Открыть главное меню

Безопасность в Nemo.Travel

Версия от 15:57, 14 июля 2015; Кирилл Фимченко (обсуждение | вклад) (http://helpdesk.nemo.travel/issues/16392)

В системе Немо предусмотрены механизмы направленные на повышение безопасности и защиту пользовательских учетных записей. В системе есть различные варианты дополнительной защиты для безопасной аутентификации пользователей и различные способы верификации пользователей.

Верификация пользователя

Для подтверждения авторизации, пользователю необходимо пройти процедуру верификации. Верификация осуществляется при помощи подтверждения email адреса и телефонного номера указанных в профиле пользователя. Запрос на подтверждение можно отправить из раздела в панели администрирования «Профиль пользователя» или из личного кабинета, вкладки «Мой профиль». Рядом с названием полей «Адрес электронной почты» и «Телефон» расположена ссылка «Подтвердить», при нажатии на которую вам будет отправлено сообщение содержащее одноразовый код, действующий в течении 15 минут, на указанный адрес электронной почты или на телефонный номер из поля «Телефон», далее пользователю предлагается ввести полученный код. После успешного введения кода, около поля отобразится символ указывающий на то, что номер или почтовый адрес был успешно подтвержден. При смене почтового адреса или телефонного номера, статус верификации обнуляется и потребуется провести процедуру еще раз. При первом входе в систему, пользователю предлагается подтвердить свой электронный адрес и телефон (если у агентства заданы реквизиты для рассылки смс сообщений) а после выбрать тип защиты при входе в систему, данный шаг можно пропустить 5 раз, далее вход в систему будет невозможен без подтверждения своих данных.

Защищенная авторизация пользователей

Пользователям доступно два режима дополнительный защиты при авторизации:

  • Подтверждение через браузер (используя cookie) - после подтверждения с помощью одноразового кода отправленного на почтовый адрес или телефонный номер, данные об успешной авторизации будут сохранены в браузере пользователя в cookie файлах. Подтверждение через браузер необходимо периодически проходить повторно, время существования данных об успешном подтверждении через браузер может быть ограниченным и может задаваться менеджером в разделе «Администрирование» - «Настройки системы» в поле «Время жизни cookie для дополнительной авторизации», значение задается в часах. Для неограниченного времени существования cookie файла необходимо задать 0.
  • Подтверждение через IP - после подтверждения пользователя при попытке входа на сайт, будет сохранен текущий IP адрес пользователя. При последующем входе на сайт не потребуется повторное подтверждение если у пользователя не сменится IP адрес. Возможно сохранение неограниченного количества IP адресов, что позволит заходить на сайт с различных устройств без подтверждения.

Рекомендуется использовать вариант подтверждения через IP адрес, т.к. такой вариант наиболее безопасен.
Пользователям у которых происходит частая смена IP адреса подойдет вариант с подтверждением через cookie файлы, но в таком случае следует быть уверенным, что на устройстве пользователя не стоит вредоносного ПО.

'