אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻

CUBASE

@צבי-ד-צ

1. בעיקרון ימות עצמם ממליצים פחות להשתמש באתר החדש כיון שהוא בטא וכבר היו כמה בפורום שניזוקו מזה בצורה חמורה!
2. אף פעם לא קרה לך שהמערכת נחסמה עקב ניסיונות התחברות שגויים רבים וקיבלת שגיאה באתר החדש?, מה עשית? - נכנסת לאתר הישן וגילית שצריך לבצע אימות
3. יש עוד הרבה דברים שאינם קיימים באתר החדש והם די שימושיים: סמס, רשימות צינתוקים, משימות וכו'...

אתה בטוח שעד הראשון בנובמבר לא היה יוצא לך להיכנס לאתר הישן?..

CUBASE

@שמואל קצת מטריד שההודעה על חיוב אימות דו-שלבי מופיעה גם כשרשום מספר שפתח את המערכת ומייל שחזור ובעצם כבר קיימות במערכת שיטות אימות רשומות.

ויותר מכך, ההודעה אינה נעלמת אפי' אחרי שעשיתי אימות עם "זכור אותי" - מה שלכאו' מעיד על כך שאני מודע לזה שבקרוב יהיה ניתן להיכנס רק עם אימות דו-שלבי..

צבי ד"צ

@CUBASE כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אתה בטוח שעד הראשון בנובמבר לא היה יוצא לך להיכנס לאתר הישן?..

מסתבר שהיה יוצא לי...

1. זה לא מספיק תרוץ כדי לא להודיע
2. לא נראה לי שהאתר החדש זה קרה לי
3. בגלל זה יוצא לי להשתמש בתר הישן, אבל זה לא אומר שהרבה מאד אנשים לא יוצא להם

CUBASE

@צבי-ד-צ

1. לא אמרתי שזה תירוץ, כתבתי בשבילך למה להשתמש באתר הישן
2. זה באמת כמעט ולא קורה, בכ"מ כשזה קורה יש שגיאת התחברות באתר החדש ללא פירוט בעניין
3. לגבי זה אני כמעט בטוח שלכל אחד יצא לפחות פעם אחת שייכנס לאתר הישן בשביל משהו אפי' קטן וייתקל בזה..

גלאט מערכות

ומה עם האתר הזה https://tiny-gingersnap-1b24c1.netlify.app/0

צבי ד"צ

@CUBASE ועדיין, מן הראוי שכזה דבר משמעותי יכתב גם שם

שמואל

@CUBASE כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל קצת מטריד שההודעה על חיוב אימות דו-שלבי מופיעה גם כשרשום מספר שפתח את המערכת ומייל שחזור ובעצם כבר קיימות במערכת שיטות אימות רשומות.
ויותר מכך, ההודעה אינה נעלמת אפי' אחרי שעשיתי אימות עם "זכור אותי" - מה שלכאו' מעיד על כך שאני מודע לזה שבקרוב יהיה ניתן להיכנס רק עם אימות דו-שלבי..

הסיבה לכך היא שאני יוצא מנקודת הנחה שמי שיש לו מייל שחזור או מספר שפתח, בתכלס הוא מעולם לא היה צריך אותם או לא נגע בהם. יש אנשים מחזיקים שנים מערכת שחבר שלהם פתח להם או לא יודע מה.

בתכלס, ההודעה נעלמת כאשר את מוסיף אמצעי אימות דו-שלבי נוסף על מה שיש ״בלית ברירה״.

הלי

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

בתכלס הוא מעולם לא היה צריך אותם או לא נגע בהם. יש אנשים מחזיקים שנים מערכת שחבר שלהם פתח להם או לא יודע מה

אם לא אכפת לכם
אשמח לדעת
ולכן מה
כלומר לכן למה זה לא מספיק מבחינתכם

זרח

@שמואל
לאחרונה ימות עושים קצת "מה בא להם", בשלל נושאים, מבלי ליידע כראוי. תהליכים לא אמורים להנחית ב"בום", זה לוקח זמן, וצריך לוודא שכולם מודעים ומתרגלים. עם כל הכבוד לחינמיות, יש לתהליכים האלו משמעויות רחבות היקף.

שורה תחתונה, אני רוצה להציע, שכל מערכת שלא ביצעה אימות יקבל בעל המערכת התראה למייל או לטלפון איתו הוא פתח את המערכת. זה כנראה יפתור את רוב הבעיה.

שמואל

@זרח כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

לאחרונה ימות עושים קצת "מה בא להם", בשלל נושאים, מבלי ליידע כראוי. תהליכים לא אמורים להנחית ב"בום", זה לוקח זמן, וצריך לוודא שכולם מודעים ומתרגלים. עם כל הכבוד לחינמיות, יש לתהליכים האלו משמעויות רחבות היקף.

אדוני היקר,
שמו לך הודעה באתר שעוד חודשיים אתה צריך להפעיל אימות דו-שלבי.
משהוא שלימות המשיח אין שום תועלת בו. זה מעמיס טכנית, שמירה של מידע מיותר, עלויות הוצאת שיחות/מסרונים לאימות, אפשר אפילו לאמת מספר חו״ל - כי לימות המשיח יש לקוחות כאלה- ואנחנו לא יכולים לעשות ״מה שבא לנו״ ושהם לא יוכלו להתחבר למערכת בבוקר אחד. מדובר פה פיתוח מטורף ודאגה לאכיפה של זה בכל הצורות, באתר, בAPI, ועוד הנושא עוד לא הסתיים. בקושי התחיל.

לך שמו באתר הודעה שלפחות כרגע - בחודשיים הקרובים, אתה יכול או לבצע אימות של מספר/מייל נוסף, או להקיש לחיצה אחת נוספת על העכבר בכל התחברות.

אני מבין שבשבילך זה ״בום״ גדול, אז באמת צר לי שלקחת את הנושא כל כך קשה. איך אמרת, ללחיצה הזו יש בוודאי ״משמעויות רחבות היקף...״.

נושא האימות הדו-שלבי כרגע עלה בתור הודעה הכי פשוטה באתר.. אני לא מבין את הטענה שלך.
נשמע ממך שהיינו אמורים להגיע לכל בעל מערכת לבית ולדבר איתו האם הוא מסכים שננסה לפתח משהוא בסגנון של אימות דו-שלבי.

ימות המשיח מתמודדת עם דברים בשוק, וממשיכה לתת שירות חינמי כזה או אחר, ואני חושב שלקוחות כמוך לא מגיבים בצורה פרופורציונלית בנושא.

בכל מקרה,
נושא האימות הדו-שלבי יכנס בהדרגה, והוא נעשה לטובת הלקוחות ולטובת עמידה בסטנדרטי אבטחה המקובלים - לטובת הלקוחות.

שמואל

@הלי כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אם לא אכפת לכם
אשמח לדעת
ולכן מה
כלומר לכן למה זה לא מספיק מבחינתכם

קצת לא הבנתי על מה הגבת, מה זה ה ״לא מספיק״ איזה חלק אתה מתקשה, ומה הפיתרון החלופי שאתה מציע, או סתם מווכח עם טענה כזו או אחרת.

תן חיוך 1

ומה עם כל הAPI איך יתבצע אימות נוסף?

MGM IVR

@תן-חיוך-1 כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ומה עם כל הAPI איך יתבצע אימות נוסף?

אני חושב שמערכות שאין בהם אימות דו שלבי, לא יעבוד להם הAPI
ולא שבAPI יהיה אימות דו שלבי

שמואל

@MGM-IVR כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ולא שבAPI יהיה אימות דו שלבי

יהיה בעז"ה אפשרות לבצע אימות דו שלבי בסשן API, אבל זה יהיה רלוונטי ללקוחות שמפתחים אתרים או ממשקים, ולא לשימוש האמיתי של API שזה לשרת.

בעז"ה יהיה לזה פתרון גם לחלק הזה.

y6714453

@שמואל תודה על האיכפתיות על אבטחת המשתמשים המשתמשים...

האם זה נכון מה ש @MGM-IVR כתב פה, שמערכת שמוגדרת עם אימות דו שלבי, לא יהיה בעיה עם ה API?

וסתם מעניין אותי - האם היה בקשות מצד המאזינים על העניין הזה, שזה מה שגרם לכם לגשת לפיתוח הזה?
כי לא ראיתי בפורום איזה משתמש שהתלונן על העניין שחודרים לו לניהול עם שם משתמש וסיסמא,
ובינתיים מהשירשור הזה זה נראה שהמשתמשים די לחוצים מהעניין (בצדק או שלא...)

ואם כבר אתם מפתחים משהו משמעותי כל כך לטובת הלקוחות שלכם אז אני מזכיר שאנחנו מחכים גם לזה
המלצות והצעות עבור מודול API חדש

תודה רבה!