Image may be NSFW.
Clik here to view.
El pasado mes de diciembre Chema Alonso, CEO de Eleven Paths comunico públicamente el lanzamiento de Latch una herramienta destinada a gestionar nuestras identidades digitales y controlar los accesos a diferentes servicios (bancos, cuentas FTP, WordPress, etc.) de forma que a modo de "pestillo"podamos "echarlo" cuando consideremos que no es necesario el acceso a zonas de mantenimiento (frontend/backend de Joomla, dashboard de WordPress, etc.) u otros servicios o recibamos alertas mediante la herramienta instalada en nuestros dispositivos móviles (Android, iOS6, Windows Phone).
Tal como ellos mismos describen "Latch es un servicio que te permite añadir una capa adicional de seguridad a tus servicios en línea para evitar o prevenir el uso no autorizado por medio de un "pestillo" con el que puedes activar/desactivar tus cuentas con un solo toque desde tu móvil o tableta cuando no requieres su uso".
Dicho esto queda claro que lo siguiente es preguntarse ¿como puede ayudarme Latch en el control de accesos al backend o frontend de mi sitio web Joomla?, la respuesta es ¡mucho y de forma sencilla mediante una extensión disponible para este CMS!.
Si bien hemos visto en otros artículos de este Blog que proteger el acceso al backend de Joomla es relativamente sencillo mediante extensiones como RSFirewall o jSecure, hasta ahora no disponíamos de una extensión que por medio de un dispositivo externo no solo hiciese las funciones de token sino que además permitiese desactivar la posibilidad de explorar dicho acceso una vez no lo necesitamos, o mejor dicho, bajo demanda.
Si bien el objetivo de este artículo no es el de entrar en los entresijos del funcionamiento de Latch, te facilitamos una imagen extraída del Blog de Eleven Paths que lo ilustra de forma clara:
Clik here to view.
La configuración del estado definido por una operación concreta se realiza de a través de un canal alternativo (y considerado más "seguro" que el dispositivo habitual), así que cualquier intento de utilizar la operación que ha sido bloqueada por el propio cliente se puede identificar como una anomalía. Su existencia podría implicar a su vez que el usuario que solicita la ejecución de la operación no sea quien está afirmando ser y se haya detectado así un intento de fraude. (Más información).
Con el «plugin + módulo backend y frontend» disponibles para Joomla podremos no solo habilitar Latch, además recibiremos notificaciones de los accesos que se produzcan al backend cuando este se encuentre "cerrado" y podremos deshabilitar de inmediato dicho acceso si se trata de accesos no autorizados o intentos de acceso mediante ataques de fuerza bruta al formulario de acceso de Joomla. Adicionalmente podemos establecer la obligatoriedad de introducir un código obtenido desde el dispositivo móvil o token, haciendo uso de la autenticación en dos pasos que también permite Latch.
Primero hay que descargar la correspondiente aplicación para el dispositivo móvil desde el que vayamos a usarla como token y herramienta de control (pestillo).
Si bien Latch para Joomla no se encuentra disponible en el Joomla Extensions Directory, a través de la web del proyecto podemos acceder a GitHub para descargar la extensión (plugin+módulo) correspondiente e instalarla en Joomla desde el Gestor de Extensiones.
Una vez descargado el archivo latch-plugin-joomla-master.zip desde GitHub tenemos que descomprimirlo primero en nuestro PC para posteriormente desde el Gestor de Extensiones acceder a la carpeta que contiene el bundle latch.zip (contiene los 3 elementos a instalar) e instalarlo.
El plugin y módulos quedan automáticamente habilitados tras su instalación, pero es necesario acceder a ellos desde el Gestor de Plugins y Gestor de Módulos para configurar los siguientes parámetros:
Desde el Gestor de Plugins, filtramos por "latch" y editamos el plugin, que configuramos en base a los siguiente parámetros:
- Application ID: Hay que obtenerlo desde la web de Latch
- Application secret: Hay que obtenerlo desde la web de Latch
- Host: https://latch.elevenpaths.com
Nota: A petición nuestra (sugerencia a Eleven Paths) el Host ya aparece por defecto configurado en el plugin. Gracias }:)
Estos datos tenemos que generarlos desde Latch, donde hay que tener previamente creada una cuenta como desarrolladores (Developers), en el apartado Mis Aplicaciones (My applications), Añadir Nueva Aplicación (Add a new application).
Clik here to view.
Los datos de Application ID y Application secret serán los que tendremos que indicarle al plugin instalado en Joomla. (En el vídeo se explica como copiarlos sin demasiadas dificultades).
Posteriormente desde el Gestor de Módulos, en "Sitio" y filtramos por "Latch" desde el filtro (izquierda) verificando que dicho módulo se encuentra habilitado. Este módulo lo ideal es publicarlos justo debajo del módulo de "Acceso" que debemos tener habilitado.
Hay que tener en cuenta que sin la instalación del módulo Latch no funcionaría en Joomla y nos devolvería un error de php en el backend.
Desde el Gestor de Módulos, "Administrador" localizamos el módulo Lacth, lo editamos para indicarle la posición en la que queremos que se muestre, siendo la posición "logín" la única admitida. Esto permitirá que se muestre en el backend tras el acceso para validar el mismo.
En el siguiente vídeo realizamos la instalación y configuración de Latch en Joomla 3.2 (el proceso es el mismo para Joomla 2.5.x) y una posterior prueba de concepto usando como token el dispositivo móvil.
Si por cualquier razón o circunstancia necesitamos desinstalar Latch en Joomla, lo podemos hacer desde el Gestor de Extensiones, Gestionar, filtramos por "lacth" seleccionamos todos los elementos que aparecen y hacemos clic (botón superior derecho) "Desinstalar".
Clik here to view.
Pros de Latch en Joomla:
- Es un complemento de autenticación en dos pasos independiente (evita conflictos o cambios en el core).
- Permite utilizar el móvil como interruptor de accesos (ninguna otra extensión de Joomla lo permite).
- Permite deshabilitar la opción de "token" para cada acceso, otros métodos la imponen siempre.
- El mismo plugin y módulos (backend/frontend) sirven para Joomla 2.5 y 3.2 indistintamente.
Contras de Latch en Joomla:
- Implementación muy desasistida para usuarios noveles que desconocen la mecánica de este tipo de extensiones y su implementación.
- No se integra con la Autenticación en Dos Pasos nativa para Joomla 3.2.x
- Se comporta como un módulo independiente del módulo de acceso de Joomla (debería ser un complemento más).
- No dispone de archivos .ini para ser traducido a otros idiomas (Inglés por defecto).
- Desde la web de latch.elevenpaths.com no es posible eliminar aplicaciones creadas.
- No hay un log de la actividad (accesos).
Esperemos que futuras versiones de esta extensión permitan mejorar estos contras para que la integración y comportamiento sean mas user friendly :D y mejore la experiencia del usuario en su uso cotidiano.
Agradecer desde aquí la colaboración del equipo de Chema Alonso, Eleven Paths por el seguimiento de los tickets abiertos a su soporte para la solución de fallos en el plugin/modulo para Joomla y la diligencia con la que han tratado este tema, demuestran ser un equipo al que le importan mucho los usuarios. ¡¡Gracias!!
Clik here to view.