Nastavení zákaznického účtu

Zákaznický účet má široké možnosti nastavení. Pomocí vhodného nastavení lze dosáhnout vyšší úrovně zabezpečení a zároveň příliš nekomplikovat uživatelskou přívětivost.

Veškerá nastavení nalezneme v nastavení e-shopu na záložce Nastav v sekci Nastavení účtu a hesla.

Obr. 1 - Možnosti nastavení zákaznického účtu.

Obr. 1 - Možnosti nastavení zákaznického účtu.

Pravidla pro tvorbu hesla

Lze určit jaká pravidla musí splňovat uživatelské heslo. K dispozici jsou tato pravidla:

  • heslo musí obsahovat velké písmeno
  • heslo musí obsahovat malé písmeno
  • heslo musí obsahovat speciální znak (zavináč, lomítko apod.)
  • heslo musí obsahovat číslo
  • minimální délka hesla

Tip: Tato nastavení umožňují vynutit pouze taková hesla, která splňují určitou úroveň bezpečnosti. Lze tak eliminovat hesla příliš krátká, či snadno uhodnutelná.

Pravidla pro přihlášeného uživatele

Dalším bezpečnostním prvkem je automatické odhlášení uživatele po určité době nečinnosti. S tímto souvisí také povolení posouvání doby expirace přihlášeného uživatele. Pokud je posouvání doby expirace zaškrtnuto, pak se doba pro automatické odhlášení počítá od poslední interakce uživatele. Pokaždé, když uživatel provede nějaký úkon, např. zobrazí produkt, tak se doba nečinnosti začne opět počítat od začátku. 

Pokud by posouvání expirace přihlášeného uživatele bylo vypnuto, pak by byl uživatel odhlášen po uplynutí zadané doby.

Pravidla pro blokaci účtu

Dočasná blokace účtu je účinná metoda jak zabránit útočníkům opakovaně zkoušet různé kombinace hesel. Tomuto útoku se říká brute force attack (útok hrubou silou) a spočívá v tom, že hacker automatizovaně zkouší přihlášení za pomoci slovníku hesel. V krátké době tak může otestovat tisíce různých kombinací. Tomuto typu útoku lze účinně zabránit automatickou blokací účtu po určitém počtu chybných pokusů o přihlášení. Blokace je po určitém čase opět uvolněna. Je tedy zřejmé, že pokud může hacker během hodiny otestovat maximálně tři různá hesla (namísto stovek tisíců) moc daleko se nedostane.

Pro nastavení této ochrany je zapotřebí nastavit tyto parametry:

Zaškrtnout volbu Uzamknout účet po X neúspěšných pokusech

Maximální počet neúspěšných pokusů o přihlášení = zadejte celé číslo, které určuje počet pokusů pro zadání chybného hesla. Po úspěšném přihlášení se neúspěšné pokusy "zapomenou" a uživatel má zase k dispozici plný počet nových pokusů.

Doba, po kterou je účet zablokován = zadejte počet minut, po které bude takový účet blokován. Po tuto dobu není možné se k účtu přihlásit ani při znalosti správného hesla. 

Tip: V praxi doporučujeme nastavit např. maximálně 3 neúspěšné pokusy a dobu blokace nastavit na 5 minut. Eliminuje se tím možnost brute force útoků a zároveň se skutečnému uživateli neznepříjemní práce, když např. zapomene zapnutý caps lock apod.. V případě, že uživatel heslo zapomene, má možnost si jej sám resetovat.

Aktivace účtu

E-shop umožňuje pracovat v režimu, který v procesu registrace vyžaduje ověření e-mailové adresy zákazníka tím, že mu na tento e-mail pošle aktivační odkaz, na který zákazník klikne a tím ověří, že má přístup do mailové schránky. Teprve potom se může do svého účtu přihlásit.

Díky tomu se eliminují problémy s tím, že zákazník zadá chybnou e-mailovou adresu a poté je problém s doručováním zpráv, zapomenutých hesel apod.

Pokud je tedy režim ověření zákaznického účtu nastaven, po registraci je na zadaný e-mail odeslána zpráva s aktivačním odkazem. Když na něj zákazník klikne, je jeho účet aktivován a může se přihlásit. Dokud účet aktivován není, přihlásit se nelze a je přitom zobrazována informační zpráva s možností opětovného zaslání aktivačního e-mailu.


Po kliknutí na aktivační odkaz v doručeném e-mailu je účet aktivován.