אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻
-
@זרח כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:לאחרונה ימות עושים קצת "מה בא להם", בשלל נושאים, מבלי ליידע כראוי. תהליכים לא אמורים להנחית ב"בום", זה לוקח זמן, וצריך לוודא שכולם מודעים ומתרגלים. עם כל הכבוד לחינמיות, יש לתהליכים האלו משמעויות רחבות היקף.
אדוני היקר,
שמו לך הודעה באתר שעוד חודשיים אתה צריך להפעיל אימות דו-שלבי.
משהוא שלימות המשיח אין שום תועלת בו. זה מעמיס טכנית, שמירה של מידע מיותר, עלויות הוצאת שיחות/מסרונים לאימות, אפשר אפילו לאמת מספר חו״ל - כי לימות המשיח יש לקוחות כאלה- ואנחנו לא יכולים לעשות ״מה שבא לנו״ ושהם לא יוכלו להתחבר למערכת בבוקר אחד. מדובר פה פיתוח מטורף ודאגה לאכיפה של זה בכל הצורות, באתר, בAPI, ועוד הנושא עוד לא הסתיים. בקושי התחיל.לך שמו באתר הודעה שלפחות כרגע - בחודשיים הקרובים, אתה יכול או לבצע אימות של מספר/מייל נוסף, או להקיש לחיצה אחת נוספת על העכבר בכל התחברות.
אני מבין שבשבילך זה ״בום״ גדול, אז באמת צר לי שלקחת את הנושא כל כך קשה. איך אמרת, ללחיצה הזו יש בוודאי ״משמעויות רחבות היקף...״.
נושא האימות הדו-שלבי כרגע עלה בתור הודעה הכי פשוטה באתר.. אני לא מבין את הטענה שלך.
נשמע ממך שהיינו אמורים להגיע לכל בעל מערכת לבית ולדבר איתו האם הוא מסכים שננסה לפתח משהוא בסגנון של אימות דו-שלבי.ימות המשיח מתמודדת עם דברים בשוק, וממשיכה לתת שירות חינמי כזה או אחר, ואני חושב שלקוחות כמוך לא מגיבים בצורה פרופורציונלית בנושא.
בכל מקרה,
נושא האימות הדו-שלבי יכנס בהדרגה, והוא נעשה לטובת הלקוחות ולטובת עמידה בסטנדרטי אבטחה המקובלים - לטובת הלקוחות. -
@הלי כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אם לא אכפת לכם
אשמח לדעת
ולכן מה
כלומר לכן למה זה לא מספיק מבחינתכםקצת לא הבנתי על מה הגבת, מה זה ה ״לא מספיק״ איזה חלק אתה מתקשה, ומה הפיתרון החלופי שאתה מציע, או סתם מווכח עם טענה כזו או אחרת.
-
ומה עם כל הAPI איך יתבצע אימות נוסף?
-
@תן-חיוך-1 כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:ומה עם כל הAPI איך יתבצע אימות נוסף?
אני חושב שמערכות שאין בהם אימות דו שלבי, לא יעבוד להם הAPI
ולא שבAPI יהיה אימות דו שלבי -
@MGM-IVR כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:ולא שבAPI יהיה אימות דו שלבי
יהיה בעז"ה אפשרות לבצע אימות דו שלבי בסשן API, אבל זה יהיה רלוונטי ללקוחות שמפתחים אתרים או ממשקים, ולא לשימוש האמיתי של API שזה לשרת.
בעז"ה יהיה לזה פתרון גם לחלק הזה.
-
@שמואל תודה על האיכפתיות על אבטחת המשתמשים...
האם זה נכון מה ש @MGM-IVR כתב פה, שמערכת שמוגדרת עם אימות דו שלבי, לא יהיה בעיה עם ה API?
וסתם מעניין אותי - האם היה בקשות מצד המאזינים על העניין הזה, שזה מה שגרם לכם לגשת לפיתוח הזה?
כי לא ראיתי בפורום איזה משתמש שהתלונן על העניין שחודרים לו לניהול עם שם משתמש וסיסמא,
ובינתיים מהשירשור הזה זה נראה שהמשתמשים די לחוצים מהעניין (בצדק או שלא...)ואם כבר אתם מפתחים משהו משמעותי כל כך לטובת הלקוחות שלכם אז אני מזכיר שאנחנו מחכים גם לזה
המלצות והצעות עבור מודול API חדשתודה רבה!
-
@y6714453 כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:האם זה נכון מה ש @MGM-IVR כתב פה, שמערכת שמוגדרת עם אימות דו שלבי, לא יהיה בעיה עם ה API?
עד לתאריך שבו ישנה אכיפה על הנושא - הפעלת השירות לא תשפיע על הAPI, ורק תתן תוספת אבטחה למי שכבר הגדיר שיטות אימות.
מאחרי התאריך, הAPI לא ממש יעבוד בצורה הנוכחית, כי כן, יהיה צריך אימות דו-שלבי גם בו. -
@שמואל מה עושים עם כל המערכות בריסיילרים ולא מוגדרים מספר בעל מערכת?
-
זה פצצה האימות הזה. חייבים את זה. אבל יש גם מערכות קטנות שזה פחות חשוב.
הכי מושלם היה אם זה היה כמו בטלגרם - כל אחד יכול לבחור אם להפעיל במערכת שלו אימות דו שלבי, או לבטל
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מדובר פה פיתוח מטורף ודאגה לאכיפה של זה בכל הצורות, באתר, בAPI, ועוד הנושא עוד לא הסתיים. בקושי התחיל.
@פלוס כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:ככלל, יישר כח לימות שכל הזמן מפתחים ומשפרים את השימוש במערכות שלהם!!
ותודה שהתחשבתם בכותבי האשכול הזה - ואפשרתם התחברות פעם ל30 יום!
זה בהחלט מראה על ההקשבה שלהם - גם מכותבי הפורום!! -
הצעה חשובה ביותר!!!
יש אפשרות לאפס מערכת בלחיצת כפתור אחת, דרך הגדרות קיימות בפורום,צריך לעשות, בעיקר על זה - אימות טלפוני רציני וקשיח,
זה נצרך פי כמה וכמה מאשר כניסה למערכות!!!
מה יועיל ומה יתן אם יש פורץ שיודע את הסיסמא - ורוצה להרוס מערכת,
הוא לא יטרח להכנס למערכות וימחוק את השלוחות,
הוא פשוט יאפס בלחיצת כפתור אחת!!
זה נצרך, וזה הכי קריטי!!!ואם גם אתם חושבים כך, לייקו ו/או כתבו כאן בשרשור, חשוב שיראו את הכמות! -
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מאחרי התאריך, הAPI לא ממש יעבוד בצורה הנוכחית, כי כן, יהיה צריך אימות דו-שלבי גם בו.
אז מה הבעיה?
-
@פלוס כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:הצעה חשובה ביותר!!!
יש אפשרות לאפס מערכת בלחיצת כפתור אחת, דרך הגדרות קיימות בפורום,
צריך לעשות, בעיקר על זה - אימות טלפוני רציני וקשיח,
זה נצרך פי כמה וכמה מאשר כניסה למערכות!!!
מה יועיל ומה יתן אם יש פורץ שיודע את הסיסמא - ורוצה להרוס מערכת,
הוא לא יטרח להכנס למערכות וימחוק את השלוחות,
הוא פשוט יאפס בלחיצת כפתור אחת!!
זה נצרך, וזה הכי קריטי!!!@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מאחרי התאריך, הAPI לא ממש יעבוד בצורה הנוכחית, כי כן, יהיה צריך אימות דו-שלבי גם בו.
-
@פלוס כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:ותודה שהתחשבתם בכותבי האשכול הזה - ואפשרתם התחברות פעם ל30 יום!
זה היה מתוכנן לפני שביקשו, אבל שמח שזה לשביעות רצונכם.
️@גלאט-מערכות כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@שמואל מה עושים עם כל המערכות בריסיילרים ולא מוגדרים מספר בעל מערכת?
ברמת האפשרות, ניתן להגדיר לפי ריסיילר מיילים/טלפונים/ שיופיעו במנוע האימות בכל התחברות של כל הלקוחות שלו, או שיופיעו כאשר הריסיילר מתחבר רק עם סיסמת מאסטר בלבד, או אפילו כתובות IP לבנות (ברמת התחברות בלבד, זה לא עדיין יהיה צורך ב״אימות קשיח״ כדי להוסיף אמצעי אימות חדשים).
טלפונים/מיילים יאפשר לריסיילר לבצע את האימות הראשוני בהתחברות של הלקוחות שלו - ואז שהם יגדירו אמצעי אימות משלהם.@שמואל-ש כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אז מה הבעיה?
יש בעיה.. כי מי שמשתמש עם API על שרת - הוא יפסיק לעבוד. כי יהיה חייב אימות דו-שלבי. האפשרות היחידה להשתמש עם הapi ״המסורתי״ אחרי תאריך האכיפה - יהיה לעשות אימות דו שלבי עם ״זכור אותי״, וזה יפתח את הip לחודש. אבל עדיין...
מי שמשתמש עם api באתרים שהוא בנה, אז בעז״ה שיעלה התיעוד של הMFA - יהיו צריכים להתאים את עצמם.ברמת הapi אני אכתוב בזהירות, שלא יביאו אליי אחרי זה ״אמרת״, אבל זה הכיוון של מה שהולך להיות:
- חיסול האפשרות להתחבר ולבצע פעולות כאשר מספר המערכת והסיסמה נמצאים בצורה ישירה בבקשה. (token=077:1111). אני יודע שזה יהיה קשה להרבה לקוחות, אבל לצערי האפשרות הזו לא תקינה מלכתכילה, ועם כל הכאב, זה לא יתאפשר יותר.
- יהיה בעזרת השם אפשרות באתר להגדיר כתובות IP שלא יצטרכו לבצע אימות דו-שלבי. ואז הם יוכלו לבצע Login - לקבל טוקן - ולרוץ איתו. גם באתר הניהול הם יהיו פטורים מאימות דו-שלבי. רשימת ip לבנה ברמת הפיתוח זה בוצע, אבל צריך עוד לאפשר את זה באתר להגדיר את זה ולסגור פינות.
- יהיה אפשרות ליצור API_KEY קבוע, שזה קצת לא רוצה לומר דברים שלא קיימים, אבל בעזרת השם נעשה את זה בצורה טובה, שתאפשר גמישות ונוחות.
טל״ח...
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:יש בעיה.. כי מי שמשתמש עם API הוא יפסיק לעבוד. האפשרות היחידה להשתמש עם הapi ״המסורתי״ אחרי תאריך האכיפה - יהיה לעשות אימות דו שלבי עם ״זכור אותי״, וזה יפתח את הip לחודש.
כתבתי את זה ל @פלוס שכתב שחייבים כזה דבר אז ציטטתי לו שכתבת שאכן הולך להיות אימות דו שלבי
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:יהיה בעזרת השם אפשרות באתר להגדיר כתובות IP שלא יצטרכו לבצע אימות דו-שלבי. ואז הם יוכלו לבצע Login - לקבל טוקן - ולרוץ איתו. גם באתר הניהול הם יהיו פטורים מאימות דו-שלבי.
למשל - התקנתי מייל לטלפון, שזה סקריפט בתוך קובץ גוגל שיטס, שנמצא בדרייב שלי,
והייתי צריך להריץ טוקן, ועשיתי זאת בחדר מחשבים.
עכשיו איזה ip המחשב זוכר,
כלומר, האם זה ימשיך להריץ את הסקריפט, גם כשהמחשב בחדר מחשבים אינו מחובר כבר?
והאם אצטרך פעם בחודש להריץ את הסקריפט שוב? -
@חכמון השאלה שלך חסרה מאד, כי ניכרת פה קצת חוסר הבנה.
אני גם לא יודע מה בדיוק גוגל סקריפט וכו.צריך להבין איך הדברים עובדים ואז תוכל לענות לבד. או שתסביר יותר.
גוגל זה משהוא שרץ במחשב שלך? לא נראה לי.
אתה יצרת שם טוקן? לא נראה לי. השתמש עם מערכת:סיסמה.ודו״ק
-
@שמואל הייתי צריך להכניס שם טוקן login,
ואחרי שהכנסתי את הערך - הסקריפט ממשיך לרוץ,
אז זה נשמר בדרייב שלי?
זה צילום מהטוקן שם:
-
@שמואל אני גם רואה שתיקנו את הבאג שאי אפשר ללחוץ אנטר אחרי שמקישים את הקוד,
אלא חייבים לזוז עם העכבר ל"אמת את הקוד".
עכשיו כבר אפשר. -
@חכמון כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:ואחרי שהכנסתי את הערך - הסקריפט ממשיך לרוץ,
אז זה נשמר בדרייב שלי?זה נשמר בדרייב, והריצה מתבצעת משרתי גוגל סקריפט, ולהם יש ה-מ-ו-ן כתובות IP, יהיה קצת קשה לסדר את זה,
אולי זה יעזור:@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:יהיה אפשרות ליצור API_KEY קבוע
לי יש הרבה סקריפטים שרצים בגוגל סקריפט, אני מקווה שלא ייהרסו לי המערכות...
