Two-step authentication (אימות דו-שלבי), שנקרא גם two-factor authentication (אימות דו-גורמי) או multifactor authentication (אימות רב-גורמי), מוסיף שכבת אבטחה לכניסה ל-Shopify admin. כאשר נכנסים לחשבון, צריך להשלים שני שלבים: להזין credentials (פרטי התחברות) כמו אימייל וסיסמה, ואז לאמת את ניסיון הכניסה באמצעות מכשיר נייד או Security key (מפתח אבטחה).
האימות הדו-שלבי מקשה על אדם לא מורשה להיכנס לחשבון גם אם הוא יודע את הסיסמה. בלי השלב השני, הסיסמה לבדה לא מספיקה לכניסה.
במדריך הזה
- איך האימות עובד
- דרישת Shopify Payments
- מי יכול להפעיל אימות דו-שלבי
- דרישת תוכנית Shopify Plus
- בקטגוריה הזאת
איך האימות עובד
אימות מאובטח משלב גורמים שונים: something you know (משהו שאתם יודעים), כמו אימייל וסיסמה; something you have (משהו שיש לכם), כמו קוד חד-פעמי מאפליקציית אימות, SMS או מפתח אבטחה; או something you are (משהו שאתם), כמו אימות ביומטרי בטביעת אצבע.
בכניסה עם קוד חד-פעמי, הקוד פג אחרי שימוש ואי אפשר להשתמש בו שוב. זו הסיבה שחשוב להגדיר גם backup authentication method (שיטת אימות גיבוי) ולשמור recovery codes (קודי שחזור) במקום מאובטח.
דרישת Shopify Payments
הדרישה הזאת נועדה לצמצם פרצות אבטחה שיכולות לגרום להפניית תשלומים לא נכונה או להפסדים כספיים.
מי יכול להפעיל אימות דו-שלבי
כל משתמש צוות יכול להגדיר Two-step authentication (אימות דו-שלבי) עבור החשבון האישי שלו. Store owner (בעל החנות) לא יכול להפעיל אימות דו-שלבי בשם משתמש צוות אחר.
אם משתמש מתקשה עם קודים או שיטות אימות, עברו ל-Troubleshooting login (פתרון בעיות כניסה).
דרישת תוכנית Shopify Plus
בחנויות בתוכנית Shopify Plus אפשר לדרוש מכל המשתמשים בארגון להשתמש באימות דו-שלבי. זו הגדרת אבטחה ארגונית שמחזקת את כל חשבונות המשתמשים, ולא רק את חשבון הבעלים.
בקטגוריה הזאת
- Two-step authentication using SMS text messages (אימות דו-שלבי עם SMS).
- Two-step authentication using an authenticator app (אימות עם אפליקציית אימות).
- Two-step authentication using a security key (אימות עם מפתח אבטחה).
- Two-step authentication using a built-in authenticator (אימות מובנה במכשיר).
- Add a backup authentication method (הוספת שיטת אימות גיבוי).
- Shopify mobile prompts as a backup method (אישור דרך אפליקציית Shopify כשיטת גיבוי).
- Two-step authentication recovery codes (קודי שחזור).
- Logging in using two-step authentication (כניסה עם אימות דו-שלבי).
- Deactivating two-step authentication (כיבוי אימות דו-שלבי).
אילו גורמי אימות Shopify מתארת
Shopify מסבירה שאימות מאובטח נשען על שילוב בין סוגי גורמים. Something you know (משהו שאתם יודעים) הוא שילוב האימייל והסיסמה. Something you have (משהו שיש לכם) יכול להיות קוד חד-פעמי מאפליקציית אימות, הודעת SMS, או Security key (מפתח אבטחה). Something you are (משהו שאתם) הוא אימות ביומטרי, למשל טביעת אצבע.
השילוב הוא העיקר. אם סיסמה נגנבת בהתקפת phishing (דיוג), היא עדיין לא מספיקה בלי הקוד, המכשיר או המפתח. אם משתמש מאבד גישה למכשיר, חשוב שתהיה שיטת גיבוי או recovery codes (קודי שחזור). לכן תכנון אימות דו-שלבי אינו רק “להפעיל 2FA”, אלא לוודא שיש דרך כניסה בטוחה גם ביום שבו טלפון אבד, עובד החליף מכשיר, או קוד SMS לא מגיע.
שיטות המשך שמופיעות במקור
עמוד המקור של Shopify הוא עמוד פתיחה לסדרת מדריכים. הוא מפנה לשיטות SMS text messages (הודעות SMS), authenticator app (אפליקציית אימות), security key (מפתח אבטחה), built-in authenticator (מאמת מובנה), backup authentication method (שיטת גיבוי), Shopify mobile prompts (אישורי מובייל), recovery codes (קודי שחזור), כניסה בפועל עם אימות דו-שלבי, וכיבוי האימות.
במערך אבטחה מסודר, אל תסתפקו בשיטה אחת. עבור בעל החנות ומשתמשים עם Sensitive permissionsPermissions / הרשאותהרשאות שקובעות אילו משתמשים או אפליקציות יכולים לצפות, לערוך או לבצע פעולות בחנות.פתיחה במילון (הרשאות רגישות), כדאי להעדיף שיטה חזקה ונגישה, להוסיף גיבוי, ולשמור קודי שחזור במקום מאובטח שאינו תלוי באותו מכשיר. כך החשבון נשאר מוגן בלי ליצור נקודת כשל תפעולית.
מה בעל החנות יכול ולא יכול לעשות
כל Staff member (חבר צוות) מגדיר Two-step authentication (אימות דו-שלבי) עבור החשבון האישי שלו. Store owner (בעל החנות) לא יכול להפעיל אותו בשם עובד אחר. לכן אם העסק רוצה מדיניות אבטחה אחידה, צריך לתקשר לצוות את הדרישה, להסביר איזו שיטה להשתמש, ולבדוק שמשתמשים רגישים השלימו את ההגדרה.
בחנויות Shopify Plus, המקור מציין שאפשר לדרוש מכל המשתמשים בארגון להשתמש באימות דו-שלבי. זו יכולת ארגונית חשובה כי היא הופכת את הדרישה למדיניות ולא להמלצה ידנית. בחנויות שאינן משתמשות ביכולת הזאת, שמרו רשימת מעקב פנימית למשתמשים עם גישה להזמנות, לקוחות, פיננסים, אפליקציות או הגדרות.
תרחישי תקלה ושחזור
אם משתמש מתקשה להיכנס בגלל אימות דו-שלבי, עברו לתהליך Troubleshooting login (פתרון בעיות כניסה) ולא לכיבוי מהיר של אבטחה לכל החשבון. בדקו האם הקוד חד-פעמי פג, האם המכשיר הנכון זמין, האם קיימת שיטת גיבוי, והאם יש recovery codes (קודי שחזור).
כאשר מחליפים טלפון או מאפסים מכשיר, ודאו לפני ההחלפה שיש שיטת גיבוי פעילה. אם משתמשים ב-SMS, בדקו שמספר הטלפון עדיין בשליטת המשתמש. אם משתמשים באפליקציית אימות או Security key (מפתח אבטחה), ודאו שהמכשיר החדש או המפתח החדש מוגדרים לפני שמסירים את הישן.
בדיקות אבטחה תקופתיות
לפחות אחת לתקופה, עברו על המשתמשים בעלי גישה רחבה ובדקו מי הפעיל Two-step authentication (אימות דו-שלבי), מי מחזיק Sensitive permissionsPermissions / הרשאותהרשאות שקובעות אילו משתמשים או אפליקציות יכולים לצפות, לערוך או לבצע פעולות בחנות.פתיחה במילון (הרשאות רגישות), ומי כבר לא צריך גישה. חיזוק כניסה אינו מחליף ניהול הרשאות, אבל הוא מקטין משמעותית את הסיכון במקרה שסיסמה נחשפת.
לצד האימות, הזכירו לצוות לא לשתף credentials (פרטי התחברות), לא ללחוץ על קישורים חשודים, ולא להזין קודים באתר שאינו Shopify. אימות דו-שלבי מגן על הכניסה, אבל הוא יעיל ביותר כאשר משלבים אותו עם מודעות ל-phishing (דיוג) ועם Roles (תפקידים) שמוגדרים לפי צורך אמיתי.
שאלות נפוצות
האם לתת למשתמש הרשאת מנהל מלאה כדי לחסוך זמן?
לא כברירת מחדל. Shopify ממליצה לתת הרשאות לפי התפקיד בפועל, ולהפריד הרשאות רגישות כמו תשלומים, חיוב, לקוחות, אפליקציות והגדרות חנות.
מה לבדוק אחרי שינוי הרשאות או אבטחה?
בדקו שהמשתמש יכול לבצע את המשימות הדרושות לו, שאין לו גישה לאזורים שאינם קשורים לתפקידו, ושקיימת דרך שחזור מאובטחת כמו אימות דו-שלבי וקודי שחזור.