אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻

שמואל ש.

@שמואל עשיתי אצלי אימות דו שלבי ונכתב לי למעלה

אך כשנכנסתי למערכת בפעם הבאה קיבלתי שוב

יש לי כבר שיטות אימות

מה זה?

עץ השדה

@זאביק כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

השאלה היא, מדוע שלא יהיה אפשרי, למי שמעוניין בכך, להגדיר באתר שאינו מעוניין באימות החדש, ושהאימות החדש לא ישפיע במערכת שלו כלל על כל הפקודות שנשלחות ב API ??

סתם מוסיף פה גם על מה שכתבת וגם באופן כללי - דוגמא לבעיה בכל מערכת ולא רק מערכות בפעילות:

לפני תקופה ארוכה, נשלחו אלפי סמסים של 'פישינג' ממערכת של עמותה מאד גדולה שטיפלתי בקו שלהם.

מערכות הספאם באפליקציות לא חסמו את זה כל כך מהר כי זה מספר מאד מאד מוכר וזה היה נזק אדיר!
לקח כמה שעות עד שהטלפונים התחילו להגיע לעמותה ואז פנו אלי... (התברר שהסיסמה הייתה שמורה אצל עובד אחר והוא השתמש עם תוסף לשמירת סיסמאות מאד פופולארי והתברר שפרצו לחברה של התוסף).

הפורץ רכש יחידות ישירות בתוך המערכת באלפי שקלים(!!) - ולכן לא משנה העובדה שזה מערכת בשימוש או לא, מערכת שאפשר דרכה לבצע פעולות רגישות כמו הוצאת שיחות ושליחת סמסים - מחייבת אמצעי זהירות שימנע אותם.

ואגב, זה סטנדרטי לגמרי לחייב אימות דו שלבי.

-----
תכל'ס אני מבין אותך לגמרי שזה כאב ראש מטורף, אני גם סובל עכשיו מהבעיה שצריך להעלות מהאוב כמויות של מערכות ולוודא איפה יש API ואיפה אין.. אבל זה המחיר של אי סדר אישי שלי (ושל כל אחד אחר) .

זאביק

@עץ-השדה עדיין לא הבנתי מה הבעייה שימות המשיח יתנו את האופצייה, שכל לקוח יוכל לבחור אם מעוניין באבטחה הכפולה הזו, או שאינו מעוניין??

(ואפי' מובן שברירת המחדל תהיה תמיד שאבטחה כפולה פעילה, עד שהלקוח יבקש אחרת, - וגם מקובל ומובן שימות המשיח יחתימו אותנו על טופס שאנו מודעים לסכנה באבטחה, ולא תהיה לנו כל תביעה כלפיהם באם תהיה פריצה).

יש לי המון קודים ב API שמפוזרים בהרבה מקומות במערכת שלי ובשרת שלי, שנבנו במשך השנים ע"י כמה מתכנתים שונים, - ואם במקרה שלי החשש מפני פריצה הוא קטן (אני מאוד זהיר לא להכניס את הסיסמאות לאתרים או לשרתים אחרים), - ולעומת זאת הכאב ראש להתאים את כל הקודים הוא עצום, - ואולי גם יהיה לי נזק כספי באם לא אצליח להתאים לבד את כל מה שצריך, ואצטרך לערב מתכנת בתשלום, אז הרווח מהאבטחה הכפולה קטן מאוד לעומת הכאב ראש והנזק הגדול שיכול להסתכם בשעות על גבי שעות עבודה.

וזה רק להיום, כי בעוד חודשיים עלול להיות שידרוג נוסף בתחום אחר במערכות, שיצריך אותנו עוד פעם לעבוד להתאים את המערכת לשידרוגים החדשים, ואין לדבר סוף... - ואני לא חשבתי כשהקמתי את המערכת לפני כמה שנים, (ושילמתי אז באופן חד פעמי, הון רב למתכנת מקצועי), שהקמת מערכת מחייבת אותי להיות צמוד כל הזמן לטפל בקודים מחמת שינויים המתחדשים חדשים לבקרים.

@שמואל
ועל אף שאינני מתכנת, אני מרשה לעצמי לשער: שימות המשיח יכולים לבנות את האופצייה לתת ללקוח לבחור האם מעוניין באבטחה הכפולה, אם לאו, על ידי כמה שעות עבודה בודדות אצלם בפיתוח, ולכל היותר עשר שעות,

ואילו ימות המשיח לא יתנו את האופצייה הזו, - הרי כשנחשיב את כמות הלקוחות שיצטרכו לעבוד להתאים את הקודים שלהם לזה, נגיע לעשרות או מאות אלפי שעות עבודה של הלקוחות שהולכים לריק ממש, בזמן שחלקם אינם מעוניינים כלל בתועלת של האבטחה לעומת הכאב ראש הגדול.

שלמה צובל

@זאביק גם לי יש מערכות עם api, כרגע זה עובד רגיל.
אני צריך לשנות משהו בקוד כדי שימשיך לעבוד?
חשוב לי מאוד לדעת לפני כן אם כן..

פלוס

@זאביק כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ועל אף שאינני מתכנת, אני מרשה לעצמי לשער: שימות המשיח יכולים לבנות את האופצייה לתת ללקוח לבחור האם מעוניין באבטחה הכפולה, אם לאו, על ידי כמה שעות עבודה בודדות אצלם בפיתוח, ולכל היותר עשר שעות,
ואילו ימות המשיח לא יתנו את האופצייה הזו, - הרי כשנחשיב את כמות הלקוחות שיצטרכו לעבוד להתאים את הקודים שלהם לזה, נגיע לעשרות או מאות אלפי שעות עבודה של הלקוחות שהולכים לריק ממש, בזמן שחלקם אינם מעוניינים כלל בתועלת של האבטחה לעומת הכאב ראש הגדול.

@זאביק כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

הרי הנהלת ימות המשיח לא צריכה לחשוש לביטחון המערכת הפרטית של הלקוח, יותר ממה שהלקוח בעצמו חושש.

מצטרף לכל מילה!

@פלוס כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

הייתי מציע - שבכל מערכת המשתמש יגדיר לעצמו אם הוא מעוניין בכך או לא.
אני אישית, הייתי מבקש את זה למערכות הציבוריות והגולות שיש לי,
אבל בסתם קווים של תא קולי וכו' הפשוטים, לא הייתי מבקש את זה.

צדיק תמים

אם תהיה אופציה להנפקת טוקן קבוע זה לא נטל על הלקוחות, כי זה בדיוק כמו אם היה צריך להחליף סיסמת ניהול למערכת, פשוט במקום המספר:סיסמה יכניסו את הטוקן שינפיקו דרך האתר
אם יהיו חייבים לעבוד עם טוקנים זמניים זה בעיה
אני חושב שטוקן ארוך קבוע זה מספיק מאובטח לתקשורת שרת-לשרת, ודאי מספיק מאובטח כדי שימות תאפשר למי שמעוניין להסתפק בכך

אביי ורבא

@עץ-השדה כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

הפורץ רכש יחידות ישירות בתוך המערכת באלפי שקלים(!!) - ולכן לא משנה העובדה שזה מערכת בשימוש או לא, מערכת שאפשר דרכה לבצע פעולות רגישות כמו הוצאת שיחות ושליחת סמסים - מחייבת אמצעי זהירות שימנע אותם.

אאל"ט רכישת יחידות מחייבת אימות דו שלבי כבר כיום

דוד נחום

@עץ-השדה כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

לפני תקופה ארוכה, נשלחו אלפי סמסים של 'פישינג' ממערכת של עמותה מאד גדולה שטיפלתי בקו שלהם.
מערכות הספאם באפליקציות לא חסמו את זה כל כך מהר כי זה מספר מאד מאד מוכר וזה היה נזק אדיר!
לקח כמה שעות עד שהטלפונים התחילו להגיע לעמותה ואז פנו אלי... (התברר שהסיסמה הייתה שמורה אצל עובד אחר והוא השתמש עם תוסף לשמירת סיסמאות מאד פופולארי והתברר שפרצו לחברה של התוסף).

עד קריאת הסיפור הזה, הייתי בטוח שמתבקש לחלוטין להוסיף אפשרות בחירת המשתמש לוותר על הצורך באימות הנ"ל.
אבל ספאם, פישינג ושאר נוזקות שיכולות לנצל זאת-מצדיקות בכל מחיר את השינוי הקשה!
רק מה, יש לקוחות ויש לקוחות, יש מערכות שמכילות 3 שלוחות הקראת הודעות תא קולי/מיילים, ויש אחרות המכילות קמפיינים, יחידות ופרטי אשראי, וכן מוניטין למס' הטלפון שלהם.
הפתרון לענ"ד
שכל מערכת תוכן המקבלת מימות המשיח שירות מעבר למערכת IVR בסיסית (כולל רכישת יחידות, ביטול פרסומות, התנהלות מול 'ימות המשיח פרמיום' או שירות לקוחות,) תחוייב לבצע את האימות, וכך חסכנו:

• אנשים פשוטים שיוכלו להמשיך לעשות שימוש פרטי במערכות ללא התערבות מתישה
• מנהלי מערכות רגישות יותר יחוייבו להגן על עצמם ועל משתמשים פוטנציאלים אחרים

אפשר גם לשקול חיוב האימות למערכות מעל מס' דקות מסויים,
או כמו שאמרו שרכישת יחידות כרוכה באימות, ששיגור קמפיין ועוד פעולות יידרשו אימות כזה

חכמון

@דוד-נחום לא חידשת כלום, (לענ"ד) (אולי לא שמתי לב אם הוספת פיצ'יפקע בין המילים).
עד עכשיו דובר ע"ז שיהיה לכל אחד בחירה האם המערכת שלו מספיק יקרה,
או שהוא סומך שאין מה לגנוב שם.

רק הוספת שהבחירה הזאת בכלל לא תהיה נתונה בידינו, אלא בידי ימות המשיח,
שהם יחליטו מה נקרא חשוב ומה לא.

(תחשוב על מערכת וואצאפ פון שמתריעה שיש אירוע מסויים,
אתה יודע כמה אנשים אפשר להקפיץ בצינתוק אחד,
אני מתכוין דוגמא, איך תדע מה חשוב ומה לא).

הכי חכם אם עושים אפשרות של מערכות עם אימות ובלי אימות,
שהבחירה תישאר בידי מנהלי המערכות, שיודעים באמת מה חשוב ומה לא.

דוד נחום

@חכמון כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

רק הוספת שהבחירה הזאת בכלל לא תהיה נתונה בידינו, אלא בידי ימות המשיח,
שהם יחליטו מה נקרא חשוב ומה לא.

אני רוצה שכל אחד יוכל להוסיף את האפשרות הזו, או יותר נכון שכל אדם פשוט יוכל להסיר אותה אם ירצה.
אך כדי שלא יקרה מצב שעמותה גדולה כמו בסיפור ההוא תסבול מפריצות, יחייבו אותה באימות הזה,
בדומה ל'דיווח על תוכן בעייתי' שהפך לחובה במערכות עם כמות דקות מסויימת
אבל בהחלט, זה לא סותר למה שהצעת, רק בהנחה שימות המשיח לא יסכימו לתת אפשרות בחירה לכל אדם, אני מציע שהבחירה תהיה רק למערכות קטנות, ואילו הגדולות ייאלצו להשתמש באימות כדי להבטיח שלא יקרה מצב של הונאות/פריצות רבי השלכות

חכמון

@דוד-נחום העמותה הגדולה אוטומטית תגן על עצמה,
אתה מכיר איזה מייל עסקי מאוד חשוב שלא מאובטח באימות דו שלבי?!
מי שיש לו אחריות גדולה על כתפיו - מאבטח את עצמו באינסטינקט.

דוד נחום

@חכמון ברור שכך, אבל עדיין, המצב הוא שימות המשיח 'כופים' את האימות המחמיר למרות שהיה אפשרי גם לפני כן, והטענה היחידה ששכנעה אותי שיש צורך בזה היא שעמותות ומערכות גדולות עלולות לפספס את האפשרות/לוותר על הכאב ראש הקטן יחסית.
ואותם הצעתי לחייב, במקום את כל הציבור, או לחילופין לסמוך עליהם, שאת זה ימות כבר לא מוכנים לסבול (אני מניח שאותו סיפור שהובא כאן הסתיים בנזק גם כלפי ימות המשיח, ולא רק אותה עמותה)

@חכמון כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אתה מכיר איזה מייל עסקי מאוד חשוב שלא מאובטח באימות דו שלבי?!

אותה עמותה שסופר עליה, לא מכיר, אבל ברור שיש, כל עוד זה לא חובה.

מנסה

אני מבין שבחודש האחרון של השנה אני אצטרך מהבוקר עד הלילה לעשות התאמות למאות מערכות תוכן לאימות החדש
והלקוחות שלי חלקם לא יאהבו את זה וישלמו, וחלקם פשוט לא יסכימו,[ עוד כמה שעות של ויכוחים מתישים]
בסך הכל מדובר על שינויים מפליגים באלפי שורות קוד שונות, בעשרות מערכות שונות
[אני מדבר על API כמובן]

או בקיצור הולך להישרף לי חודש מהחיים על השינוי הזה
[ככל הנראה גם ללא שאקבל על זה תשלום]

תודה על האבטחה...

[אי אפשר כל שבוע שבועיים להתקשר למנהל ת"ת או חנות שלקחו אצלך מערכת ולומר להם, אדוני אתה צריך כעת לשלם לי עוד X כסף כי ימות עשו שיוני במערכת ולכן המערכת שבניתי לך יותר לא תעבוד עד לתיקון, אם זה משהו חד פעמי כן, אבל זה נהיה על בסיס קבוע, פעם פירסומות ופעם אבטחה ועוד...
אז בפירסומות הם חרקו שיניים והתקשרו לשירות הלקוחות, הפעם אני אצטרך כנראה לעבוד ושנות הכל בלי ליידע אותם, ומקווה בכלל שאמצא את הפתרונות היעילים, לא תמיד זה יהיה אפשרי להוסיף יצירת טוקן וכדו' [תלוי בצורת העבודה שהשתמשתי איתה בזמנו לפי האופציות שהיו פתוחות אז]

אני מסכים שיש בעיות סייבר גוברות והאבטחה חשובה מאוד, אבל השאלה האם כל חשש מצדיק את זה, בהתאם לסטנדרטים הבין לאומיים
כמדומני שגוגל מאפשרת בחירה אם יהיה אימות, וכן בAPI לא נדרש אימות [מלבד הפקת טוקן ח"פ קבוע]
וכן הלאה בחברות רבות שרק בכניסת משתמש פיזית דורשים אימות [ולפי בחירת הלקוח בדרך כלל], אבל בAPI לא נדרש משהו מעבר להפקה מאובטחת

שלמה צובל

ממתי יכנס השינוי בAPI? זה סופי?

זאביק

@מנסה כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

או בקיצור הולך להישרף לי חודש מהחיים על השינוי הזה

להישרף לך ולעוד אלפי לקוחות...

ורק שכחת להוסיף, שיש סיכוי סביר שבעלי המערכות עלולים לסבול מזה גם במשך חצי שנה לאחר החודש ההוא, כאשר פתאום תתגלה עוד שלוחה בעייתית, ועוד שלוחה,
ואז לאחר בדיקה יתגלה, שהיה איזה קוד זניח בשלוחה מסויימת (או בתיקייה מסויימת בשרת) ששכחו לטפל בו,

והרי כל בעל מערכת גדולה שמורכבת עם המון קודים יודע, שלאחר תקופת ההרצה הראשונית של חצי שנה שכבר כל הבאגים שנמצאו נבדקו וטופלו, הרי מכאן ואילך מעדיפים כמה שפחות לגעת בקודים, משום שכל שינוי קטן בקוד ספציפי שמשוייך להמון שלוחות, עלול לגרום לאיזה באג, שלעיתים יגלו אותו רק לאחר חצי שנה.

פלוס

@זאביק כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

הרי מכאן ואילך מעדיפים כמה שפחות לגעת בקודים,

בהחלט!
ואז יוצא שבמקום רווח להגן על המערכות - הוא יעשה את ההפך הגמור,
יותר לא יגעו בקודים להחלפתו!

וסתם כך אני לא מבין,
אם כ"כ רוצים לעשות אבטחה - למה שלא יעשו את זה גם (ובעיקר...) דרך הניהול הטלפוני...
נשמח לתגובה רשמית בנושא.

זאביק

@מנסה כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

[אי אפשר כל שבוע שבועיים להתקשר למנהל ת"ת או חנות שלקחו אצלך מערכת ולומר להם, אדוני אתה צריך כעת לשלם לי עוד X כסף כי ימות עשו שיוני במערכת ולכן המערכת שבניתי לך יותר לא תעבוד עד לתיקון, אם זה משהו חד פעמי כן, אבל זה נהיה על בסיס קבוע, פעם פירסומות ופעם אבטחה ועוד...

ואני מוסיף מהצד של בעלי המערכות,
כשהקמתי מערכת והשקעתי עליה עשרות אלפי ש"ח, על ההקמה הראשונית ועל הפרסום בעיתונים במשך השנים, חשבתי לתומי שהמערכת תהיה יציבה בעזרת השם, - ולא חשבתי שאצטרך להסב את העיסוק שלי להיות חצי מתכנת, בשביל לפתור בכל תקופה את הבעייה שצצה במערכות מדי פעם.

וכך יוצא שבמקום להשקיע את הזמן והאנרגיות לשידרוג ושיכלול המערכת שלי, אני צריך לבזבז את הזמן מדי תקופה, בכדי לשמר את המערכת הבסיסית הקיימת, שלא יתחילו לשמוע שם פתאום: אין מענה מ API...,

כבר הזכירו בעבר בעניין הסיפור עם הקריינות, שהלקוחות בסך הכל מחפשים קו יציב, בלי שיצטרכו לבזבז זמן בשביל לתחזק אותו כל הזמן,

ואני מדגיש כאן שוב, שחלילה אין כוונתי כלל וכלל לקנטר מישהו, ובודאי שימות המשיח מתחשבים מאוד בלקוחות!!! ורק באתי להעלות כאן את הצד של הכאב ראש העצום של הלקוחות, שבסך הכל מחפשים שהקו יהיה יציב בלי צורך לתחזק אותו כל הזמן, - וכוונתי אמורה גם לשדרוגים החדשים שעלולים להיות בעוד חודשיים או בעוד חצי שנה וכו', שיש לשים לב שזה לא יגרום כאב ראש ללקוחות.

ואחתום שוב בתודה רבה לימות המשיח, על כל מיני שדרוגים מיוחדים ונפלאים שצצים מדי פעם, שלעיתים רבות חוסכים לנו המון המון כאב ראש שזה חוסך לנו לבנות בעצמנו קודים, ע"י הפיתוחים המפתיעים והמיוחדים כל הזמן!!!

y6714453

@שמואל מה אתה אומר? אחרי כל כך הרבה פוסטים של תסכול...
האם נראה לך שימות יאפשרו ללקוחות לוותר על האימות דו שלבי?

(כמו בחשבונות גוגל, חשבונות בנק, ועוד שירותים עם מידע הרבה יותר רגיש - שאפשר לוותר על האימוד"ש...)

ועוד שאלה - אני משער נכון? מה אמרת שיהיה צורך לטפל בAPI ... זה רק בAPI גישת מפתחים למערכות, ולא בסתם שלוחת API...
או שאני טועה?

sumone

@y6714453 כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ועוד שאלה - אני משער נכון? מה אמרת שיהיה צורך לטפל בAPI ... זה רק בAPI גישת מפתחים למערכות, ולא בסתם שלוחת API...

ברור, שלוחת API האחריות על האבטחה היא על השרת שמקבל את הפניות.

חכמון

@פלוס כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

וסתם כך אני לא מבין,
אם כ"כ רוצים לעשות אבטחה - למה שלא יעשו את זה גם (ובעיקר...) דרך הניהול הטלפוני...

לא הכל,
רק על הפעלת קמפיין,
ועל דברים רגישים, כמו מחיקת שלוחות.