Wer einen Online-Shop mit Magento-Software betreibt, sollte aus Sicherheitsgründen die Zwei-Faktor-Authentifizierung (2FA) aktivieren. Die Funkion erschwert es Angreifern Accounts durch beispielsweise gehackte Passwörter unter ihre Kontrolle zu bringen.
Beim Einloggen ist nach der Aktivierung neben der Eingabe des Passworts ein zweiter Faktor obligatorisch. In der Regel handelt es sich dabei um einen mehrstelligen Code, den man beim Einloggen neben dem Passwort eingeben muss. Wer das Kennwort, aber nicht den 2FA-Code kennt, kommt nicht in den Account. 2FA ist ab Magento Commerce und Magento Open Source 2.4 implementiert.
Wie man einer Mitteilung entnehmen kann, haben die Entwickler die 2FA-Funktion nun für alle Magento-Dienste bereitgestellt. Standardmäßig ist die Funktion aber nicht aktiviert. Admins sollen dies zeitnah in den Einstellungen tun. Mit der 2FA-Anmeldung sind Cloud Admin, Magento Admin und der Magento.com-Account geschützt. 2FA-Codes generiert man beispielsweise mit der kostenlosen App Google Authenticator. Weitere Infos zum Einsatz des Anmeldeverfahrens können Nutzer in der offiziellen FAQ nachlesen.
Skimming entgegenwirken
Um Admin-Accounts besonders zu schützen, haben die Shop-Entwickler 2FA für derartige Accounts standardmäßig aktiviert. Denn oft sind es die Admin-Accounts, die als Einfallstor für Skimming-Malware zum Mitschneiden von Kreditkartendaten dienen. In diesem Kontext kann man die Funktion auch nicht deaktivieren. Im Zuge der aktuellen Magecart-Kampagne erfolgen rund 75 Prozent der Zugriffe über geknackte Admin-Accounts. Mit diesen Nutzerrechten ausgestattet, verankern Kriminelle den Skimming-Code im Shop.
Wer Magento Commerce in der Cloud nutzt, nutzt dafür nun eine verschlüsselte SSH-Verbindung nebst 2FA.
Quelle: Online-Shop-Software: Zwei-Faktor-Authentifizierung für Magento-Shops verfügbar | heise online