Zwei-Faktor-Authentifizierung
Die Zwei-Faktor-Authentifizierung (2FA) schützt Frontend-Logins Ihrer Kunden mit einem zusätzlichen Einmal-Code, der per E-Mail zugestellt wird.
Hintergrund
Ein gestohlenes Passwort allein reicht nicht aus, um sich am Kundenkonto anzumelden, sobald 2FA aktiviert ist. Beim Login muss zusätzlich ein 6-stelliger Code aus der zuletzt versendeten E-Mail eingegeben werden (Abb.: Frontend-Login mit Zwei-Faktor-Authentifizierung).
Abb.: Frontend-Login mit Zwei-Faktor-Authentifizierung
Funktionsweise
Nach erfolgreicher Eingabe von Benutzername und Passwort sendet der Shop einen 6-stelligen Code an die E-Mail-Adresse des Kunden. Der Kunde gibt diesen Code auf der OTP-Seite ein, um den Login abzuschließen.
Schutzmechanismen:
Der Code ist 5 Minuten gültig.
Pro Code sind 5 Versuche zulässig. Nach dem fünften Fehlversuch muss der Kunde den Login neu starten.
Zwischen zwei Code-Versendungen liegt eine Wartezeit von 60 Sekunden.
Einsatzbereich
Die 2FA-Schutzfunktion gilt momentan ausschließlich für Frontend-Logins (Kundenkonto im Storefront).
Nicht abgedeckt:
Logins im Admin-Backend.
OXAPI-Logins. Konten mit aktivierter 2FA können sich derzeit nicht über die OXAPI anmelden. Solche Konten müssen 2FA deaktiviert lassen, um die OXAPI weiter zu nutzen.
Standardverhalten
Nach Installation oder Update des Moduls ist 2FA standardmäßig sowohl shopweit als auch für jeden einzelnen Kunden deaktiviert. Es entstehen keine zusätzlichen Login-Hürden für Bestandskunden.
Sie als Shop-Admin schalten lediglich die Funktion shopweit frei (Zwei-Faktor-Authentifizierung shopweit aktivieren). Erst danach wird die 2FA-Option im Kundenkonto sichtbar. Jeder Kunde entscheidet anschließend selbst, ob er 2FA für sein Konto nutzen möchte (Aktivierung durch den Kunden).
Erst wenn ein Kunde 2FA in seinem eigenen Account aktiviert, wird bei seinem nächsten Login ein 2FA-Code abgefragt.
Zwei-Faktor-Authentifizierung shopweit aktivieren
Voraussetzungen
Sie haben das OXID Security-Modul installiert und aktiviert (siehe Installation).
Vorgehen
Wählen Sie unter das OXID Security-Modul.
Wählen Sie die Registerkarte Einstell..
Wählen Sie den Bereich Zwei-Faktor-Authentifizierung.
Abb.: Zwei-Faktor-Authentifizierung shopweit aktivieren
Markieren Sie das Kontrollkästchen Zwei-Faktor-Authentifizierung aktivieren.
Speichern Sie Ihre Einstellungen.
Resultat
2FA ist shopweit aktiviert. Ihre Kunden können die Funktion nun selbst in ihrem Kundenkonto einschalten.
Aktivierung durch den Kunden
Sobald 2FA shopweit aktiviert ist, kann jeder Kunde 2FA für seinen eigenen Account selbst einschalten oder ausschalten.
Vorgehen
Der Kunde meldet sich im Frontend an und öffnet sein Kundenkonto.
Im Bereich Sicherheit wählt der Kunde die Option Zwei-Faktor-Authentifizierung aktivieren.
Der Kunde speichert die Einstellung (Abb.: Kundenkonto Sicherheit mit aktivierter Zwei-Faktor-Authentifizierung).
Abb.: Kundenkonto Sicherheit mit aktivierter Zwei-Faktor-Authentifizierung
Resultat
Beim nächsten Login dieses Kunden wird zusätzlich zu Benutzername und Passwort ein 2FA-Code per E-Mail angefordert.
Bei zu vielen Fehlversuchen
Pro 2FA-Code sind 5 Versuche zulässig. Nach dem fünften Fehlversuch wird der laufende OTP-Vorgang gesperrt: das Eingabefeld für den Bestätigungscode, der Absenden-Button und die Schaltfläche zum erneuten Senden des Codes werden ausgeblendet (Abb.: 2FA-Login nach 5 Fehlversuchen).
Abb.: 2FA-Login nach 5 Fehlversuchen
Stattdessen erscheint die Schaltfläche Erneut anmelden. Mit einem Klick darauf wird der gesperrte OTP-Vorgang verworfen und der Kunde zur Anmeldeseite zurückgeführt. Von dort kann er einen neuen Login-Versuch mit Benutzername und Passwort starten, bei dem ein frischer 2FA-Code an seine E-Mail-Adresse gesendet wird.
Hinweise
Login-Probleme bei E-Mail-Verlust. 2FA verlässt sich auf die hinterlegte E-Mail-Adresse des Kunden. Wenn ein Kunde keinen Zugriff mehr auf seine E-Mail hat, kann er auch über die Funktion „Passwort vergessen“ keinen Zugang mehr herstellen — beide Wege nutzen dieselbe E-Mail-Adresse.
Stay-logged-in mit 2FA. Wenn ein Kunde 2FA aktiviert, wird ein bestehender „Stay logged in“-Cookie verworfen. Beim nächsten Aufruf muss sich der Kunde regulär neu anmelden, dann mit 2FA-Code.