אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻
-
-
יש לי כמה מערכות מחברת טלטק,
כשאני רוצה לגשת לביצוע האימות נרשם לי שאני צריך ליצור קשר עם שירות הלקוחות,
מישהו יודע האם צריך דווקא שלהם, או שגם אצל ימות המשיח יתנו לי מענה?
ואם צריך דווקא אצלם, מה הדרך ליצירת קשר?
-
@ועד כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:יש לי כמה מערכות מחברת טלטק,
כשאני רוצה לגשת לביצוע האימות נרשם לי שאני צריך ליצור קשר עם שירות הלקוחות,
מישהו יודע האם צריך דווקא שלהם, או שגם אצל ימות המשיח יתנו לי מענה?
ואם צריך דווקא אצלם, מה הדרך ליצירת קשר?אצל טלטק
-
@MGM-IVR איך יוצרים איתם קשר?
אני הבנתי כאן מחיפוש בפורום שהם לא עונים, מה אפשר לעשות? -
@פלוס כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:יש פה אפשרות של סקר בפורום כזה? נעשה שאלת הציבור...
אני מאמין שיש אפשרות, צריך רק הרשאות.
-
כמובן, גם אני מצטרף להנ"ל.
-
@פלוס כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:יש צורך שכל אחד יבחר לעצמו אם הוא מעוניין את זה במערכת שלו או לא.
-
@פלוס כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אם כ"כ רוצים לעשות אבטחה - למה שלא יעשו את זה גם (ובעיקר...) דרך הניהול הטלפוני...
נשמח לתגובה רשמית בנושא.אולי מישהוא יאיר את עייניי מה אתה רוצים מ"שלוחות" ומה"ניהול הטלפוני".
אתה רוצה שיהיה טוקן קבוע בכניסה לשלוחת הניהול?
או שאתה רוצה שיהיה אפשרות בכניסה לניהול הטלפוני לשלוח בHedaer משהוא?
או שאתה רוצה שהמערכת תענה לאחר הקשה הסיסמה בJSON?מה אתה רוצים בדיוק מהטלפוני , ומה זה קשור לשלוחות?
-
@זאביק כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:וכך יוצא שבמקום להשקיע את הזמן והאנרגיות לשידרוג ושיכלול המערכת שלי, אני צריך לבזבז את הזמן מדי תקופה, בכדי לשמר את המערכת הבסיסית הקיימת, שלא יתחילו לשמוע שם פתאום: אין מענה מ API...,
זה בוודאי אשמתם של ימות המשיח ששומעים אין מענה משרת API, נכון?
כי ימות המשיח הייתה צריכה גם לכתוב לך את הקוד API שלך שיענה.. -
אני אנסה לענות בקצרה את דעתי בנושא.
הטענה על "חורבן" שהולך לקרות - לא נכונה.
אני מסכים שלקוחות יצטרכו לבצע התאמות, ויהיה להם את הזמן לזה, אבל אני לא מקבל את הטענה ש"חודשי עבודה".האימות הדו-שלבי באתר הוא באתר.
אני כתבתי למעלה בראשי פרקים את התכנון בנושא לAPI.מבחינה טכנית - לא יהיה שום פגיעה בפונקציונליות של הAPI וכד, נהפוך הוא.
טענת "בניתי ללקוח משהוא, ושמתי את המספר מערכת והסיסמה בקריאות API עצמם, ויש לי את זה בערך 80 פעמים בשרת, ואני אפילו לא יודע איפה" היא טענה שלמעשה היא הסיבה הכי גדולה אולי אפילו להקדים את התאריך.
התחברות עם מספר מערכת וסיסמה בכל קריאה - לא ישאר.
סיסמת ניהול "1234" - לא ישאר.
אותה סיסמת ניהול במשך 10 שנים - לא ישאר.לדעתי לא יהיה אפשרות לוותר על האימות הדו-שלבי לגמרי. יש צורך לבצע אימות פעם בזמן מסויים, לא כל 5 דקות. מדובר בפעולה לגיטימית מאד שלוקחת לא יותר מ10 שניות...
בנוגע לטענות ה"אני צריך לכתוב קודים מחדש, יקח לי כמה חודשים" - אין לי הרבה איך לענות. או יותר נכון, אני יענה בעדינות: זה בעיה שלכם.
שינויים קורים. אין מה לעשות. אם אתה "מפתח" משהוא שאתה עושה את אותה הפעולה כל כך הרבה פעמים - וזה מפוזר אצלך בכל כך הרבה מקומות, אז תתמודד.למשל שהלקוח רוצה להחליף סיסמה למערכת שלו, אתה אומר לו "לא, זה נמצא אצלי במלא מקומות", נכון? כאמור .. זה התשובה.
בכל מקרה, לדעתי אתם לוקחים את הנושא קשה מידיי, ועדיין לא ברור לי בדיוק מה הנקודה שמפריעה לכם, לכן אני לא יודע לומר, אולי אתם כן צודקים שזה יהיה קשה מנשוא.
אבל לא מדובר שב01/11/2025 הAPI לא יעבוד יותר. אבל חד משמעית אני יכול לומר - יצטרכו לבצע שינויים, ויהיה זמן לזה. -
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:יהיה בעזרת השם אפשרות באתר להגדיר כתובות IP שלא יצטרכו לבצע אימות דו-שלבי. ואז הם יוכלו לבצע Login - לקבל טוקן - ולרוץ איתו. גם באתר הניהול הם יהיו פטורים מאימות דו-שלבי. רשימת ip לבנה ברמת הפיתוח זה בוצע, אבל צריך עוד לאפשר את זה באתר להגדיר את זה ולסגור פינות.
ומה יהיה עם
תוכנהמבצעת חיבור api עם טוקן תקין (כלומר, לא מערכת וסיסמה). - איך הוא יזכור אותו?
הרי זה לא רץ ברמה של שרת, אלא בלחיצה על כפתור (לדוגמא) מוריד דו"ח וכדומה.
