🔒 שדרוג אבטחה: הוספת אימות דו-שלבי (MFA) בעת כניסה לאתר ניהול המערכת, וכן בעת שימוש ב-API

שלוימי 770

הודעה חשובה: שדרוג אבטחה עם אימות דו-שלבי

לקוחות יקרים,

אנו בחברה מחויבים להעניק לכם את רמת האבטחה הגבוהה ביותר, כדי לשמור על הבטיחות והפרטיות של המידע שלכם. בעולם שבו איומי סייבר הופכים מורכבים יותר, אנו נוקטים בכל האמצעים כדי להבטיח שהנתונים שלכם מוגנים מפני גישה לא מורשית.

כחלק ממחויבות זו, אנו שמחים להכריז על שדרוג משמעותי במערכת האבטחה שלנו: החל מתאריך 15/09/2025, אנו מציגים את אימות דו-שלבי (Multi-Factor Authentication - MFA) כחלק מתהליך הכניסה לניהול המערכת באתר. אפשרות זו זמינה כבר כעת ותהפוך לחובה החל מ01/11/2025. לאחר תאריך זה, הכניסה לניהול המערכת באתר תתאפשר אך ורק באמצעות אימות דו-שלבי, כדי להבטיח הגנה מרבית על המידע, התכנים והנתונים שלכם.

למה זה חשוב? ️

אימות דו-שלבי מוסיף שכבת הגנה נוספת מעבר לסיסמה הרגילה, ומבטיח שרק אתם, בעלי החשבון, תוכלו לגשת למערכת – גם אם הסיסמה שלכם נחשפה בטעות. על ידי דרישת קוד אימות ייחודי בנוסף לסיסמה, אנו מצמצמים משמעותית את הסיכון לפריצות וגישה לא מורשית. זהו צעד קריטי לשמירה על אמון המשתמשים שלנו ועל שלמות המידע במערכת.

איך זה עובד? ️

בעת התחברות למערכת באתר הניהול, תידרשו לאמת שאתם מנהלי המערכת, על ידי ביצוע אימות דו-שלבי.
תוכלו לבחור את סוג האימות כדלהלן:

אפשרויות לקבלת קוד האימות:

לטלפון: זמין עבור מספרי טלפון בישראל, ארה"ב וקנדה. בחרו בין שיחה קולית (המערכת תתקשר ותקריא את הקוד - יש להקיש 1 לשמיעת קוד האימות הזמני) או הודעת SMS.
לכתובת המייל: הקוד ישלח לכתובת המייל המוגדרת בלשונית אבטחה במערכת, כמייל לשחזור סיסמה.

לתשומת לבכם! אימות עבור יעדי חו"ל (שניתן להשתמש בהם לצורך האימות כנ"ל), ניתן לאמת רק על ידי שיחה קולית, אין אפשרות לקבל SMS לצורך ביצוע האימות עבור מספרי חו"ל.

הוספת אמצעי זיהוי נוספים:

לאחר ביצוע אימות דו-שלבי ראשוני באחת מהאפשרויות לעיל, תוכלו להוסיף אמצעי זיהוי נוסף (טלפון נייד או נייח נוסף או כתובת מייל נוספת) דרך לשונית אבטחה באתר ניהול המערכת.
זה מאפשר גמישות רבה יותר ומבטיח שתמיד תוכלו לגשת לחשבון שלכם, גם אם אמצעי אחד אינו זמין.

אפשרות "זכור אותי" לנוחות מוגברת:

כדי להקל על חוויית ההתחברות - מבלי להתפשר על אבטחת המידע שלכם, בעת ביצוע האימות הדו-שלבי, תוכלו לסמן תיבה באפשרות "זכור אותי". בכך, לא תידרשו לבצע אימות דו-שלבי שוב למשך 30 יום, מיום האימות האחרון, ותוכלו להתחבר במהירות ובקלות מאותו מכשיר.
שימו לב: אנו ממליצים שלא להשתמש באפשרות זו ממחשב או מכשיר שאינם שייכים לכם, כדי לשמור על רמת אבטחה גבוהה.

כיצד להפעיל זאת כבר עכשיו?

היכנסו לאתר ניהול המערכת עם הסיסמה הרגילה שלכם.
נווטו ללשונית אבטחה.
הפעילו את אפשרות האימות הדו-שלבי.
אמתו את הפעולה באמצעות קוד שישלח אליכם.
כעת הוסיפו במידת הצורך אמצעי זיהוי נוספים לנוחות מרבית (אופציונלי).

אנו ממליצים בחום להפעיל את האימות הדו-שלבי כבר היום כדי להבטיח את ההגנה המיטבית על המידע שלכם!

עדכון נוסף: שיפורי אבטחה בהתממשקות למערכות טלפוניות באמצעות API

כחלק ממחויבותנו להגברת האבטחה, אנו מודיעים כי ההתממשקות למערכות הטלפוניות שלנו באמצעות API תעבור שינויים משמעותיים שמטרתם לחזק את ההגנה על הנתונים שלכם. בין השאר, תוטמע דרישה לאימות דו-שלבי (MFA) גם בתהליך ההתממשקות דרך ה-API, כדי להבטיח שרק משתמשים מורשים יוכלו לגשת למערכת ולבצע פעולות.

מה צפוי?

אימות דו-שלבי ב-API: הפעלת קריאות API תדרוש אימות נוסף מעבר למפתח ה-API הרגיל. זה יכלול שליחת קוד אימות ייחודי לאמצעי זיהוי מוגדר מראש (כגון טלפון או מייל), בדומה לתהליך הכניסה לאתר הניהול.
עדכונים טכניים נדרשים: כחלק מהתאמת הקוד לשינויים, יהיה צורך לעדכן את הקוד או התשתית בצד שלכם כדי לתמוך בדרישות האבטחה החדשות. לדוגמה, תצטרכו לשלב מנגנון לקבלת קוד האימות ולשליחתו בחזרה במסגרת קריאות ה-API ועוד.
תמיכה ותיעוד: אנו נספק תיעוד מפורט שיסייע לכם לבצע את המעבר בצורה חלקה. הודעה מפורטת עם כל הפרטים, תישלח בהמשך.

כיצד להתכונן?

אנו ממליצים בחום להתחיל להתכונן כבר כעת לשינויים הקרובים:

עקבו אחרי העדכונים שלנו: הישארו עם היד על הדופק לקבלת ההודעה המפורטת שתכלול הנחיות טכניות מדויקות.
בדקו את ההתממשקות הנוכחית שלכם: ודאו שהקוד שלכם מוכן לשינויים פוטנציאליים, כגון הוספת טיפול בקודי אימות או עדכון תהליכי האימות.

השינויים הללו הם חלק בלתי נפרד ממחויבותנו להגן על הנתונים שלכם ולהבטיח פעילות מאובטחת ורציפה. אנו מבקשים מכם להיות ערניים לעדכונים אלה ולהיערך בהתאם, כדי למנוע שיבושים בפעילות המערכות שלכם. אנו כאן כדי לתמוך בכם לאורך כל התהליך ולהבטיח מעבר חלק ומאובטח.

חכמון

@שלוימי-770 כתב ב שדרוג אבטחה: הוספת אימות דו-שלבי (MFA) בעת כניסה לאתר ניהול המערכת, וכן בעת שימוש ב-API:

הישארו עם היד על הדופק

אחרי הנושא על זה שנטחן הדק היטב,
אנחנו באמת עם יד על הדופק,
ומחכים בכליון עיניים לראות מה יקרה עם הapi,
והאם קרבו קיצן של כל מיני מערכות למיניהם, או שיש להם עתיד קל.
בתקווה לבשורות טובות ומשמחות.
ותודה רבה.

ערוץ הסקרים

@חכמון יש 2 צורות בapi לשלם מכוונים
1 ממשקי web שמאפשרים גישה לכלל הפונקציות והפעולות במערכת ששם ידרשו לאימות דו-שלבי כמו באתר ההתחברות הרגיל
2 api לפעולות ישירות במערכת ששם ככל הנראה יוכל לעבוד עם KEY (מפתח) מוגבל שנוצר עבור פעולה הרצויה

צדיק תמים

@שלוימי-770 כתב ב שדרוג אבטחה: הוספת אימות דו-שלבי (MFA) בעת כניסה לאתר ניהול המערכת, וכן בעת שימוש ב-API:

עדכונים טכניים נדרשים: כחלק מהתאמת הקוד לשינויים, יהיה צורך לעדכן את הקוד או התשתית בצד שלכם כדי לתמוך בדרישות האבטחה החדשות. לדוגמה, תצטרכו לשלב מנגנון לקבלת קוד האימות ולשליחתו בחזרה במסגרת קריאות ה-API ועוד.

למה אתם ממציאים סטנדרטים מחדש?
לא קיים API שדורש אימות דו שלבי בזמן ריצה (לא בזמן הנפקת הטוקן, שגם זה לא קיים אפילו בGCP או AWS), זה לא מעשי

וגם עבור ממשקי צד ג' למערכות (שזה שבריר מהשימוש בAPI) זה לא טוב שמרגילים אנשים לתת את המשתמש והסיסמה לצד ג', יש סטנדרט מוכן שזה OAuth 2.0 כמו שאפשר לתת הרשאה לחשבון גוגל לדוגמה באתר אחר - מעבירים את המשתמש לימות והם מחזירים את הטוקן בסיום ההזדהות

משרדי

@שלוימי-770 כתב ב שדרוג אבטחה: הוספת אימות דו-שלבי (MFA) בעת כניסה לאתר ניהול המערכת, וכן בעת שימוש ב-API:

אימות דו-שלבי ב-API: הפעלת קריאות API תדרוש אימות נוסף מעבר למפתח ה-API הרגיל. זה יכלול שליחת קוד אימות ייחודי לאמצעי זיהוי מוגדר מראש (כגון טלפון או מייל), בדומה לתהליך הכניסה לאתר הניהול.

המקטע הזה לא מספיק ברור.
מה בדיוק צפוי?
איך יעבוד התממשקות מול ימות בשרתים?

8503524

@שלוימי-770 אני כבר עשיתי כמה פעמים "זכור אותי"
והוא לא זוכר אותי
ובלשונית האבטחה רשום כמה פעמים אותו IP שמור !!

פלמנמוני

@שלוימי-770 בקשות API מהשרתים של ימות עצמם גם לא יעבדו ללא אימות?
כגון משלוחות API בקו

שלוימי 770

@משרדי כתב ב שדרוג אבטחה: הוספת אימות דו-שלבי (MFA) בעת כניסה לאתר ניהול המערכת, וכן בעת שימוש ב-API:

@שלוימי-770 כתב ב שדרוג אבטחה: הוספת אימות דו-שלבי (MFA) בעת כניסה לאתר ניהול המערכת, וכן בעת שימוש ב-API:

אימות דו-שלבי ב-API: הפעלת קריאות API תדרוש אימות נוסף מעבר למפתח ה-API הרגיל. זה יכלול שליחת קוד אימות ייחודי לאמצעי זיהוי מוגדר מראש (כגון טלפון או מייל), בדומה לתהליך הכניסה לאתר הניהול.

המקטע הזה לא מספיק ברור.
מה בדיוק צפוי?
איך יעבוד התממשקות מול ימות בשרתים?

תמיכה ותיעוד: אנו נספק תיעוד מפורט שיסייע לכם לבצע את המעבר בצורה חלקה. הודעה מפורטת עם כל הפרטים, תישלח בהמשך.

מוטי לוין

@8503524 כתב ב שדרוג אבטחה: הוספת אימות דו-שלבי (MFA) בעת כניסה לאתר ניהול המערכת, וכן בעת שימוש ב-API:

@שלוימי-770 אני כבר עשיתי כמה פעמים "זכור אותי"
והוא לא זוכר אותי
ובלשונית האבטחה רשום כמה פעמים אותו IP שמור !!

הוא עובד רק אם מוספים צורת אימות חדשה

פיתה

@8503524 כתב ב שדרוג אבטחה: הוספת אימות דו-שלבי (MFA) בעת כניסה לאתר ניהול המערכת, וכן בעת שימוש ב-API:

אני כבר עשיתי כמה פעמים "זכור אותי"
והוא לא זוכר אותי

גם אצלי

@מוטי-לוין כתב ב שדרוג אבטחה: הוספת אימות דו-שלבי (MFA) בעת כניסה לאתר ניהול המערכת, וכן בעת שימוש ב-API:

הוא עובד רק אם מוספים צורת אימות חדשה

לא נירה לי כי אצלי יש שני צורות אימות חדשות
והוא לא זכר אותי

אולי לא עשיתי את האימות דרכם.....

אבל עכשיו עשיתי דרכם נחכה לתוצאות........

עידו

@שלוימי-770 אוקי, זו התחלה טובה, אבל אנחנו חייבים את התיעוד על הAPI.
למרות שזה מגוחך לעשות אימות על API, הרי המטרה של הAPI לפעמים זה לשים אותו ולשכוח, עכשוי על כל ריצה נצטרך לאמת אותו? יהיו חייבים טוקן מיוחד שימנע את זה.
לדוגמא מערכת שמיצרת/משנה שלוחות /הודעה אישית למאזין לפי נתונים שהוקשו, הAPI אמור להיות שקוף למאזין, הוא לא אמור להתעסק איתו או לדעת על קיומו, ולהתחיל לאמת על כל מאזין זה לא הגיוני.

CUBASE

@עידו ראיתי ש @שמואל כתב פה שבעז"ה יהיה מפתח API כך שאם אתה רוצה שתוכל לבצע תמיד פעולות במערכת בטלפון ללא אימות - תוכל לספק את מפתח ה-API כפרמטר ולהשתמש בו.

CUBASE

פוסט זה נמחק!

בעזרת ה'

@שלוימי-770
למה לא לאפשר בחירה של המשתמש אם הוא רוצה אימות דו שלבי במערכת שלו?
יש אנשים שאין להם מה להסתיר, בעיקר מערכות של שיעורי תורה בלי אפשרויות סליקה וכדו' שאין שם שום דבר לגנוב, אז למה שלא תהיה אופציה לבטל את האימות הזה?