“Autenticação em 2 passos” no WHMCS

28

Com o lançamento do WHMCS 5.2.1 novos recursos foram adicionado ao WHMCS então resolvi criar alguns posts sobre essas novidades, esse será o primeiro post. O recurso “autenticação em 2 passos” nada mais é que uma segunda etapa para o login do seu cliente ou para seu ADMIN WHMCS… você ou seu cliente irá o acesso normalmente e logo após será solicitado um código de autenticação adicional! Esse código poderá ser gerado via Duo-SecurityTempo de Acesso/Token e Yubico. Vamos conhecer cada um!

Duo-Security

Esse é o método mais completo pois possibilita autenticação em diversas plataformas ( iPhone, Android, Windows Phone, SMS e ligações telefônicas. Custo apartir de $3 dólares mensais. No link https://www.duosecurity.com/product você poderá conferir como funciona e conferir algumas demonstrações!

Tempo de Acesso/Token

Após ativar/configurar esse recurso será fornecido um código de 6 dígitos válido por 30 segundos, para o funcionamento você precisa do Google Autenticador disponível em algumas plataformas como ( Android ou iPhone ). Apesar do aplicativo ser gratuito ( veja demonstração ) é necessário para habilitar uma licença de uso. Custo $1.50 dólares mensais ou $15 anuais ( ambos para ilimitados usuários ).

Yubico

Utilizando esse método você terá um dispositivo USB ( tipo um pendrive ) e ao pressionar o botão será gerado uma senha senha válida 1 única vez, neste link  você poderá encontrar outras informações. Custo $25 dólares cada dispositivo.

Confira abaixo um tutorial para comprar/instalar/configurar o método Tempo de Acesso/Token

– Faça a aquisição da licença neste link;

– Após confirmado pedido/pagamento efetue login em seu  WHMCS;

– Clique no meu Help (Ajuda) > Check for Updates ( Verificar Atualizações ), processo recomendado conforme instruções .

– Em seguida clique no menu Setup ( Configurações ), Staff Management ( Gerenciamento de Equipe ) > Two-Factor Authentication ( Autenticação em 2 passos ).

– Procure por Time-Based One Time Passwords e clique no botão Activate, surgirá 2 campos a serem marcos Enable For Clients ( Ativar para Cliente ) e Enable for Staff ( Ativar para Equipe ). 

– Para cadastrar o dispositivo basta clicar em My Account ( Minha Conta ) e procure por Two-Factor Authentication clique no botão Click here to Enable ou se preferir você poderá “obrigar” o admin/cliente no próximo login a efetuar o cadastro, vá em Force Settings ( Forçar configurações ) e marque as 2 opções existentes conforme imagem https://bit.ly/104TfwB

– Cadastro do dispositivo  ( mesmo processo para o admin/cliente ).

1) Começar https://bit.ly/104WDaG
2) Abra o Google Autenticador e clique em Ler Código de Barras conforme imagem https://bit.ly/104YgFj
3) Em seguida verifique o código gerado e insira https://bit.ly/104YQ5U
4) Para finalizar você receberá uma confirmação + código de backup ( caso você não esteja com dispositivo em mãos ).

Assim no próximo login ( https://bit.ly/1050swx ) você irá informar seu usuário/senha e em seguida você deverá o código gerado pelo google autenticador (https://bit.ly/1050Gnq) ou o código de backup https://bit.ly/1051adn que por sua vez será renovado ( https://bit.ly/1051Gry)

Gostou? Comente!

28 COMENTÁRIOS

  1. Será se tem como o recurso Duo-Security funcionar somente para a administração ou se tiver instalado tem que ser também para todos os usuários da area do cliente.
    Sera se é confiável este metodo?

  2. Será se tem como o recurso Duo-Security funcionar somente para a administração ou se tiver instalado tem que ser também para todos os usuários da area do cliente.
    Sera se é confiável este metodo?

  3. Realmente Edvan, o serviço Duo-security é bem melhor, porém por ser cobrado mensalmente por usuário é muito caro.
    Neste caso é melhor a opção do Google. Você está usando alguma destas opções?
    Parabéns pelo artigo.

      • R$ 30,00 por ano para usuários ilimitados não é caro. Mas este recurso no meu ponto de vista é mais para acesso no /admin, não veja necessidade de mais uma rotina para o usuário.
        Ah! Uma dúvida, como fica se a pessoa não tiver um celular com os sistemas possíveis, tem que usar áquela senha grande de backup?

        • Talvez para o usuário não seja interessante, mas algumas empresas aqui no brasil já utiliza TOKEN, exemplo ( hostnet ), registro.br.

          Correto, tem que utilizar a senha de backup… após o uso ele vai informar uma nova senha.

          Bom final de semana!

  4. Realmente Edvan, o serviço Duo-security é bem melhor, porém por ser cobrado mensalmente por usuário é muito caro.
    Neste caso é melhor a opção do Google. Você está usando alguma destas opções?
    Parabéns pelo artigo.

      • R$ 30,00 por ano para usuários ilimitados não é caro. Mas este recurso no meu ponto de vista é mais para acesso no /admin, não veja necessidade de mais uma rotina para o usuário.
        Ah! Uma dúvida, como fica se a pessoa não tiver um celular com os sistemas possíveis, tem que usar áquela senha grande de backup?

        • Talvez para o usuário não seja interessante, mas algumas empresas aqui no brasil já utiliza TOKEN, exemplo ( hostnet ), registro.br.

          Correto, tem que utilizar a senha de backup… após o uso ele vai informar uma nova senha.

          Bom final de semana!

  5. Edvan, não sei se vc usa o Duo-Security, mas se usa, faça um teste. Se um administrador tiver usando e trocar o telefone, vamos supor que ele não tenha o barcode mais, então, se vc desabilitar o esquema do Duo-Security para este usuário e habilitar novamente o sistema não vai iniciar para este usuário do zero, já cai na tela como já estivesse configurado e aí não dá para pegar o barcode novo para este usuário. WHMCS disse que era para limpar tabela relacinada no banco, mesmo assim nada. 🙁

  6. Edvan, não sei se vc usa o Duo-Security, mas se usa, faça um teste. Se um administrador tiver usando e trocar o telefone, vamos supor que ele não tenha o barcode mais, então, se vc desabilitar o esquema do Duo-Security para este usuário e habilitar novamente o sistema não vai iniciar para este usuário do zero, já cai na tela como já estivesse configurado e aí não dá para pegar o barcode novo para este usuário. WHMCS disse que era para limpar tabela relacinada no banco, mesmo assim nada. 🙁

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here