Kétfaktoros hitelesítéssel rendelkező vállalati weboldal létrehozása és fejlesztése

Kétfaktoros weboldal magánügyfeleknek

A Kétfaktoros weboldal akkor jó választás, ha a belépéshez nem elég egy jelszó, hanem kell egy második ellenőrzési lépés is. Ez lehet alkalmazásban kapott kód, egyszer használható szám, biztonsági kulcs vagy más megoldás, amely csökkenti a jogosulatlan belépés esélyét. Magánügyfélként ez főleg akkor fontos, ha a weboldalon ügyfélfiókok, belső anyagok, tanfolyami felületek, fizetős tartalmak, rendelési adatok vagy személyes dokumentumok vannak. A fejlesztés távolról is elvégezhető, ha a hozzáférések, a jelenlegi rendszer leírása és az elvárt működés világos.

Én azt látom, hogy sok ügyfél nem új weboldalt akar azonnal, hanem a meglévő oldalát szeretné biztonságosabbá tenni. Ez teljesen életszerű igény. Egy jól beállított kétlépcsős belépés nem látványos elem, mégis sok későbbi gondot megelőzhet. De nem mindegy, hogyan készül. Ha a folyamat túl bonyolult, a felhasználók elakadnak. Ha túl laza, akkor nem ad elég védelmet. A jó megoldás a kettő között van. A Qjob.hu felületén magánszakemberek között lehet keresni olyan fejlesztőt, aki ilyen online feladatot vállal.

Kétfaktoros weboldal feladatok és célok

A Kétfaktoros weboldal fejlesztése nem csak egy kapcsoló bekapcsolása. Először tisztázni kell, milyen felhasználók lépnek be, milyen adatokhoz férnek hozzá, van e admin felület, kell e külön védelem a szerkesztőknek, és mi történjen akkor, ha valaki elveszíti a hitelesítő alkalmazását. Tapasztalatom szerint a legtöbb félreértés abból jön, hogy az ügyfél csak annyit mond, legyen kétfaktoros belépés, de nincs végiggondolva a teljes út.

Egy magánszemélynek készülő oldalnál gyakori igény a tagsági rendszer védelme, a belső oktatási anyagok elérése, a fizetett fiókok biztonsága vagy az adminisztrációs rész megerősítése. Egy webfejlesztő ilyenkor megnézi, milyen alapra épül az oldal. Más a munka egy tartalomkezelő rendszerben, más egy egyedi fejlesztésben, és megint más egy régi, sok kiegészítővel működő oldalon. Szerintem az első döntés mindig az legyen, hogy a második lépés a teljes felhasználói körre vonatkozzon, vagy csak azokra, akik érzékenyebb adatokat kezelnek.

Volt olyan eset, amikor egy ügyfél azt kérte, hogy minden látogatónak kötelező legyen a második ellenőrzés már az első regisztráció után. A cél érthető volt, de a felület kezdő felhasználóknak készült. A túl szigorú belépés miatt sokan nem jutottak tovább. Végül az admin és a fizetős fiókok kaptak kötelező védelmet, a többi felhasználónak pedig választható lett. Ez működőképesebb volt, és kevesebb panaszt okozott.

Kétlépcsős belépés ára

A kétlépcsős belépés ára attól függ, mennyire összetett a weboldal, van e már felhasználói rendszer, kell e új belépési folyamat, és szükséges e mentőkód, naplózás vagy egyedi értesítés. A túl olcsó munka ezen a területen gyakran gyengébb minőséget jelent, mert a fejlesztő csak a látható részt állítja be, de nem teszteli a hibás kódot, az elveszett hozzáférést vagy a visszaállítási folyamatot. Ez később több kárt okozhat, mint amennyit az ügyfél az elején megtakarít.

Ezek az összegek távoli munkára értendők, és nem tartalmaznak minden lehetséges helyzetet. Egy egyszerű oldalnál gyorsan lehet haladni. Egy összetett rendszerben viszont előbb fel kell mérni a jelenlegi belépési logikát. Én nem tartom jó jelnek, ha valaki ár nélkül, kérdések nélkül azonnal vállal mindent. Ilyenkor vagy nem látja a kockázatot, vagy csak később derül ki, hogy sok kiegészítő munka kell.

Megfelelő szakember választása

A megfelelő szakember kiválasztásánál nem elég azt nézni, hogy készített e már weboldalt. Itt biztonsági gondolkodás is kell. A fejlesztő értse a belépési folyamatot, tudjon beszélni jogosultságokról, visszaállításról, mentőkódokról és tesztelésről. Nem kell mindent technikai nyelven elmagyaráznia, de legyen képes érthetően leírni, mit fog módosítani, és mihez kér hozzáférést.

Magánügyfélként érdemes portfóliót kérni, de nem mindig lesz publikus példa, mert a belépési rendszerek részletei sokszor nem nyilvánosak. Ilyenkor hasznosabb egy rövid szakmai leírás. Kérdezd meg, hogyan kezeli az elveszett hitelesítő eszközt, milyen teszteket végez, és mi történik, ha a beállítás után valaki nem tud belépni. Sokan ott hibáznak, hogy csak az árat hasonlítják össze. Pedig ezen a területen a felelősség nagyobb, mint egy egyszerű szöveges aloldalnál.

Szerintem jó jel, ha a szakember nem kér feleslegesen teljes hozzáférést mindenhez, hanem pontosan megmondja, mire van szüksége. Jó jel az is, ha a munka végén rövid átadási leírást ad. Ebben szerepelhet, hol lehet kezelni a kétfaktoros beállítást, hogyan lehet új eszközt csatlakoztatni, és mikor kell mentőkódot használni. Ez nem hosszú dokumentum, de sok bizonytalanságot levesz az ügyfélről.

Online munkafolyamat és átadás

Az online munkafolyamat általában rövid egyeztetéssel indul. Az ügyfél leírja, milyen oldalról van szó, kik lépnek be, milyen szerepkörök vannak, és miért kell erősebb védelem. Ezután a szakember felméri a rendszert. Ha van tesztkörnyezet, ott érdemes kipróbálni a módosítást. Ha nincs, akkor különösen fontos az időzítés, mert a belépési rész hibája az egész oldalt érintheti.

A munka során a kapcsolattartás történhet üzenetben, videós egyeztetés nélkül is, de a feladatleírás legyen pontos. Kell tudni, milyen hitelesítési módot kér az ügyfél, milyen felhasználóknak legyen kötelező, legyen e mentőkód, és kapjanak e értesítést a felhasználók. Egy kétfaktoros hitelesítésű weboldal akkor lesz használható, ha nem csak a fejlesztő érti, hanem az oldal tulajdonosa is.

Az átadásnál fontos a próbabelépés. Nem elég az, hogy a funkció elkészült. Meg kell nézni sikeres belépéssel, rossz kóddal, lejárt kóddal, új eszközzel és visszaállítási helyzettel is. A fejlesztés végén a hozzáféréseket rendezni kell. A felesleges ideiglenes belépéseket törölni vagy korlátozni kell. Ez apróságnak tűnik, de biztonsági feladatnál nem az.

Felhasználói élmény és biztonságos belépési fejlesztés

A biztonságos belépési fejlesztés nem lehet csak akadály. Ha a felhasználó nem érti, mit kell tennie, támogatást fog kérni, vagy elhagyja az oldalt. Ezért a szövegek, hibaüzenetek és visszaállítási lépések ugyanúgy részei a munkának, mint maga a kód. Rövid mondatok kellenek. Például világos üzenet arról, hogy nyissa meg a hitelesítő alkalmazást, írja be a hatjegyű kódot, és őrizze meg a mentőkódokat.

Én azt látom, hogy a jó felhasználói élmény ezen a ponton csendes. Nem akar feltűnni. A felhasználó belép, megkapja a kérést, érti a következő lépést, és halad tovább. Ha minden kattintásnál bizonytalan, akkor a megoldás túltervezett. De ha nincs tartalék belépési út, akkor egy elveszett telefon teljes kizárást okozhat. A kettő közötti arányt kell megtalálni.

A Kétfaktoros weboldal fejlesztésénél érdemes külön figyelni arra, hogy a második lépés ne rontsa el a meglévő regisztrációt, jelszóemlékeztetőt vagy fiókmódosítást. Ezek gyakran összefüggenek. Egy rosszul beépített kiegészítés megakaszthatja a fizetést, a tananyag elérését vagy az ügyfélfiókot. Ezért kell próba több szerepkörrel, nem csak egy admin belépéssel.

Gyakori ügyfélhibák kétfaktoros védelemnél

Sokan ott hibáznak, hogy a kétfaktoros védelmet utólagos apróságnak kezelik. Pedig belépési rendszert érint. Ha nincs mentés, nincs pontos hozzáférési lista, és nincs teszt, akkor a módosítás kockázatos lehet. Másik gyakori hiba, hogy az ügyfél nem dönti el, kikre vonatkozzon a kötelező védelem. Mindenkire, csak az adminokra, vagy csak a fizetős felhasználókra. Ezt nem a fejlesztőnek kell egyedül kitalálnia.

Van egy másik probléma is. Néhány ügyfél csak azért kér kétlépcsős belépést, mert hallotta, hogy ez biztonságos. Ez igaz, de nem old meg mindent. A gyenge jelszókezelés, a megosztott admin fiók, az elavult bővítmény és a mentés hiánya továbbra is gond marad. Tapasztalatom szerint a legjobb eredmény akkor születik, ha a hitelesítés mellett az alapvető weboldalbiztonságot is át kell nézni, legalább röviden.

Volt olyan eset, amikor egy régi oldalra kértek új védelmet, de közben kiderült, hogy több régi admin fiók még aktív. A tulajdonos már nem is tudta, kihez tartoznak. Ilyenkor ez a védett belépési forma önmagában nem elég. Előbb rendbe kell tenni a jogosultságokat, és csak utána érdemes erősíteni a belépést. Ez kevésbé látványos munka, de nagyon fontos.

Kész anyagok és reális elvárások

A gyors és pontos munka alapja a jó előkészítés. Az ügyfél adja át a weboldal címét, a rendszer típusát, a jelenlegi belépési módot, a felhasználói szerepköröket, és azt, hogy milyen eredményt vár. Nem kell hosszú dokumentum. Elég egy tiszta felsorolás. Kell még egy kapcsolattartási mód, mert biztonsági fejlesztésnél néha gyors döntést kell hozni.

Reális elvárás, hogy egy egyszerű beállítás néhány munkanapon belül elkészüljön. Egy egyedi rendszer viszont több egyeztetést kérhet. A határidőt az is befolyásolja, hogy van e próbakörnyezet, kell e új felület, és hány szerepkört kell ellenőrizni. Én azt tartom korrektnek, ha a szakember már az elején jelzi, mi tartozik az árba, és mi számít külön feladatnak. Így nincs kellemetlen vita a munka végén.

A kétfaktoros hitelesítésű weboldal akkor ad valódi értéket, ha használható marad, nem csak papíron biztonságosabb. A magánügyfélnek nem mély technikai részletekre van szüksége, hanem világos működésre, rendezett átadásra és olyan megoldásra, amelyet később is tud kezelni. Ezért a jó fejlesztés egyszerre figyel a védelemre, a belépési élményre és arra, hogy a kész rendszer ne okozzon újabb gondot.