zadali jste pětkrát za sebou špatnou kombinaci jména a hesla. Drupal vás pak nepřihlásil ani poté, co jste už zadávali správné heslo k danému uživateli. Bylo nutné si na hodinku odpočinout a zkusit to znovu.

Jenže to je jen taková základní ochrana proti opakovaným pokusům robotů. Pokud by někdo z jakéhokoli důvodu znal či uhodl vaše přihlašovací údaje, do Drupalu se dostane a může se pustit do páchání škod.

Tip: Nepoužíváte stejné přihlašovací údaje na více webů, že ne? Vím, o čem mluvím. Po jednom úniku jsem nakrátko přišel o kontrolu nad svým Twitterovým účtem. Od té doby nedám dopustit na správce hesel 1Password.

Odposlechu hesla zamezíte použitím https. Na rozdíl od WordPressu, kdy je nutné změnit adresu webu v konfiguraci, je to v Drupalu obvykle záležitost lusknutí prstů. Co můžete udělat více? Například použít dvoufaktorové přihlašování.

Jistě jste se s ním už někdy setkali. Má jej například Google. Pro přihlášení vám tak nestačí kombinace e-mailové adresy a hesla, ještě musíte opsat kód z SMS, kterou vám při přihlašování doručí. 2FA přihlašování lze nastavit i na Facebooku a u řady dalších služeb.

Mám jej třeba na svém NAS od Synology. Zde neopisuji kód z SMS, ale při spárování jsem pomocí QR kódu napojil administrační rozhraní na aplikaci Google Authenticator. Ta je dostupná pro iOS i Android a na požádání vám vygeneruje pro spárované přihlašování kód s časově omezenou platností.

A přesně něco takového můžete mít relativně snadno i ve svém Drupalu. Na rovinu říkám, že když jsem se do implementace pustil poprvé, tak jsem brzy skončil. Když však už vím, jak přesně postupovat, není to až tak složité. Zkusím vám s tím na následujících řádcích pomoci.

Dvoufaktorové přihlašování (2FA) do Drupalu 8 krok za krokem

Podobný postup, jaký zde uvidíte, je možné aplikovat i na Drupal 7. Já se přidržím aktuální osmičky. Ke zprovoznění 2FA v Drupalu 8 budete potřebovat přístup na příkazový řádek a k nástroji Composer. Jako vždy doporučím provozovat Drupal na mém oblíbeném virtuálu u Linode nebo na hostingu s SSH a Composer od českého provozovatele, Snackhost.

  1. V příkazovém řádku přejděte do složky s Drupalem a proveďte následující příkazy:
    composer require christian-riesen/otp
    composer require paragonie/random_compat:~2.0
    composer require defuse/php-encryption
    composer require chillerlan/php-qrcode
    S jejich pomocí se do Drupalu nainstaluje knihovna One Time Passwords, upraví se generátor náhodných čísel, přidá se podpora jednoduchého šifrování v PHP a doplní se generátor QR kódů.
  2. Nyní můžete nakopírovat a zapnout následující moduly: Two-factor Authentication (TFA), Real AES, Key a Google Authenticator login. Klidně to proveďte klasicky přes administraci, jste-li tak zvyklí. Máte-li raději nástroj drush, zde jsou odpovídající příkazy:
    drush dl tfa
    drush en tfa --yes
    drush dl real_aes
    drush en real_aes --yes
    drush dl ga_login
    drush en ga_login --yes
    Výhodou drushe automatické stažení potřebných závislostí.
  3. Přejděte do nově přidané administrační části Nastavení > Systém > Keys. Zde vytvořte nový klíč se zapamatovatelným názvem, Key type nastavte na Encryption a Key size na 256. Na příkazovém řádku spusťte openssl rand -base64 32 a výstup tohoto příkazu zadejte do políčka Key value. Zaškrtněte volbu Base64-encoded a nastavení uložte.
    Nastavení 2FA v Drupalu 8
  4. Nyní se přesuňte do části Nastavení > Systém > Encryption profiles. Přidejte nový profil s rozumným názvem. Z rozbalovačky Encryption Method zvolte Authenticated AES (Real AES). V nabídce Encryption Key vyberte před chvílí vygenerovaný klíč a nastavení uložte.
    Nastavení 2FA v Drupalu 8
  5. Dále pokračujte do administrační části Nastavení > Uživatelé > Two-factor Authentication. Zapněte povolení TFA a případně vyberte uživatelské role, které mohou dvoufaktorové ověřování používat. Pro ověřování nastavte plugin pracující s časem, tedy GA Login Time-based OTP(TOTP).
  6. V poli OTP QR Code Prefix zadejte unikátní řetězec pro svůj web, například jeho název. Bude pak vidět v ověřovací aplikaci. V nabídce Encryption Profile by měl být přidán nedávno vytvořený profil. Pokud není, zvolte jej. Upravte si těla dvou e-mailů, které se uživatelům odešlou poté, co aktivují nebo zruší 2FA přihlašování. Nastavení uložte.
    Nastavení 2FA v Drupalu 8

Tím je zprovoznění dvoufaktorového přihlašování v Drupalu 8 za vámi. Přinejmenším ta administrátorská část. Zbytek je na uživatelích, aby jej začali používat. Za inspiraci děkuji Chris Haasovi a jeho článku Adding two-factor authentication to Drupal 8 using Google Authenticator. Oproti zmíněnému textu jsem doplnil instalaci podpory QR kódů přes Composer, bez které toto řešení nerozběhnete na uživatelské straně.

V předchozím nastavení jste si mohli všimnout, že lze také definovat počet přihlášení, která mohou uživatelé bez zapnutého 2FA ještě učinit. Myslete na to a pokud na webu nepracujete jenom sami, pak na to uživatele připravte, případně počet těchto nezabezpečených přihlášení zvedněte z výchozích tří na více. 2FA bude vyžadováno pro všechny uživatele ve zvolené uživatelské roli.

Dvoufaktorové přihlašování z pohledu uživatele

Když tedy máme dvoufaktorové přihlašování/ověřování zprovozněno, měli bychom se kouknout, jak se používá.

  1. V prvním kroku si do svého mobilního telefonu nainstalujte aplikaci Google Authenticator. Najdete ji příslušném app storu.
  2. Poté se přihlaste do Drupalu, jak jste zvyklí a přejděte do části s úpravou uživatelského profilu. Tedy klepněte v liště na svoje jméno a dejte Upravit profil, případně ručně zobrazte adresu /user a rozklepněte úpravu profilu odtud. Vedle úpravy přibyla záložka Security. Přepněte se na ni, bude nás v tuto chvíli zajímat především.
    Nastavení 2FA v Drupalu 8
  3. Zde je místo, kde se dvoufaktorové přihlašování aktivuje i deaktivuje. Protože jsme jej ještě nezapnuli, máme zde k dispozici první z možností. Pokračujte tedy odkazem Set up application.
  4. Uvidíte odkazy pro stažení autentizačních aplikací. Kromě zmíněného Google Authenticatoru lze použít i Authy pro Android a iOS, FreeOTP pro Android a GAuth Authenticator pro desktop. Používám nicméně první zmíněnou. V ní na telefonu klikněte na červené tlačítko + a buď opište v Drupalu zobrazený klíč, nebo oskenujte z obrazovky QR kód pod ním. Do pole Application verification code pak vložte šestici číslic z ověřovací aplikace a nastavení uložte. Pozor, čísla platí pro relativně krátkou dobu znázorňovanou odpočtem v ověřovací aplikaci.
    Nastavení 2FA v Drupalu 8
  5. V dalším kroku vám Drupal zobrazí devět (dle zvoleného nastavení TFA u uživatelů) obnovovacích kódů. Ty si pečlivě uchovejte. Pokud byste ztratili telefon s ověřovací aplikací, neměli byste se jak do Drupalu přihlásit, abyste ji znovu napojili. Tyto kódy vám to ale umožní.

Tím je napojení hotovo a můžete si vše vyzkoušet. Přihlašovací formulář vypadá jako doposud, ale po zadání jména a hesla bude vyžadovat ještě zadání kódu z ověřovací aplikace ve vašem telefonu.

Tagy
Drupal
bezpečnost

Buďme ve spojení, přihlaste se k newsletteru

Odesláním formuláře souhlasíte s podmínkami zpracováním osobních údajů. 
Více informací v Ochrana osobních údajů.

Profile picture for user Jan Polzer
Autor článku: Jan Polzer

Tvůrce webů z Brna se specializací na Drupal, WordPress a Symfony. Acquia Certified Developer & Site Builder. Autor několika knih o Drupalu.
Web Development Director v Lesensky.cz. Ve volných chvílích podnikám výlety na souši i po vodě. Více se dozvíte na polzer.cz a mém LinkedIn profilu.

@maxiorel

Podobné články

WebTop100 2024: postřehy z přednášek a radost z dalšího ocenění
WebTop100 2024: postřehy z přednášek a radost z dalšího ocenění
Moje development & deployment workflow vývojáře pro Drupal, Symfony, WordPress a Hugo
Moje development & deployment workflow vývojáře pro Drupal, Symfony, WordPress a Hugo
Ukrývejte citlivý obsah před GitHub Copilotem a dalšími AI pomocníky
Ukrývejte citlivý obsah před GitHub Copilotem a dalšími AI pomocníky
Jak aktivovat koš pro smazaný obsah v Drupalu
Jak aktivovat koš pro smazaný obsah v Drupalu
Drupal 11: novinky a vylepšení v další generaci redakčního systému
Drupal 11: novinky a vylepšení v další generaci redakčního systému
Drupal: zapomeňte na Rules, na scéně už je automatizace procesů pomocí ECA
Drupal: zapomeňte na Rules, na scéně už je automatizace procesů pomocí ECA

Komentáře k článku

Přidat komentář

Odesláním komentáře souhlasíte s podmínkami Ochrany osobních údajů

reklama
Moje kniha o CMS Drupal

 

Kniha 333 tipů a triků pro Drupal 9


Více na KnihyPolzer.cz

Sledujte Maxiorla na Facebooku

Maxiorel na Facebooku

Poslední komentáře
Hosting pro Drupal a WordPress

Hledáte český webhosting vhodný nejenom pro redakční systém Drupal? Tak vyzkoušejte Webhosting C4 za 1200 Kč na rok s doménou v ceně, 20 GB prostoru a automatické navyšováním o 2 GB každý rok. Podrobnosti zde.

@maxiorel na Twitteru

Maxiorel na Twitteru