회사 개요

이메일을 통해 전송된 비밀번호 재설정 링크는 사이버 공격의 가장 흔한 표적 중 하나입니다. 누군가 사용자의 이메일에 접근하면 비밀번호를 쉽게 재설정하고 계정을 탈취할 수 있습니다. 보안과 사용자 경험을 모두 향상시키기 위해, 클라이언트는 이메일 링크에만 의존하지 않고도 사용자가 비밀번호를 더 빠르고 안전하게 재설정할 수 있는 방법을 원했습니다.

사전 조건

이 사용 사례는 아래 나열된 플러그인을 사용하여 원활하게 구현되었습니다. 이를 위해서는 Joomla 인스턴스에 다음 플러그인을 설치해야 합니다.

Joomla용 miniOrange MFA 확장 프로그램

강력한 Joomla MFA/2단계 인증(TFA) 확장 기능으로 사용자를 검증하세요.

확장 프로그램 다운로드

과제

Joomla의 기본 비밀번호 재설정 절차는 사용자가 등록된 이메일 주소로 전송된 링크를 클릭하도록 요구합니다. 이 방법은 효과가 있지만, 속도가 느리고 위험할 수 있습니다. 사용자의 이메일이 유출될 경우 공격자가 Joomla 계정을 쉽게 탈취할 수 있습니다. 고객은 재설정 과정을 더 빠르게 진행하면서도 강력한 보안 계층을 추가하는 솔루션이 필요했습니다.

해법

miniOrange MFA 확장 프로그램을 사용하여 Joomla 비밀번호 재설정 프로세스에 다중 요소 인증(MFA)을 통합했습니다. 이를 통해 누군가 사용자의 이메일 주소나 사용자 이름을 알고 있더라도 두 번째 확인 단계를 거치지 않고는 비밀번호를 재설정할 수 없습니다.

이제 사용자가 비밀번호 재설정을 요청하면 먼저 MFA 인증을 완료해야 합니다. 그런 다음에야 새 비밀번호를 설정할 수 있습니다.

실시

기본 Joomla 비밀번호 재설정 기능은 재설정 워크플로에 MFA(다중 인증) 검사를 통합하여 개선되었습니다. 사용자가 비밀번호 재설정을 시작하면 비밀번호를 변경하기 전에 두 번째 인증을 거쳐야 합니다. 관리자의 선택에 따라 여러 가지 방식으로 작동하도록 설정할 수 있습니다.

• 이메일 또는 SMS를 통한 OTP
• Google Authenticator 또는 Authy와 같은 인증 앱에서 TOTP
• 보안 질문 또는 백업 코드(대체 옵션으로 사용됨)

비밀번호 재설정 요청을 시작하면 사용자는 구성된 MFA 방식을 통해 인증 요청을 받습니다. 인증 요청을 완료한 후에만 새 비밀번호를 설정하도록 리디렉션됩니다.

이를 통해 악의적인 행위자가 사용자 계정에 액세스하더라도 MFA를 통과하지 않고는 비밀번호를 재설정할 수 없습니다.

장점

• 더욱 강화된 계정 보안: 이메일이나 사용자 이름이 노출된 경우에도 무단 비밀번호 재설정을 방지합니다.
• 더 빠른 비밀번호 재설정: 이메일 받은편지함을 확인할 필요도 없고, 만료된 재설정 링크에 대해 걱정할 필요도 없습니다.
• 유연한 검증 옵션: 사용자는 SMS, 이메일, 인증 앱 중 자신에게 가장 적합한 방법을 선택할 수 있습니다.
• 계정 인수 위험 감소: 가장 취약한 프로세스 중 하나에 중요한 보호 계층을 추가합니다.

결과

비밀번호 재설정 과정에 다중 인증(MFA)을 추가함으로써 Joomla의 기본 기능이 크게 향상되었습니다. 이러한 개선을 통해 보안을 유지하거나 강화하는 동시에 절차가 더욱 효율적이고 간편해졌습니다. 이제 사용자는 보안을 유지하면서 몇 번의 클릭만으로 비밀번호를 재설정할 수 있습니다.

추가 리소스

1. Joomla용 다중 요소 인증
2. Joomla에 대한 OTP 확인