Zwei-Faktor-Authentifizierung für JTL-Shop 4.05

Im letzten Entwicklertagebuch haben wir schon auf das Release von JTL-Shop 4.05 hingewiesen. Neben den kundenindividuellen Preisen, die wir in Kombination mit JTL-Wawi 1.2 einführen, folgen weitere Neuerungen und Verbesserungen in der neuen Shop-Version. Ein wichtiges Thema für Onlinehändler bleibt, ganz klar, die Sicherheit des Systems. Genau darauf zielen wir mit der neuen Zwei-Faktor-Authentifizierung ab.

Doppelt hält besser

In Security-Fragen hat sich der Ansatz „Viel hilft viel“ durchaus bewährt. Nachdem sich schon 2014 der Schaden durch Identitätsdiebstahl im Onlinehandel auf circa 2,4 Milliarden Euro belief, wurden diverse Ansätze zur besseren Sicherung der Zugangsdaten geprüft. Die Zwei-Faktor-Authentifizierung hat sich bewährt und entspricht zudem den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik.

Ab Version 4.05 von JTL-Shop bieten wir Anwendern daher diesen zusätzlichen Sicherheitsmechanismus beim Administrator-Login im Shop-Backend. Die zusätzliche Absicherung erfolgt dann über die Vergabe von zeitlich begrenzt verfügbaren Passwörtern, die auf dem Smartphone des Administrators angezeigt werden.

Zweifache Abfrage, einfache Sicherheit

In Security-Fragen hat sich der Ansatz „Viel hilft viel“ durchaus bewährt. Nachdem sich schon 2014 der Schaden durch Identitätsdiebstahl im Onlinehandel auf circa 2,4 Milliarden Euro belief, wurden diverse Ansätze zur besseren Sicherung der Zugangsdaten geprüft. Die Zwei-Faktor-Authentifizierung hat sich bewährt und entspricht zudem den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik.

Ab Version 4.05 von JTL-Shop bieten wir Anwendern daher diesen zusätzlichen Sicherheitsmechanismus beim Administrator-Login im Shop-Backend. Die zusätzliche Absicherung erfolgt dann über die Vergabe von zeitlich begrenzt verfügbaren Passwörtern, die auf dem Smartphone des Administrators angezeigt werden.

Wer befürchtet, dass mehr Sicherheit mit einem erhöhten Maß an Komplexität in der Anwendung gleichzusetzen ist, irrt. Denn bei der Integration des neuen Security Features haben wir auch auf den Bedienkomfort geachtet. Um die Passwörter auf eurem Handy angezeigt zu bekommen, müsst ihr lediglich die kostenfreie „Google Authenticator“-App herunterladen. Die App steht sowohl für Android- als auch iOS-Geräte zur Verfügung.

Im Shop-Backend findet ihr künftig einen QR-Code, den ihr mit der App scannt. So verbindet ihr die App und euren JTL-Shop miteinander. Nachdem ihr die Authentifizierung auch im Backend des Shops aktiviert habt, ist der zweifache Schutz eingerichtet. Ab diesem Zeitpunkt müsst ihr neben eurem üblichen Login auch den in der App auf eurem Smartphone angezeigten Code eingeben. Letzterer ist außerdem nur für eine halbe Minute gültig. Die App generiert nach Ablauf dieser Frist automatisch einen neuen, um auch hier ein höheres Maß an Sicherheit zu gewährleisten.

Einrichtung der Authentifizierung

Im Folgenden zeigen wir euch die wenigen Arbeitsschritte, die notwendig sind, um den Schutz zu aktivieren:

1. Wollt ihr euch nun erneut in das Backend eures Shops einloggen, öffnet ihr die App und findet dort alle dreißig Sekunden einen neuen Code, den ihr beim Login eingeben könnt.
2. In der Benutzerverwaltung habt ihr in der Spalte „2FA“ stets einen Überblick, für wen die Funktion eingerichtet ist. Hier könnt ihr mit einem Klick auf das Bleistift-Symbol die Backend-Benutzer editieren. Wählt ihr „Ja“ im Absatz „2-Faktor-Authentifizierung“, generiert JTL-Shop einen QR-Code, den ihr mittels eures Smartphones und der App scannt.
3. Ladet die App „Google Authenticator“ aus dem Google Play– bzw. Apple Appstore
4. In der Administrator-Oberfläche des Shops aktiviert ihr den Mechanismus unter „System“ -> “Backend Benutzer“. Dort könnt ihr die Zwei-Faktor-Authentifizierung außerdem für jeden dort konfigurierten Benutzer, ungeachtet seiner sonstigen Berechtigungen, festlegen.