אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻

MGM IVR

@תן-חיוך-1 כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ומה עם כל הAPI איך יתבצע אימות נוסף?

אני חושב שמערכות שאין בהם אימות דו שלבי, לא יעבוד להם הAPI
ולא שבAPI יהיה אימות דו שלבי

שמואל

@MGM-IVR כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ולא שבAPI יהיה אימות דו שלבי

יהיה בעז"ה אפשרות לבצע אימות דו שלבי בסשן API, אבל זה יהיה רלוונטי ללקוחות שמפתחים אתרים או ממשקים, ולא לשימוש האמיתי של API שזה לשרת.

בעז"ה יהיה לזה פתרון גם לחלק הזה.

y6714453

@שמואל תודה על האיכפתיות על אבטחת המשתמשים...

האם זה נכון מה ש @MGM-IVR כתב פה, שמערכת שמוגדרת עם אימות דו שלבי, לא יהיה בעיה עם ה API?

וסתם מעניין אותי - האם היה בקשות מצד המאזינים על העניין הזה, שזה מה שגרם לכם לגשת לפיתוח הזה?
כי לא ראיתי בפורום איזה משתמש שהתלונן על העניין שחודרים לו לניהול עם שם משתמש וסיסמא,
ובינתיים מהשירשור הזה זה נראה שהמשתמשים די לחוצים מהעניין (בצדק או שלא...)

ואם כבר אתם מפתחים משהו משמעותי כל כך לטובת הלקוחות שלכם אז אני מזכיר שאנחנו מחכים גם לזה
המלצות והצעות עבור מודול API חדש

תודה רבה!

שמואל

@y6714453 כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

האם זה נכון מה ש @MGM-IVR כתב פה, שמערכת שמוגדרת עם אימות דו שלבי, לא יהיה בעיה עם ה API?

עד לתאריך שבו ישנה אכיפה על הנושא - הפעלת השירות לא תשפיע על הAPI, ורק תתן תוספת אבטחה למי שכבר הגדיר שיטות אימות.
מאחרי התאריך, הAPI לא ממש יעבוד בצורה הנוכחית, כי כן, יהיה צריך אימות דו-שלבי גם בו.

גלאט מערכות

@שמואל מה עושים עם כל המערכות בריסיילרים ולא מוגדרים מספר בעל מערכת?

עידן

זה פצצה האימות הזה. חייבים את זה. אבל יש גם מערכות קטנות שזה פחות חשוב.

הכי מושלם היה אם זה היה כמו בטלגרם - כל אחד יכול לבחור אם להפעיל במערכת שלו אימות דו שלבי, או לבטל

פלוס

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

מדובר פה פיתוח מטורף ודאגה לאכיפה של זה בכל הצורות, באתר, בAPI, ועוד הנושא עוד לא הסתיים. בקושי התחיל.

@פלוס כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ככלל, יישר כח לימות שכל הזמן מפתחים ומשפרים את השימוש במערכות שלהם!!

ותודה שהתחשבתם בכותבי האשכול הזה - ואפשרתם התחברות פעם ל30 יום!
זה בהחלט מראה על ההקשבה שלהם - גם מכותבי הפורום!!

פלוס

הצעה חשובה ביותר!!!
יש אפשרות לאפס מערכת בלחיצת כפתור אחת, דרך הגדרות קיימות בפורום,

צריך לעשות, בעיקר על זה - אימות טלפוני רציני וקשיח,
זה נצרך פי כמה וכמה מאשר כניסה למערכות!!!
מה יועיל ומה יתן אם יש פורץ שיודע את הסיסמא - ורוצה להרוס מערכת,
הוא לא יטרח להכנס למערכות וימחוק את השלוחות,
הוא פשוט יאפס בלחיצת כפתור אחת!!
זה נצרך, וזה הכי קריטי!!!

@שמואל @ימות-המשיח

Spoiler

ואם גם אתם חושבים כך, לייקו ו/או כתבו כאן בשרשור, חשוב שיראו את הכמות!

שמואל ש.

@פלוס

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

מאחרי התאריך, הAPI לא ממש יעבוד בצורה הנוכחית, כי כן, יהיה צריך אימות דו-שלבי גם בו.

אז מה הבעיה?

חכמון

@פלוס כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

הצעה חשובה ביותר!!!
יש אפשרות לאפס מערכת בלחיצת כפתור אחת, דרך הגדרות קיימות בפורום,
צריך לעשות, בעיקר על זה - אימות טלפוני רציני וקשיח,
זה נצרך פי כמה וכמה מאשר כניסה למערכות!!!
מה יועיל ומה יתן אם יש פורץ שיודע את הסיסמא - ורוצה להרוס מערכת,
הוא לא יטרח להכנס למערכות וימחוק את השלוחות,
הוא פשוט יאפס בלחיצת כפתור אחת!!
זה נצרך, וזה הכי קריטי!!!

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

מאחרי התאריך, הAPI לא ממש יעבוד בצורה הנוכחית, כי כן, יהיה צריך אימות דו-שלבי גם בו.

שמואל

@פלוס כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ותודה שהתחשבתם בכותבי האשכול הזה - ואפשרתם התחברות פעם ל30 יום!

זה היה מתוכנן לפני שביקשו, אבל שמח שזה לשביעות רצונכם. ️

@גלאט-מערכות כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל מה עושים עם כל המערכות בריסיילרים ולא מוגדרים מספר בעל מערכת?

ברמת האפשרות, ניתן להגדיר לפי ריסיילר מיילים/טלפונים/ שיופיעו במנוע האימות בכל התחברות של כל הלקוחות שלו, או שיופיעו כאשר הריסיילר מתחבר רק עם סיסמת מאסטר בלבד, או אפילו כתובות IP לבנות (ברמת התחברות בלבד, זה לא עדיין יהיה צורך ב״אימות קשיח״ כדי להוסיף אמצעי אימות חדשים).
טלפונים/מיילים יאפשר לריסיילר לבצע את האימות הראשוני בהתחברות של הלקוחות שלו - ואז שהם יגדירו אמצעי אימות משלהם.

@שמואל-ש כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אז מה הבעיה?

יש בעיה.. כי מי שמשתמש עם API על שרת - הוא יפסיק לעבוד. כי יהיה חייב אימות דו-שלבי. האפשרות היחידה להשתמש עם הapi ״המסורתי״ אחרי תאריך האכיפה - יהיה לעשות אימות דו שלבי עם ״זכור אותי״, וזה יפתח את הip לחודש. אבל עדיין...
מי שמשתמש עם api באתרים שהוא בנה, אז בעז״ה שיעלה התיעוד של הMFA - יהיו צריכים להתאים את עצמם.

ברמת הapi אני אכתוב בזהירות, שלא יביאו אליי אחרי זה ״אמרת״, אבל זה הכיוון של מה שהולך להיות:

• חיסול האפשרות להתחבר ולבצע פעולות כאשר מספר המערכת והסיסמה נמצאים בצורה ישירה בבקשה. (token=077:1111). אני יודע שזה יהיה קשה להרבה לקוחות, אבל לצערי האפשרות הזו לא תקינה מלכתכילה, ועם כל הכאב, זה לא יתאפשר יותר.
• יהיה בעזרת השם אפשרות באתר להגדיר כתובות IP שלא יצטרכו לבצע אימות דו-שלבי. ואז הם יוכלו לבצע Login - לקבל טוקן - ולרוץ איתו. גם באתר הניהול הם יהיו פטורים מאימות דו-שלבי. רשימת ip לבנה ברמת הפיתוח זה בוצע, אבל צריך עוד לאפשר את זה באתר להגדיר את זה ולסגור פינות.
• יהיה אפשרות ליצור API_KEY קבוע, שזה קצת לא רוצה לומר דברים שלא קיימים, אבל בעזרת השם נעשה את זה בצורה טובה, שתאפשר גמישות ונוחות.

טל״ח...

שמואל ש.

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

יש בעיה.. כי מי שמשתמש עם API הוא יפסיק לעבוד. האפשרות היחידה להשתמש עם הapi ״המסורתי״ אחרי תאריך האכיפה - יהיה לעשות אימות דו שלבי עם ״זכור אותי״, וזה יפתח את הip לחודש.

כתבתי את זה ל @פלוס שכתב שחייבים כזה דבר אז ציטטתי לו שכתבת שאכן הולך להיות אימות דו שלבי

חכמון

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

יהיה בעזרת השם אפשרות באתר להגדיר כתובות IP שלא יצטרכו לבצע אימות דו-שלבי. ואז הם יוכלו לבצע Login - לקבל טוקן - ולרוץ איתו. גם באתר הניהול הם יהיו פטורים מאימות דו-שלבי.

למשל - התקנתי מייל לטלפון, שזה סקריפט בתוך קובץ גוגל שיטס, שנמצא בדרייב שלי,
והייתי צריך להריץ טוקן, ועשיתי זאת בחדר מחשבים.
עכשיו איזה ip המחשב זוכר,
כלומר, האם זה ימשיך להריץ את הסקריפט, גם כשהמחשב בחדר מחשבים אינו מחובר כבר?
והאם אצטרך פעם בחודש להריץ את הסקריפט שוב?

שמואל

@חכמון השאלה שלך חסרה מאד, כי ניכרת פה קצת חוסר הבנה.
אני גם לא יודע מה בדיוק גוגל סקריפט וכו.

צריך להבין איך הדברים עובדים ואז תוכל לענות לבד. או שתסביר יותר.

גוגל זה משהוא שרץ במחשב שלך? לא נראה לי.
אתה יצרת שם טוקן? לא נראה לי. השתמש עם מערכת:סיסמה.

ודו״ק

חכמון

@שמואל הייתי צריך להכניס שם טוקן login,
ואחרי שהכנסתי את הערך - הסקריפט ממשיך לרוץ,
אז זה נשמר בדרייב שלי?
זה צילום מהטוקן שם:

חכמון

@שמואל אני גם רואה שתיקנו את הבאג שאי אפשר ללחוץ אנטר אחרי שמקישים את הקוד,
אלא חייבים לזוז עם העכבר ל"אמת את הקוד".
עכשיו כבר אפשר.

פלמנמוני

@חכמון כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ואחרי שהכנסתי את הערך - הסקריפט ממשיך לרוץ,
אז זה נשמר בדרייב שלי?

זה נשמר בדרייב, והריצה מתבצעת משרתי גוגל סקריפט, ולהם יש ה-מ-ו-ן כתובות IP, יהיה קצת קשה לסדר את זה,
אולי זה יעזור:

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

יהיה אפשרות ליצור API_KEY קבוע

Spoiler

לי יש הרבה סקריפטים שרצים בגוגל סקריפט, אני מקווה שלא ייהרסו לי המערכות...