Cómo configurar la autenticación de dos pasos en Joomla! 4

⚠️ Nota importante

Este artículo tiene más de un año. La tecnología evoluciona rápido, por lo que algunos contenidos o instrucciones pueden estar desactualizados. Recuerda buscar información reciente y actualizada.

Si la seguridad de tu sitio web en Joomla! está dentro de tus prioridad, la autenticación de dos pasos no puede faltar en el formulario de inicio de sesión; al menos en los usuarios con acceso irrestricto a la configuración del sitio web, mejor conocidos como super usuarios. Activarlo te hará menos vulnerable a ataques a fuerza bruta ya que añade una verificación adicional de que eres tu y no un atacante haciéndose pasar por ti. Además, si compartes contraseñas con otros servicios (algo para nada recomendable) y uno de estos es vulnerado, un atacante, aún y conociendo tu usuario y contraseña no podrá acceder a la administración de Joomla! sin el código adicional requerido en la autenticación de dos factores

En este artículo vamos a explicar como implementar esta medida de seguridad, de forma rápida y fácil, en Joomla! 4. Sin más dilación, iniciamos con los pasos.

Activación del plugin

Joomla! 4 incluye de forma predeterminada un plugin llamado Autenticación de factor doble - Autenticador Google que facilita la implementación de la autenticación de dos pasos. Antes de continuar, dicho plugin debe estar habilitado.

Una vez habilitado, es importante limitar el campo de acción del plugin. Para eso, hay que ingresar a la configuración y elegir si este sistema debe ser habilitado solo para la zona de administración, solo para el sitio o ambos. Esta elección dependerá de las necesidades del desarrollador o administrador del sitio web

Configuración del usuario

El proceso de activación de este sistema de verificación se realiza directamente en la configuración del usuario. Es decir, donde se configura la contraseña, nombre de usuario y otros parámetros del usuario.

En la pestaña denominada Autenticación por factor doble, se encuentra toda la configuración necesaria para la habilitación y el primer paso es precisamente habilitar el método de autenticación en la primer opción que aparece.

En este caso hay que elegir la opción: Autenticador de Google. Este es el primer paso.

Una vez activada la opción, los pasos restantes aparecen en la parte inferior. En el segundo paso, es posible observar un código QR que deberá ser escaneado por la aplicación Google Authenticator disponible para las plataformas Android y iOS. Una vez escaneado el código, la información aparecerá en la pantalla y un nuevo código de 6 dígitos se generará automáticamente cada 30 segundos. 

El siguiente paso es ingresar uno de estos códigos en la casilla Código de seguridad que aparece en el paso 3. Una vez ingresado, el proceso se finaliza haciendo clic en el botón Guardar.

Al cerrar sesión, aparece disponible un nuevo espacio para ingresar los códigos de verificación al iniciar una nueva sesión. En el caso de que un usuario no cuente con este tipo de verificación habilitada, este espacio debe simplemente ser dejado en blanco. 

Consideraciones finales

¿Que pasa si pierdes el móvil o este se queda sin batería? Muy fácil; al hacer clic en Guardar, al final de la página, aparece una serie de código de verificación de un solo uso. Lo ideal es imprimirlos y guardarlos en un lugar seguro donde puedan ser leídos y escritos en el caso de que no haya acceso al dispositivo previamente configurado con la aplicación. 

Activar o no esta opción depende en gran parte de las necesidades de cada usuario. Si bien complica un poco más el proceso de inicio de sesión, se considera que los beneficios superan los inconvenientes que pueda causar el implementar este método. También es importante recordar que este método no sustituye a una contraseña que, preferiblemente, haya sido creada siguiendo buenas prácticas de seguridad. 

Fundador
Seguidor de Jesús. Escribo artículos en mi tiempo libre sobre temas de tecnología que me interesan.