Security Scan Tool restituisce "Impossibile determinare se il server utilizza 2FA"

Verificare se il modulo Magento_TwoFactorAuth è stato disabilitato. Per superare il controllo, in generale, deve essere abilitato.

Descrizione description

Ambiente

Adobe Commerce, tutte le versioni e tutte le implementazioni (incluso Magento Open Source)

Problema

Lo strumento Security Scan riporta che "Impossibile determinare se il server utilizza 2FA".

Risoluzione resolution

Durante la verifica della presenza di 2FA front-end, lo strumento Security Scan prevede che uno degli endpoint seguenti risponda con il codice di risposta HTTP 200, 401 o 403:

'rest/default/V1/tfa/provider/authy/activate',
'rest/default/V1/tfa/provider/duo_security/activate',
'rest/default/V1/tfa/provider/google/activate',
'rest/default/V1/tfa/provider/u2fkey/activate',
'rest/default/V1/tfa/forced-providers',
'rest/default/V1/msp-2fa/installed-providers',
'rest/default/V1/msp-2fa/forced-providers',
'rest/V1/tfa/provider/authy/activate',
'rest/V1/tfa/provider/duo_security/activate',
'rest/V1/tfa/provider/google/activate',
'rest/V1/tfa/provider/u2fkey/activate',
'rest/V1/tfa/forced-providers',
'rest/V1/msp-2fa/installed-providers',
'rest/V1/msp-2fa/forced-providers',
'rest/all/schema?services=twoFactorAuthAdminTokenServiceV1'

In generale, Magento_TwoFactorAuth deve essere abilitato, ma:

Se hai abilitato un modulo 2FA di terze parti, contatta il team dello strumento di analisi della sicurezza (securityscan@magento.com).

Causa

Il modulo Magento_TwoFactorAuth (o un altro modulo 2FA) è stato disabilitato e gli endpoint associati al modulo non possono essere raggiunti dallo strumento Security Scan.

Lettura correlata

Guida alla risoluzione dei problemi relativi allo strumento Adobe Commerce Security Scan nella Knowledge Base di Adobe Commerce