Joomla 4 a introduit la possibilité de se connecter à votre site web via l'authentification Web (abrégé WebAuth). WebAuthn est la méthode d'authentification Web du W3C et vous permet de mettre en place une connexion sans mot de passe en utilisant un authentificateur FIDO2 ou FIDO U2F. Cependant, vous devez toujours fournir votre nom d'utilisateur. Il utilise une cryptographie robuste qui est extrêmement résistante aux problèmes les plus courants liés aux mots de passe : deviner le mot de passe (attaque par force brute), intercepter le mot de passe (attaque de l'homme du milieu), vous tromper pour le divulguer (attaque de phishing), le cracker après avoir obtenu une copie des données de votre base de données (attaques par injection SQL) ou le voler. WebAuthn n'est pas seulement sécurisé, il est également convivial ! Vous n'avez plus besoin de mémoriser de longs mots de passe ou d'utiliser un gestionnaire de mots de passe. Tout ce dont vous avez besoin est un authentificateur, et nos clés de sécurité Fido2 peuvent agir en tant qu'authentificateurs. Veuillez noter que l'onglet WebAuthn dans l'éditeur de profil utilisateur et les boutons de connexion WebAuthn ne seront affichés que si l'utilisateur accède au site via HTTPS. Dans ce guide, nous vous montrerons comment utiliser les clés de sécurité Token2 pour l'authentification sans mot de passe sur Joomla.

Prérequis :

• Joomla 4 avec accès HTTPS (un certificat valide et fiable est nécessaire)

• Accès administrateur pour activer les clés de sécurité (non requis si les clés de sécurité sont déjà activées) • Les navigateurs modernes prennent en charge les clés de sécurité

• Une clé de sécurité Token2 FIDO

Activer l'authentification sans mot de passe

1. Depuis la zone du tableau de bord système, cliquez sur "Extensions".

2. Dans la zone de recherche, saisissez "WebAuthn", puis appuyez sur Entrée.

3. Cliquez sur le plugin "Système - Connexion sans mot de passe WebAuthn".

4. Activez le plugin en changeant son "État" en "Activé", puis cliquez sur "Enregistrer et fermer".

Configuration Utilisateur

Il est important de noter que vous ne pouvez vous enregistrer ou supprimer des authentificateurs que sur votre propre compte utilisateur. Pour des raisons de sécurité, même un super utilisateur n'est pas autorisé à enregistrer, modifier ou ajouter des authentificateurs sur d'autres comptes utilisateurs. L'utilisateur doit d'abord s'inscrire avec un nom d'utilisateur et un mot de passe normaux. Après s'être connecté, accédez au formulaire de profil utilisateur. Pour un administrateur :

• Sélectionnez "Menu Utilisateur → Modifier le compte → Connexion Web d'authentification W3C (WebAuthn)" pour afficher le formulaire, initialement sans authentificateurs enregistrés.

• Sélectionnez "Ajouter un nouvel authentificateur".




• Joomla commencera à identifier la clé de sécurité insérée. Si le code PIN de la clé de sécurité a été défini précédemment, vous serez invité à saisir le code PIN. Sinon, vous devrez configurer un nouveau code PIN.



• Appuyez sur le bouton de la clé de sécurité pour terminer l'enregistrement. Remarque : Les clés de sécurité peuvent avoir des instructions spécifiques pour les activer. Votre clé peut nécessiter un tapotement ou l'appui sur un bouton pour activer l'enregistrement.



• Vous pouvez donner un nom convivial à votre clé de sécurité enregistrée en cliquant sur "Modifier le nom".




Maintenant, votre compte est prêt à utiliser l'authentification sans mot de passe.

Authentication

Pour vous connecter, vous devez saisir votre nom d'utilisateur dans le champ "Nom d'utilisateur" du formulaire de connexion. Vous n'avez pas besoin de saisir votre mot de passe, mais si votre navigateur le remplit automatiquement, laissez-le tel quel. Le mot de passe n'est pas envoyé au serveur lorsque le formulaire est soumis via le bouton "Authentification Web". Il en résulte que vous pouvez vous connecter soit avec votre nom d'utilisateur et votre mot de passe, soit avec votre nom d'utilisateur et l'authentification Web.

L'authentification Web en tant que méthode MFA (authentification multi-facteur)

Vous pouvez également utiliser les clés de sécurité Token2 comme méthode d'authentification multi-facteur en activant le plugin "Authentification multi-facteur - Authentification Web". Accédez à "Menu Utilisateur → Modifier le compte → Authentification multi-facteur → Ajouter une nouvelle authentification Web" pour ajouter cette méthode 2FA pour l'utilisateur. Le processus d'inscription est similaire à celui de l'authentification sans mot de passe WebAuthn.




Après l'authentification standard avec votre nom d'utilisateur et votre mot de passe, une validation supplémentaire vous sera demandée avec votre clé de sécurité. Insérez la clé de sécurité enregistrée, cliquez sur "Valider avec votre authentificateur", saisissez le code PIN et appuyez sur le bouton de la clé.



Les administrateurs peuvent uniquement supprimer les options MFA pour d'autres utilisateurs. En tant qu'utilisateur privilégié, vous ne pouvez supprimer que les options MFA des comptes utilisateurs (autres que les super utilisateurs) ou désactiver complètement leur MFA. Vous ne pouvez pas modifier leur configuration MFA ni vous inscrire à de nouvelles méthodes MFA.