概要

メールで送られてくるパスワードリセットリンクは、サイバー攻撃の最も一般的な標的の一つです。誰かがユーザーのメールにアクセスできれば、簡単にパスワードをリセットし、アカウントを乗っ取ることができます。セキュリティとユーザーエクスペリエンスの両方を向上させるため、クライアントは、メールのリンクだけに頼ることなく、ユーザーがより迅速かつ安全にパスワードをリセットできる方法を求めていました。

前提条件

このユースケースは、以下にリストされているプラグインを使用してシームレスに実装されています。これを実現するには、これらのプラグインをJoomlaインスタンスにインストールする必要があります。

Joomla 用 miniOrange MFA 拡張機能

強力な Joomla MFA/2 要素認証 (TFA) 拡張機能を使用してユーザーを検証します。

拡張機能をダウンロード

課題

Joomlaのデフォルトのパスワードリセットプロセスでは、ユーザーは登録済みのメールアドレスに送信されたリンクをクリックする必要があります。この方法は確かに有効ですが、時間がかかり、リスクも伴います。ユーザーのメールアドレスが侵害された場合、攻撃者はJoomlaアカウントを簡単に乗っ取ってしまう可能性があります。クライアントは、リセットプロセスを迅速化し、同時に強力な保護層を追加するソリューションを必要としていました。

解決策

miniOrange MFA拡張機能を使用して、Joomlaのパスワードリセットフローに多要素認証（MFA）を統合しました。これにより、たとえユーザーのメールアドレスやユーザー名を知っていたとしても、2回目の検証手順を経なければパスワードをリセットできなくなります。

現在、ユーザーがパスワードのリセットを要求する場合、最初に MFA チャレンジを完了する必要があり、その後でのみ新しいパスワードを設定できます。

製品の導入

Joomlaのデフォルトのパスワードリセット機能は、リセットワークフローにMFAチェックを統合することで改善されました。ユーザーがパスワードリセットを開始すると、パスワードの変更が許可される前に、2層目の認証を通過する必要があります。これは、管理者の選択に応じて複数の方法で動作するように設定できます。

• メールまたはSMS経由のOTP
• Google AuthenticatorやAuthyなどの認証アプリからのTOTP
• セキュリティの質問またはバックアップ コード（フォールバック オプションとして使用）

パスワードリセットリクエストを開始すると、ユーザーは設定されたMFA方式による検証チャレンジを受け取ります。チャレンジを完了すると、新しいパスワードを設定するための画面にリダイレクトされます。

これにより、悪意のある人物がユーザーのアカウントにアクセスできたとしても、MFA を通過しなければパスワードのリセットを実行できなくなります。

メリット

• より強力なアカウントセキュリティ: 電子メールやユーザー名が公開された場合でも、不正なパスワードのリセットを防止します。
• より高速なパスワードリセット: メールの受信トレイを確認したり、期限切れのリセット リンクを心配したりする必要はありません。
• 柔軟な検証オプション: ユーザーは、SMS、電子メール、認証アプリなど、自分に最適な方法を選択できます。
• アカウント乗っ取りのリスク軽減: 最も脆弱なプロセスの 1 つに重要な保護層を追加します。

結果

パスワードリセットプロセスに多要素認証（MFA）を追加することで、Joomlaのデフォルト機能が大幅に強化されました。この改善により、セキュリティは維持、あるいは強化されつつ、プロセスがより効率的かつシンプルになりました。ユーザーはセキュリティを犠牲にすることなく、わずか数クリックでパスワードをリセットできるようになりました。

追加リソース

1. Joomla の多要素認証
2. Joomla の OTP 検証