Com o lançamento do WHMCS 5.2.1 novos recursos foram adicionado ao WHMCS então resolvi criar alguns posts sobre essas novidades, esse será o primeiro post. O recurso “autenticação em 2 passos” nada mais é que uma segunda etapa para o login do seu cliente ou para seu ADMIN WHMCS… você ou seu cliente irá o acesso normalmente e logo após será solicitado um código de autenticação adicional! Esse código poderá ser gerado via Duo-Security, Tempo de Acesso/Token e Yubico. Vamos conhecer cada um!
Esse é o método mais completo pois possibilita autenticação em diversas plataformas ( iPhone, Android, Windows Phone, SMS e ligações telefônicas. Custo apartir de $3 dólares mensais. No link https://www.duosecurity.com/product você poderá conferir como funciona e conferir algumas demonstrações!
Após ativar/configurar esse recurso será fornecido um código de 6 dígitos válido por 30 segundos, para o funcionamento você precisa do Google Autenticador disponível em algumas plataformas como ( Android ou iPhone ). Apesar do aplicativo ser gratuito ( veja demonstração ) é necessário para habilitar uma licença de uso. Custo $1.50 dólares mensais ou $15 anuais ( ambos para ilimitados usuários ).
Utilizando esse método você terá um dispositivo USB ( tipo um pendrive ) e ao pressionar o botão será gerado uma senha senha válida 1 única vez, neste link você poderá encontrar outras informações. Custo $25 dólares cada dispositivo.
Confira abaixo um tutorial para comprar/instalar/configurar o método Tempo de Acesso/Token
– Faça a aquisição da licença neste link;
– Após confirmado pedido/pagamento efetue login em seu WHMCS;
– Clique no meu Help (Ajuda) > Check for Updates ( Verificar Atualizações ), processo recomendado conforme instruções .
– Em seguida clique no menu Setup ( Configurações ), Staff Management ( Gerenciamento de Equipe ) > Two-Factor Authentication ( Autenticação em 2 passos ).
– Procure por Time-Based One Time Passwords e clique no botão Activate, surgirá 2 campos a serem marcos Enable For Clients ( Ativar para Cliente ) e Enable for Staff ( Ativar para Equipe ).
– Para cadastrar o dispositivo basta clicar em My Account ( Minha Conta ) e procure por Two-Factor Authentication clique no botão Click here to Enable ou se preferir você poderá “obrigar” o admin/cliente no próximo login a efetuar o cadastro, vá em Force Settings ( Forçar configurações ) e marque as 2 opções existentes conforme imagem https://bit.ly/104TfwB
– Cadastro do dispositivo ( mesmo processo para o admin/cliente ).
1) Começar https://bit.ly/104WDaG
2) Abra o Google Autenticador e clique em Ler Código de Barras conforme imagem https://bit.ly/104YgFj
3) Em seguida verifique o código gerado e insira https://bit.ly/104YQ5U
4) Para finalizar você receberá uma confirmação + código de backup ( caso você não esteja com dispositivo em mãos ).
Assim no próximo login ( https://bit.ly/1050swx ) você irá informar seu usuário/senha e em seguida você deverá o código gerado pelo google autenticador (https://bit.ly/1050Gnq) ou o código de backup https://bit.ly/1051adn que por sua vez será renovado ( https://bit.ly/1051Gry)
Gostou? Comente!
Não gostei, deveria ter uma opção gratuita, sempre tem gente que não pode pagar.
Concordo!
Caramba, eu estava digitando um comentário e pelo visto a pagina tem um auto-refresh, perdi o comentário.
Alvaro,
Limpa o cache do seu navegador e tenta novamente.
Esse refresh já foi retirado definitivamente do blog.
Não gostei, deveria ter uma opção gratuita, sempre tem gente que não pode pagar.
Concordo!
Caramba, eu estava digitando um comentário e pelo visto a pagina tem um auto-refresh, perdi o comentário.
Alvaro,
Limpa o cache do seu navegador e tenta novamente.
Esse refresh já foi retirado definitivamente do blog.
Será se tem como o recurso Duo-Security funcionar somente para a administração ou se tiver instalado tem que ser também para todos os usuários da area do cliente.
Sera se é confiável este metodo?
Você quem decide!
Se quiser pode deixar somente para o admin ou para alguns clientes.
Será se tem como o recurso Duo-Security funcionar somente para a administração ou se tiver instalado tem que ser também para todos os usuários da area do cliente.
Sera se é confiável este metodo?
Você quem decide!
Se quiser pode deixar somente para o admin ou para alguns clientes.
[…] Adicionada a autenticação em 2 passos; […]
Realmente Edvan, o serviço Duo-security é bem melhor, porém por ser cobrado mensalmente por usuário é muito caro.
Neste caso é melhor a opção do Google. Você está usando alguma destas opções?
Parabéns pelo artigo.
Se você fazer o pagamento anual fica melhor, $15/12 = 1,25 mensal ou R$ 30,00 anuais.
Não conheço módulo gratuito.
Se não quiser fazer esse investimento siga essas dicas https://www.whmcs.blog.br/principal/seguranca-no-whmcs/
R$ 30,00 por ano para usuários ilimitados não é caro. Mas este recurso no meu ponto de vista é mais para acesso no /admin, não veja necessidade de mais uma rotina para o usuário.
Ah! Uma dúvida, como fica se a pessoa não tiver um celular com os sistemas possíveis, tem que usar áquela senha grande de backup?
Talvez para o usuário não seja interessante, mas algumas empresas aqui no brasil já utiliza TOKEN, exemplo ( hostnet ), registro.br.
Correto, tem que utilizar a senha de backup… após o uso ele vai informar uma nova senha.
Bom final de semana!
Realmente Edvan, o serviço Duo-security é bem melhor, porém por ser cobrado mensalmente por usuário é muito caro.
Neste caso é melhor a opção do Google. Você está usando alguma destas opções?
Parabéns pelo artigo.
Se você fazer o pagamento anual fica melhor, $15/12 = 1,25 mensal ou R$ 30,00 anuais.
Não conheço módulo gratuito.
Se não quiser fazer esse investimento siga essas dicas https://www.whmcs.blog.br/pr…
R$ 30,00 por ano para usuários ilimitados não é caro. Mas este recurso no meu ponto de vista é mais para acesso no /admin, não veja necessidade de mais uma rotina para o usuário.
Ah! Uma dúvida, como fica se a pessoa não tiver um celular com os sistemas possíveis, tem que usar áquela senha grande de backup?
Talvez para o usuário não seja interessante, mas algumas empresas aqui no brasil já utiliza TOKEN, exemplo ( hostnet ), registro.br.
Correto, tem que utilizar a senha de backup… após o uso ele vai informar uma nova senha.
Bom final de semana!
[…] WHMCS 5.2 foi lançado em 12/03/2013 e conforme prometi neste post irei dá continuidade na divulgação dos novos recursos implementados nesta nova versão […]
[…] e aos poucos estou criando posts para explicar o funcionamento. O primeiro foi sobre “autenticação em 2 passos“, o segundo “avaliação de ticket” e o post de hoje será sobre […]
Edvan, não sei se vc usa o Duo-Security, mas se usa, faça um teste. Se um administrador tiver usando e trocar o telefone, vamos supor que ele não tenha o barcode mais, então, se vc desabilitar o esquema do Duo-Security para este usuário e habilitar novamente o sistema não vai iniciar para este usuário do zero, já cai na tela como já estivesse configurado e aí não dá para pegar o barcode novo para este usuário. WHMCS disse que era para limpar tabela relacinada no banco, mesmo assim nada. 🙁
Não utilizo, infelizmente não tenho como te ajudar!
Edvan, não sei se vc usa o Duo-Security, mas se usa, faça um teste. Se um administrador tiver usando e trocar o telefone, vamos supor que ele não tenha o barcode mais, então, se vc desabilitar o esquema do Duo-Security para este usuário e habilitar novamente o sistema não vai iniciar para este usuário do zero, já cai na tela como já estivesse configurado e aí não dá para pegar o barcode novo para este usuário. WHMCS disse que era para limpar tabela relacinada no banco, mesmo assim nada. 🙁
Não utilizo, infelizmente não tenho como te ajudar!
[…] seu cliente ou para seu ADMIN WHMCS. Por padrão você precisa pagar para utilizar esse recurso ( neste post tem outros detalhes ) chato né? Pensando nisso um desenvolvedor criou um Addon gratuito baseado […]