Uwierzytelnianie dwuetapowe w Magento (2FA)

01.10.2020 Angelika Siczek
logowanie z uwierzytelnianiem dwuetapowym

Podczas lockdownu wiele firm zmieniło swój tryb pracy na zdalny. Mimo że dziś możemy już wrócić do swoich biur, część z nas wciąż preferuje pracę z domu. W dużej mierze jest to możliwe dzięki nowoczesnym technologiom, które ułatwiają nam pracę z dowolnego miejsca. Niektóre przedsiębiorstwa nawet na stałe zrezygnowały ze stacjonarnego modelu pracy i postawiły na zdalne rozwiązania. To niemały przełom w sferze e-Commerce, także w kontekście bezpieczeństwa. Warto rozważyć wdrożenie dodatkowych systemów zabezpieczeń do platform e-Commercowych. Dla Magento takim usprawnieniem może być uwierzytelnianie dwuetapowe.

Zabezpieczenia Magento Commerce

Mimo że praca zdalna niesie za sobą wiele korzyści, pojawiają się także związane z nią zagrożenia. Jednym z nich jest wzrost ataków hakerskich. Już w samym marcu 2020 roku firma zajmująca się cyber-bezpieczeństwem Zscaler odnotowała 20% wzrost takich zagrożeń. Jednym z najczęstszych i najbardziej podstawowych celów hakerów jest strona logowania na konto. Według badania firmy Verizon, zajmującej się dostawą usług telekomunikacyjnych, aż 81% ataków hakerskich dotyczy właśnie wykorzystania skradzionych lub słabych haseł.

Aby przeciwdziałać tego typu sytuacjom i wspomóc sprzedawców korzystających z platformy Magento, firma podjęła kroki, by jeszcze lepiej reagować na tego typu sytuacje. W ciągu ostatnich kilku lat wdrożyła wiele narzędzi zabezpieczających: Magento Security Scan, Google reCAPTCHA, Content Security Policy i wiele innych aktualizacji obecnych już zabezpieczeń.

Uwierzytelnianie dwuetapowe – 2FA

Dzięki funkcjom zabezpieczającym Magento reaguje na rosnące zagrożenia i wspiera swoich użytkowników. W niektórych przypadkach i w znacznej części ekosystemu Magento  wymaga nawet uwierzytelniania dwuetapowego – 2FA.

Czym jest 2FA? Jest to rodzaj zabezpieczenia procesu autoryzacji oparty na dwuetapowej weryfikacji użytkownika. System wykorzystujący 2FA oprócz klasycznego podania loginu i hasła, będzie od Ciebie wymagał także kodu. Najczęściej jest on wysyłany na przypisane danemu kontu urządzenie mobilne. Tego typu zabezpieczenia można włączyć na urządzeniach Apple’a. Podczas logowania na urządzenie, które nie jest oznaczone jako zaufane, do Twojego smartfona zostanie wysłane powiadomienie o nieautoryzowanej próbie logowania. Będziesz mógł wtedy zatwierdzić tę próbę jako autentyczną lub odrzucić. Jeśli wybierzesz pierwszą opcję, wyświetli Ci się kod dostępu, który następnie będziesz musiał wpisać na urządzeniu, na którym chcesz się zalogować.

2FA to standard branżowy, który chroni Twoją witrynę sklepową przed atakami hakerskimi, mającymi na celu wykradzenie Twoich danych do logowania się na konto. Korzystanie z zabezpieczeń 2FA w zdecydowanie lepszy sposób chroni Cię przed złośliwymi użytkownikami, którzy próbują autoryzować logowania w trzech różnych obszarach: na konto Magento.com, Cloud Admin oraz do Magento Admin. 

2FA dla kont magento.com

Jak korzystać z uwierzytelniania dwuetapowego w Magento? Funkcja jest dostępna przy logowaniu się do usług, do których uzyskujesz dostęp za pomocą poświadczeń Magento.com. Te usługi wliczają: Moje Konto, fora Magento, Centrum Pomocy Magento, Magento Marketplace, Magento U i Cloud Admin. Żeby uruchomić funkcję na swoim koncie Magento.com, musisz zalogować się do “Moje Konto” i przejść do uwierzytelniania dwuskładnikowego w menu Ustawień Konta. 2FA na Magento.com jest zgodne z większością dostępnych aplikacji uwierzytelniających, w tym z Google  Authenticator oraz Authy. Jeśli chcesz poznać więcej informacji na temat konfigurowania 2FA na swoim Magento.com, odwiedź stronę usługi i sprawdź dostępny tam Podręcznik Użytkownika. 

2FA dla Cloud Admin przez SSH

Twórcą rozwiązania zależy na tym, aby uwierzytelnianie dwuetapowe było dostępne dla szerokiego grona odbiorców. Dlatego jet ono wydane w połączeniu z Magento Commerce 2.4 oraz dostępne dla Magento Commerce hostowanych w chmurze przy użyciu SSH. Pomoże to uniemożliwić nieautoryzowanym użytkownikom dostęp do serwerów. Warto pamiętać, że ustawienie to nie jest włączone domyślnie i trzeba je samodzielnie skonfigurować.

Po ustawieniu 2FA normalny dostęp do klucza SSH do projektu nie będzie już działał. Zamiast tego będzie trzeba użyć certyfikatora. Certyfikator jest zdalnym komponentem, który umożliwi Ci wymianę tokenu dostępu. Warto wspomnieć, że ten sam typ tokenów używa się w interfejsie użytkownika projektu, w interfejsie wiersza polecenia i w innych tego typu miejscach. Tokeny są więc krótkotrwałymi certyfikatami SSH, które zastępują wspólną wymianę publicznych i prywatnych kluczy. Jeśli chcesz zgłębić temat 2FA dla SSH Magento Cloud, na stronie dostawcy usług jest dostępna obszerna dokumentacja. 

osoba logująca się za pomocą uwierzytelniania dwuskładnikowego

Uwierzytelnianie dwuetapowe dla Magento Admin

Zgodnie z wynikami badań ataków typu „skimming”, przeprowadzonych przez zespół Adobe Security Operations na stronach sprzedawców, aż 75% z nich była spowodowana przez złośliwego użytkownika, który uzyskał dostęp do konta admina, aby załadować skimmer kart w witrynie. Właśnie z tego powodu zapewnienie dodatkowej warstwy uwierzytelniania jest konieczne i sprawia, że panel administracyjny jest bardziej bezpieczny niż wcześniej. Zmniejsza się też ryzyko ataków typu „skimming” oraz koszty operacyjne, które ponosi się w związku z incydentami zagrożenia bezpieczeństwa. 

Warto podkreślić, że 2FA jest opcjonalne we wszystkich obsługiwanych wersjach Magento Commerce – od wersji 2.4. Użytkownicy, którzy są administratorami, muszą więc najpierw skonfigurować swoje 2FA przed zalogowaniem się do konta administratora. Mogą to zrobić za pomocą interfejsu użytkownika lub internetowego interfejsu API. Wszystko to dla pełnego bezpieczeństwa sprzedawców. Aby dowiedzieć się więcej na temat 2FA w Magento Admin, również możesz skorzystać z DevDocs dostępnych na stronie firmy Magento.

Cyfrowe newsy / Bądź na bieżąco

Od początku 2022 roku wchodzimy w skład Unity Group. Teraz zapisując się do naszego newslettera, będziesz na bieżąco z informacjami całej naszej organizacji.

    Wypełniając formularz wyrażasz zgodę na wysyłkę newslettera przez Unity S.A. z siedzibą we Wrocławiu. Zgodę możesz wycofać w każdej chwili. Więcej informacji na ten temat znajdziesz w naszej polityce prywatności.

    *Wymagane

    Andrzej-kurs-programowania

    Andrzej Szylar

    Chief Executive Officer

    E-mail:

    a.szylar@global4net.com
    Magda2

    Magdalena Paczyńska-Kamienik

    HR Manager

    Aleksandra

    Aleksandra Bielawska-Clegg

    HR Business Partner

    E-mail:

    Michal

    Michał Duława

    New Business Developer

    E-mail:

    Katarzyna

    Katarzyna Zajchowska

    Marketing Partner

    E-mail: