Tutto quello che vorresti sapere prima di installare.
Uno sguardo dettagliato su come funziona 2FA Google Authentificator per PrestaShop, perché l'abbiamo progettato così, e il ragionamento dietro le funzionalità qui sopra.
Perché il 2FA su PrestaShop
Il back office di PrestaShop è il bersaglio numero uno degli attacchi al tuo negozio. Una password amministratore compromessa (phishing, fuga da un'altra app, attacco a dizionario) significa accesso diretto ai tuoi ordini, ai tuoi clienti, al tuo codice sorgente. Il 2FA aggiunge un secondo livello: anche con la password, l'attaccante non può accedere senza il telefono. La grande maggioranza delle intrusioni back office documentate sarebbe stata impedita da un 2FA attivo.
Standard TOTP, nessun servizio proprietario
Il modulo segue lo standard RFC 6238 (TOTP) — lo stesso di Google Authenticator, Authy, 1Password, Microsoft Authenticator, ecc. I tuoi dipendenti usano l'app che preferiscono, senza installare nulla di specifico. Se la tua azienda usa già 1Password, il 2FA si aggiunge semplicemente ai segreti esistenti. Nessun servizio di terze parti, nessun costo per utente, nessuna dipendenza esterna: anche il codice QR di abbinamento è generato localmente nel browser.
PrestaShop 8 e 9, una sola versione
Il modulo è compatibile nativamente con PrestaShop da 8.0 a 8.2 e PrestaShop 9, inclusa la nuova pagina di accesso Symfony introdotta da PS9. La verifica 2FA si integra nel flusso di accesso qualunque sia la versione, senza configurazioni specifiche. Puoi migrare il tuo negozio da PS8 a PS9 senza toccare il modulo né riabbinare i dipendenti.
Distribuzione progressiva
Il 2FA può essere reso obbligatorio per tutti i dipendenti (modalità forzata: qualsiasi dipendente senza 2FA viene reindirizzato all'abbinamento all'accesso) o lasciato in opt-in individuale, con ogni dipendente che attiva il proprio 2FA dal menu utente. Questo permette una distribuzione progressiva: iniziare in opt-in con il banner promemoria, osservare l'adozione, poi passare alla modalità obbligatoria.
Gestire la perdita del telefono
Lo scenario «non riesco più ad accedere, ho cambiato telefono» è previsto a due livelli. Prima rete di sicurezza: 8 codici di recupero monouso, generati all'abbinamento iniziale. Il dipendente li conserva nel suo gestore di password o stampati in cassaforte. Seconda rete: un Super Admin può reimpostare il 2FA di un dipendente con un clic dalla pagina di configurazione del modulo. Il prossimo accesso richiederà nuovamente l'abbinamento iniziale con un nuovo codice QR.
Sicurezza e anti forza bruta
Il segreto TOTP di ogni dipendente è cifrato con AES-256 nel database — nemmeno un accesso in sola lettura al SQL permette di rigenerare i codici. I codici di recupero sono memorizzati come hash SHA-256, mai in chiaro. Dopo 5 codici non validi consecutivi, la verifica 2FA dell'account viene bloccata per 15 minuti, rendendo impraticabile l'enumerazione dei codici a 6 cifre.
Ancora non ci sono recensioni.