Podczas lockdownu wiele firm zmieniło swój tryb pracy na zdalny. Mimo że dziś możemy już wrócić do swoich biur, część z nas wciąż preferuje pracę z domu. W dużej mierze jest to możliwe dzięki nowoczesnym technologiom, które ułatwiają nam pracę z dowolnego miejsca. Niektóre przedsiębiorstwa nawet na stałe zrezygnowały ze stacjonarnego modelu pracy i postawiły na zdalne rozwiązania. To niemały przełom w sferze biznesu, szczególnie dla firm oferujących produkty IT. 

 

Zabezpieczenia Magento Commerce

Mimo że praca zdalna niesie za sobą wiele korzyści, pojawiają się także związane z nią zagrożenia. Jednym z nich jest wzrost ataków hakerskich. Już w samym marcu 2020 roku firma ochroniarska Zscaler odnotowała 20% wzrost takich zagrożeń. Jednym z najczęstszych i najbardziej podstawowych celów hakerów jest strona logowania na konto. Według badania Verizon aż 81% ataków hakerskich dotyczy właśnie wykorzystania skradzionych lub słabych haseł. Aby przeciwdziałać tego typu sytuacjom i wspomóc sprzedawców korzystających z platformy Magento, firma podjęła kroki, by jeszcze lepiej reagować na tego typu sytuacje. W ciągu ostatnich kilku lat wdrożyła wiele narzędzi zabezpieczających – Magento Security Scan, Google reCAPTCHA, Content Security Policy i wiele innych aktualizacji obecnych już zabezpieczeń.

 

Uwierzytelnianie dwuskładnikowe – 2FA 

Dzięki funkcjom zabezpieczającym Magento reaguje na rosnące zagrożenia i wspiera swoich użytkowników. W niektórych przypadkach i w znacznej części ekosystemu Magento  wymaga nawet uwierzytelniania dwuskładnikowego – 2FA.

 

Czym jest 2FA? To przede wszystkim kluczowy standard branżowy, który chroni Twoją witrynę sklepową przed atakami hakerskimi, mającymi na celu wykradzenie Twoich danych do logowania się na konto. Korzystanie z zabezpieczeń 2FA w zdecydowanie lepszy sposób chroni Cię przed złośliwymi użytkownikami, którzy próbują nie autoryzować logowania w trzech różnych obszarach: na konto Magento.com, Cloud Admin oraz do Magento Admin. 

  

2FA dla kont magento.com

Jak korzystać z 2FA w Magento? Funkcja jest dostępna po zalogowaniu się do usług, do których uzyskujesz dostęp za pomocą poświadczeń Magento.com, czyli takich jak Moje Konto, fora Magento, Centrum Pomocy Magento, Magento Marketplace, Magento U i Cloud Admin. Żeby uruchomić funkcję na swoim koncie Magento.com, musisz zalogować się do Mojego Konta i przejść do uwierzytelniania dwuskładnikowego w menu Ustawień Konta. 2FA na Magento.com jest zgodne z większością dostępnych aplikacji uwierzytelniających, w tym z Google  Authenticator oraz Authy. Jeśli chcesz poznać więcej informacji na temat konfigurowania 2FA na swoim Magento.com, odwiedź stronę usługi i sprawdź dostępny tam Podręcznik Użytkownika. 

 

2FA dla Cloud Admin przez SSH

Twórcą rozwiązania zależy na tym, aby uwierzytelnianie dwuskładnikowe było dostępne dla szerokiego grona odbiorców. Dlatego jet ono wydane w połączeniu z Magento Cimmerce 2.4 oraz dostępne dla Magento Commerce hostowanych w chmurze przy użyciu SSH. Pomoże to uniemożliwić nieautoryzowanym użytkownikom dostęp do serwerów. Warto pamiętać, że ustawienie to nie jest włączone domyślnie i trzeba je samodzielnie skonfigurować. 

 

Po ustawieniu 2FA normalny dostęp do klucza SSH do projektu nie będzie już działał. Zamiast tego będzie trzeba użyć certyfikatora. Certyfikator jest zdalnym komponentem, który umożliwi Ci wymianę tokenu dostępu. Warto wspomnieć, że ten sam typ tokenów używa się w interfejsie użytkownika projektu, w interfejsie wiersza polecenia i w innych tego typu miejscach. Tokeny są więc krótkotrwałymi certyfikatami SSH, które zastępują wspólną wymianę publicznych i prywatnych kluczy. Jeśli chcesz zgłębić temat 2FA dla SSH Magento Cloud, wejdź na stronę dostawcy usług i zapoznaj się z dokumentacją DevDocs. 

 

2FA dla Magento Admin

Zgodnie z wynikami badań ataków typu „skimming”, przeprowadzonych przez zespół Adobe Security Operations na stronach sprzedawców, aż 75% z nich była spowodowana przez złośliwego użytkownika, który uzyskał dostęp do zainfekowanego konta admina, aby załadować skimmer kart w witrynie. Właśnie z tego powodu zapewnienie dodatkowej warstwy uwierzytelniania jest konieczne i sprawia, że panel administracyjny jest bardziej bezpieczny niż wcześniej. Zmniejsza się też ryzyko ataków typu „skimming” oraz koszty operacyjne, które ponosi się w związku z incydentami zagrożenia bezpieczeństwa. 

 

 

Warto podkreślić, że 2FA jest opcjonalne we wszystkich obsługiwanych wersjach Magento Commerce – od wersji 2.4. Jednak uwierzytelnianie dwuskładnikowe będzie domyślnie włączone dla Magento Admin i nie będzie można go wyłączyć. Użytkownicy, którzy są administratorami, muszą więc najpierw skonfigurować swoje 2FA przed zalogowaniem się do konta administratora za pomocą interfejsu użytkownika lub internetowego interfejsu API. Wszystko to dla pełnego bezpieczeństwa sprzedawców. Aby dowiedzieć się więcej na temat 2FA w Magento Admin, również możesz skorzystać z DevDocs dostępnych na stronie firmy Magento.