Alles, was Sie wissen sollten bevor Sie installieren.
Ein detaillierter Blick darauf, wie 2FA Google Authentificator für PrestaShop funktioniert, warum wir es so gebaut haben und der Gedanke hinter den Funktionen oben.
Warum 2FA auf PrestaShop
Das PrestaShop-Backoffice ist das Angriffsziel Nr. 1 auf Ihren Shop. Ein kompromittiertes Admin-Passwort (durch Phishing, Leak einer anderen App, Wörterbuch-Angriff), das ist der direkte Zugang zu Ihren Bestellungen, Ihren Kunden, Ihrem Quellcode. Das 2FA fügt eine zweite Schicht hinzu: selbst mit dem Passwort kann sich der Angreifer ohne das Telefon nicht anmelden. Über die letzten sechs Jahre hätten mehr als 80 % der dokumentierten PrestaShop-Eindringungen durch ein aktives 2FA verhindert werden können.
Standard TOTP, kein proprietärer Service
Das Modul respektiert den Standard RFC 6238 (TOTP) — derselbe wie Google Authenticator, Authy, 1Password, Microsoft Authenticator etc. Das bedeutet, dass Ihre Mitarbeiter die App ihrer Wahl nutzen, ohne eine spezifische App installieren zu müssen. Wenn Ihr Unternehmen bereits 1Password hat, fügt sich das 2FA einfach den bestehenden Secrets hinzu. Kein Drittanbieter-Service, keine Kosten pro Nutzer, keine externe Abhängigkeit.
Progressive Konfiguration
Das 2FA kann global aktiviert werden (alle Admins müssen es nutzen) oder pro Mitarbeiterprofil (Super Admin verpflichtend, andere Profile optional). Das erlaubt einen progressiven Aufbau: mit den sensiblen Profilen beginnen, die Reaktion der Teams beobachten und dann verallgemeinern. Aktivierung über Einstellungen → 2FA Google Authentificator.
Telefonverlust verwalten
Das Szenario „ich kann mich nicht mehr anmelden, ich habe das Telefon gewechselt“ wird auf zwei Ebenen antizipiert. Erstes Netz: 10 einmalige Wiederherstellungscodes, beim initialen Pairing generiert. Der Mitarbeiter bewahrt sie in seinem Passwort-Manager auf oder ausgedruckt im Tresor. Zweites Netz: ein Super Admin kann das 2FA eines Mitarbeiters aus seinem Profil mit einem Klick zurücksetzen. Beim nächsten Login wird das initiale Pairing mit einem neuen QR-Code erneut angefordert.
Sicherheit und Audit
Das TOTP-Secret jedes Mitarbeiters wird mit AES-256 in der Datenbank verschlüsselt — selbst ein Lesezugriff auf das SQL erlaubt nicht das Neugenerieren der Codes. Jeder Eingabeversuch des 2FA-Codes wird mit Erfolg/Fehler, Mitarbeiter, IP, Datum journalisiert. Eine übermäßige Anzahl von Fehlern auf einem Konto löst automatisch eine temporäre Sperre aus, um Brute-Force-Angriffe zu verlangsamen.
Rezensionen
Es gibt noch keine Rezensionen.