Гид по технологиям

Как включить двухэтапную аутентификацию в Shopify

8 min read Безопасность Обновлено 06 Dec 2025
Двухэтапная аутентификация в Shopify — настройка и безопасность
Двухэтапная аутентификация в Shopify — настройка и безопасность

Двухэтапная аутентификация (2FA) добавляет второй уровень защиты к учётной записи Shopify: помимо пароля потребуется код из приложения-аутентификатора, ключ безопасности или SMS. Лучший выбор — приложение-аутентификатор или аппаратный ключ; SMS надёжна слабее. В статье — пошаговая настройка трёх методов, рекомендации по хранению резервных кодов, советы по устранению проблем и чек-листы для владельцев и сотрудников.

Настройка двухэтапной аутентификации в Shopify

Shopify позволяет включить двухэтапную аутентификацию. Это значит, что помимо обычного пароля (первый шаг) при входе потребуется дополнительный код (второй шаг). Без этого кода вы не сможете войти в учётную запись — поэтому 2FA эффективно предотвращает несанкционированный доступ.

Коды для двухфакторной аутентификации обычно генерируются случайно и действуют ограниченное время, что делает их безопаснее паролей. Ниже — подробная инструкция по включению 2FA в Shopify через приложение-аутентификатор, аппаратный ключ (security key) или SMS, а также дополнительные советы по защите аккаунта.

Быстрая последовательность шагов

  1. Войдите в Shopify, нажмите “Manage account” в правом верхнем углу.
  2. Откройте раздел “Security” → найдите «Two-step authentication» → нажмите “Turn on two-step”.
  3. Выберите метод: Authenticator app, Security key или SMS delivery.
  4. Следуйте инструкциям для выбранного метода и сохраните 10 восстановительных кодов в надёжном месте.

Нажмите Manage account, чтобы открыть настройки аккаунта

Подробная инструкция: как настроить двухэтапную аутентификацию

Перейдите в Shopify и войдите в учётную запись. Нажмите “Manage account” в правом верхнем углу. Откройте меню слева — выберите “Security”. Прокрутите до блока “Two-step authentication” и нажмите “Turn on two-step”.

Пункт Security в меню аккаунта Shopify

После этого вам предложат три варианта настройки.

Варианты настройки двухэтапной аутентификации в Shopify

Выберите подходящий метод и следуйте разделам ниже.

Использование приложения-аутентификатора (рекомендуется)

Shopify рекомендует этот способ, он наиболее безопасен и удобен.

  1. Выберите “Authenticator app” и нажмите “Next”.
  2. Откройте приложение-аутентификатор на телефоне (например, Authy, Microsoft Authenticator, или любой совместимый TOTP-клиент).
  3. В приложении выберите «Add Account» → «Scan QR Code» и наведите камеру на QR-код на экране Shopify. Если сканировать нельзя, выберите «Enter Code Manually» и введите 32-символьный ключ, показанный в Shopify.
  4. На компьютере введите пароль Shopify и 6-значный код из приложения. Нажмите “Enable”.
  5. Сохраните 10 восстановительных кодов, которые отображаются затем — распечатайте, сохраните в менеджере паролей или храните в надёжном офлайн-месте.

Сканирование QR-кода для приложения-аутентификатора

Печать или сохранение восстановительных кодов Shopify

Важно: восстановительные коды можно использовать один раз каждый. Если потеряли доступ к приложению, коды — единственный способ восстановить вход.

Использование аппаратного ключа безопасности

Ключ безопасности (например, FIDO2/WebAuthn-ключ) обеспечивает высокий уровень защиты. Учтите: аппаратный ключ обычно привязан к одному устройству — чтобы входить с других устройств, потребуется либо дополнительный ключ, либо альтернативный метод 2FA.

  1. Выберите “Security key” и нажмите “Next”.
  2. Введите имя для ключа и ваш пароль Shopify. Нажмите “Add device”.
  3. Браузер запросит взаимодействие с ключом: нажмите Ok и вставьте ключ в USB-порт или подключите по NFC/USB-C в зависимости от устройства.
  4. Как и у других методов, вы получите 10 восстановительных кодов — сохраните их в надёжном месте.

Процесс настройки аппаратного ключа безопасности

Если ключ утерян, восстановиться можно только через сохранённые коды.

Использование SMS (меньшая защита)

SMS удобен, но уязвим к перехвату (SIM-swap) и перехвату сообщений, поэтому рассматривайте его как запасной вариант.

  1. Выберите “SMS delivery” и нажмите “Next”.
  2. Выберите код страны и введите номер телефона. Нажмите “Send authentication code”.
  3. Введите 6-значный код, который придёт в SMS, и ваш пароль Shopify, затем нажмите “Enable”.
  4. Сохраните 10 восстановительных кодов, как и в других методах.

Отправка SMS-кода для настройки 2FA в Shopify

Как отключить двухэтапную аутентификацию

Если вы решили отключить 2FA:

  1. Войдите в аккаунт Shopify → профиль → “Manage account” → “Security”.
  2. В разделе “Two-step authentication” рядом с номером или устройством нажмите “Remove”.
  3. Введите пароль и подтвердите удаление.

После этого при входе будет требоваться только пароль.

Кнопка Remove для отключения двухэтапной аутентификации

Что делать с восстановительными кодами — правила хранения

  • Сохраните коды сразу после генерации.
  • Не храните их в открытом виде в почте.
  • Рекомендуемые места: менеджер паролей с шифрованием, безопасный офлайн-носитель (защищённая флешка) или бумажная копия в сейфе.
  • Каждый код можно использовать один раз — если израсходовали все, создайте новую пару 2FA и получите новые коды.

Important: без восстановительных кодов и доступа к устройству утерянная учетная запись может быть сложно восстановить.

Когда один метод не работает: распространённые проблемы и решения

  • Приложение выдаёт неверный код: проверьте время на телефоне — TOTP требует точного времени. Синхронизируйте время в настройках телефона.
  • QR-код не сканируется: в приложении выберите ручной ввод и используйте 32-символьный ключ.
  • Аппаратный ключ не распознаётся: проверьте поддержку браузера, обновите браузер или попробуйте другой USB-порт.
  • SMS не доставляется: проверьте корректный номер и зону покрытия; попробуйте временно переключить на другой метод.
  • Потеряли доступ и к устройству, и к восстановительным кодам: обратитесь в поддержку Shopify и предоставьте доказательства владения аккаунтом (будьте готовы к длительной процедуре).

Альтернативы и когда 2FA может не подходить

  • Если у сотрудников нет безопасных личных устройств, централизованная настройка аппаратных ключей может быть неудобна.
  • Для автоматизированных сервисных аккаунтов можно использовать отдельную стратегию: ограничение IP, VPN и API-ключи с минимальными правами.
  • В экстренных ситуациях (например, отсутствие доступа у владельца) временно отключать 2FA не рекомендовано — лучше организовать запасной ключ или доверенное лицо с ограничёнными правами.

Модель зрелости безопасности учётной записи (упрощённо)

  • Уровень 0: только пароль — уязвимо.
  • Уровень 1: пароль + SMS — базовая защита, уязвимость к SIM-swap.
  • Уровень 2: пароль + приложение-аутентификатор (TOTP) — хорошая защита для большинства пользователей.
  • Уровень 3: пароль + аппаратный ключ — наивысшая практическая защита от взлома.

Цель: стремиться как минимум к уровню 2 для всех аккаунтов и к уровню 3 для ключевых ролей.

Чек-листы по ролям

Чек-лист для владельца магазина:

  • Включите 2FA через приложение-аутентификатор или аппаратный ключ.
  • Сохраните и надёжно храните восстановительные коды.
  • Настройте второй аппаратный ключ или резервный метод для экстренных случаев.
  • Ограничьте права сотрудников до необходимых.

Чек-лист для сотрудника:

  • Настройте 2FA через приложение-аутентификатор.
  • Удостоверьтесь, что устройство обновлено и защищено PIN/биометрией.
  • Сообщите администратору, если меняете номер телефона или устройство.

Чек-лист для IT-администратора:

  • Введите политику обязательного 2FA для всех критических ролей.
  • Обеспечьте запасные аппаратные ключи и централизованный процесс восстановления.
  • Внедрите журналирование входов и оповещения о подозрительных попытках.

План действий при потере доступа (runbook)

  1. Попробуйте восстановительные коды.
  2. Если кодов нет, используйте альтернативный зарегистрированный метод (другой ключ или номер).
  3. Если ничего не доступно, свяжитесь с поддержкой Shopify и подготовьте доказательства владения (информация о транзакциях, письмо с домена магазина и т. п.).
  4. После восстановления немедленно измените пароли и настройте новую 2FA конфигурацию.

Безопасное использование 2FA: дополнительные рекомендации

  • Используйте менеджер паролей и уникальные пароли для разных сервисов.
  • Держите устройство с аутентификатором в актуальном состоянии и защищённым PIN/биометрией.
  • Если используете аппаратный ключ, заведите как минимум два ключа: основной и резервный.
  • Ограничьте доступ по ролям и IP, где это возможно.

Конфиденциальность и хранение персональных данных

Shopify использует указанные вами телефон и почту для доставки кодов и уведомлений. Храните телефон и почту актуальными и защищёнными. При работе с персональными данными сотрудников соблюдайте локальное законодательство о защите данных (например, GDPR в ЕС) — храните номера и резервные коды безопасно.

Когда стоит выбрать каждый метод

  • Приложение-аутентификатор: рекомендован для большинства пользователей — сочетание безопасности и удобства.
  • Аппаратный ключ: для критичных аккаунтов и владельцев — максимальная защита.
  • SMS: когда нет доступа к смартфону с аутентификатором и аппаратным ключам — как запасной вариант.

Минимальная проверка приёмки (Критерии приёмки)

  • 2FA включена и подтверждена одним из методов.
  • Восстановительные коды сохранены в безопасном месте.
  • Проверено, что при входе запрашивается второй фактор.
  • Уведомления о входе приходят на основной и резервный адреса (если настроены).

Часто задаваемые вопросы

Q: Могу ли я использовать одно приложение-аутентификатор на нескольких устройствах?
A: Многие приложения (например, Authy) поддерживают синхронизацию между устройствами, но стандартный TOTP предполагает отдельную настройку на каждом устройстве. Если нужно несколько устройств, создайте запись на каждом или используйте менеждер-паролей с поддержкой TOTP.

Q: Что лучше: аппаратный ключ или приложение-аутентификатор?
A: Аппаратный ключ обеспечивает более высокий уровень защиты от фишинга и удалённых атак. Приложение-аутентификатор удобнее и всё ещё очень безопасно для большинства пользователей.

Q: Могу ли я восстановить доступ, если потерял и телефон, и восстановительные коды?
A: Обратитесь в поддержку Shopify. Процесс восстановления требует подтверждения владения и может занять время.

Q: Нужно ли отключать 2FA при смене номера телефона?
A: Нет: лучше добавить новый номер как альтернативный метод заранее или перенастроить 2FA (например, установить приложение на новое устройство) до удаления старого номера.

Сводка

  • Включение 2FA — один из самых эффективных шагов для защиты аккаунта Shopify.
  • Приложение-аутентификатор и аппаратный ключ предпочитаются над SMS.
  • Сохраните 10 восстановительных кодов и храните их в безопасности.
  • Для команды внедрите политику обязательного 2FA и запасные ключи.

Important: безопасность — это процесс. Пересмотрите настройки доступа и методы восстановления регулярно.

Если хотите, могу подготовить короткий план внедрения 2FA для всей команды (шаблон электронного письма и чек-лист развертывания).

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Rate limiting в Node.js и Express
Backend

Rate limiting в Node.js и Express

Google Gemini на iPhone: включить и убрать
Мобильные гайды

Google Gemini на iPhone: включить и убрать

Xbox не пускает в онлайн — как исправить
Игры

Xbox не пускает в онлайн — как исправить

Архивирование писем в Outlook: пошагово
Email

Архивирование писем в Outlook: пошагово

Восстановление файлов с сломанного ноутбука
Data Recovery

Восстановление файлов с сломанного ноутбука

Почему BeReal падает и как это исправить
Мобильные приложения

Почему BeReal падает и как это исправить