Beskytt din nettbutikk med 2FA nå!
2FA står for Two-Factor-Authentication og er enkelt og greit en dobbel-sikring når man logger på en tjeneste på nettet.
Den sikkert mest kjente tjenesten som bruker 2FA er nettbanken din; BankID.
Når du har tastet inn personnummeret/fødselsdato og mobilnummeret ditt får du en melding på telefonen om å taste inn et ekstra passord. Akkurat dette er den andre faktoren (derav two-factor) som gjør at systemet tillater at du logger inn i nettbanken.
Eventuelle svindlere må altså ha både kunnskap om personnummer/mobilnummer, òg ha tilgang til mobilen din, med påfølgende passord, noe som gjør mulighetene for å klare å hacke seg inn i nettbanken din særdeles vanskelig.
Flere og flere tjenester tilbyr i dag 2FA, og vi spår at dette vil være helt standard i løpet av de neste årene.
Flagget allerede tilbake i 2016
Vi skrev om dette tilbake i 2016 da vi begynte å se tendenser til denne typen angrep. Vi ba da alle omstendig om å sikre at alle Magento Admin tilganger var godt beskyttet med kryptiske passord, og om mulig ikke hadde full tilgang til alle roller. Du kan lese denne artikkelen her:
Okey, hvorfor trenger jeg dette til nettbutikken min?
De senere årene har vi erfart flere alvorlige angrep på enkelte av våre kunders nettbutikker, der man som nettbutikk-eier har brukt altfor dårlige passord (eks: “sommer79", “magento123”, “signe4ever”). Dette i kombinasjon med brukernavn som “svein” eller “siv” gjør ikke saken bedre.
Slike kombinasjoner av brukernavn og passord er veldig enkle for uvedkommende å gjette seg frem til blant annet ved hjelp av såkalte Brute-force angrep, der man kort forklart bruker ordlister til å gjette seg frem til en gyldig kombinasjon.
Selv om vi har mekanismer også mot dette vil uvedkommende på ett eller annet tidspunkt klare å gjette seg frem til en gyldig pålogging.
Hva skjer når uvedkommende får tilgang til Magento Admin?
Så snart de uvedkommende har tilgang til Magento Admin kan de i praksis gjøre hva som helst, som å hente ut all ordrehistorikk, alle kundedata osv (GDPR breech!). Det som dog i praksis skjer er at man aktiverer en fake kortbetalingsmetode, slik at kunder taster inn kort-detaljene sine i utsjekk og aner fred og ingen fare, samtidig som alle kort-detaljene sendes rett til en server i utlandet, hvorpå kortet raskt tømmes.
Vi har flere eksempler på dette bare de siste månedene, med omfattende følgeskader både omdømmemessig og ikke minst kostnadsmessig.
Ikke bra, men dere skal vel passe på sånt for oss?
Som en av Nordens største netthandel-leverandører og med fullt driftsansvar for de aller fleste kundene våre har Trollweb gjennom de siste 10 årene utviklet og operativt et omfattende sett mekanismer og funksjoner for å holde alle nettbutikkene så trygge som overhodet mulig, og vi har frem til dags dato ikke hatt et eneste suksessfullt hacking-angrep mot våre servere.
Det som dog skjer her er at man enkelt og greit finner ut påloggingen til nettbutikken, på lik linje med at man finner nøkkelen til et hus, og låser seg inn.
Vi kan sette en viss grad av passord-krav (minimum antall tegn osv) men dette vil likevel ikke være nok, når vi ofte ser passord som “Heidi4Ever!” og liknende.
Okey, og løsningen på dette er 2FA?
Ja.
Vi har som en følge av den økende mengden angrep innført muligheten for å få satt opp 2FA i alle nettbutikker som kjører Magento 1.9.x og Magento 2.x, der man når man logger inn i Magento Admin må “dobbel-verifisere” seg før man får tilgang.
Greit, men hvordan vil det fungere i praksis?
Selv om det vil bli litt mer omfattende å logge inn så er dette eneste løsning på dette etterhvert alvorlige sikkerhetsproblemet. Les mer om detaljene for hvordan dette vil komme til å fungere i din nettbutikk her:
Ok, så oppsummert?
Oppsummert må du enkelt og greit ha 2FA i din nettbutikk for at den skal være trygg. Bestill 2FA ved å sende en epost til salg@trollweb.no med navnet på din nettbutikk så hjelper vi deg med alt fra A til Å.
Hva koster det forresten?
Vi tar en fastpris på 5000,- for installasjon og oppsett av 2FA til din Magento nettbutikk, inkludert bistand til pålogging for den første (din) Magento Admin bruker med 2FA. Les https://docs.trollweb.no/display/modules/2FA+-+Two-Factor+Authentication for mer detaljer.
