Il nostro team è sempre attendo a gestire la sicurezza dei negozi online e delle infrastrutture dei nostri clienti, e ci piace tenere i clienti informati sulle minacce più gravi in circolazione, spiegare se e come aggiornare la propria installazione Magento o suggerire miglioramenti ai processi per diminuire i rischi. Tutto questo oggigiorno passa anche dall’autenticazione a 2 fattori (TFA: Two Factors Authentication) che molti già usano per proteggere i propri account di posta o di servizi online tra i più diversi, in particolare quelli delle banche via internet.
Per mettere in condizione non solo i nostri clienti, ma tutti i merchant e gli sviluppatori Magento, di aumentare il livello di sicurezza delle proprie installazioni Magento 1.x, abbiamo sviluppato un’estensione per integrare il sistema a due fattori nel backend di Magento. Da qualche giorno infatti è disponibile su GitHub la beta della nostra nuova estensione MSP_TwoFactorAuthentication_M1 100% open source.
Tutti i commenti e i contributi sono ben accetti, e più avanti rilasceremo anche la versione per Magento 2.
Come funziona l’autenticazione a due fattori
I sistemi di autenticazione “tradizionali” sono sicuramente la coppia nome utente/password, ormai onnipresente nella vita digitale quotidiana di chiunque usi un computer o uno smartphone sia per lavoro che per uso personale. Questa sola coppia di informazioni però non è più sufficiente già da alcuni anni a garantire un adeguato livello di sicurezza perché sono molte le tecniche e gli strumenti con cui tali dati possono essere sottratti al legittimo proprietario e usati per compiere azioni in sua vece, e spesso a sua completa insaputa.
L’esempio più tipico e facile è quello in cui sono coinvolte delle transazioni economiche: se qualcuno vi ruba le credenziali della banca via internet può rubarvi i soldi facendo un semplice bonifico.
Per questo motivo le banche già da anni danno in dotazione ai propri clienti un dispositivo di solito chiamato token che genera delle password che sono valide solo una volta, le cosiddette OTP: one time password. Il concetto di base è che in questo modo per ogni operazione da effettuare non bastano solo le credenziali standard, ma serve un altro dato, una password temporanea appunto, che deve essere generato nel momento in cui serve e che quindi è imprevedibile (o sufficientemente imprevedibile per essere precisi) e con una validità molto breve nel tempo e non riutilizzabile.
L’autenticazione a due fattori non è altro che l’applicazione delle OTP al passaggio di autenticazione ad un sito o servizio online: per effettuare l’accesso è necessario fornire nome utente, password e la password temporanea generata al momento.
La password temporanea può essere generata e ricevuta in molti modi diversi, dispositivo fisico, generata dallo smartphone tramite applicazioni come Google Authenticator, ricevuta via SMS o anche via telefonata vocale, ma il risultato è il medesimo e cioè rendere la vita più difficile a chi vuole rubare credenziali di accesso.
Come funziona MSP_TwoFactorAuthentication_M1
La nostra estensione integra all’interno del backend Magento il servizio di generazione OTP tramite app per smartphone di Google Authenticator. La configurazione avviene direttamente dal backend Magento e una volta attivata la protezione, ogni volta che gli utenti effettueranno il login al backend dovranno inserire anche la password temporanea generata ogni minuto dal proprio smartphone. L’app è disponibile sia per Android su Play Store che per iOS su App Store.
IMPORTANTE: in caso di emergenza la protezione è disattivabile solo da utenti con accesso alla macchina in cui è installato Magento, quindi è altamente raccomandabile che disattiviate la protezione in Magento prima di cambiare smartphone! 🙂
Per segnalazioni e commenti aprite una issue sulla pagina GitHub dell’estensione.