Bỏ qua

Quy tắc và khuyến nghị bảo mật

Các nguyên tắc bảo mật bên dưới nhằm giúp bạn thực hiện một cách an toàn hầu hết các hành động phổ biến của người dùng, như xác thực, tương tác API và quản lý người dùng trong nền tảng SMSBAT và thông qua API SMSBAT.

Bảo mật tài khoản

Sau khi tạo tài khoản SMSBAT, bạn sẽ sử dụng email và mật khẩu của mình để đăng nhập vào giao diện web SMSBAT.

Quản lý mật khẩu

Độ mạnh của mật khẩu SMSBAT rất quan trọng đối với tính bảo mật của tài khoản của bạn. Hãy làm theo các mẹo mật khẩu quan trọng sau để giúp bảo vệ tài khoản của bạn:

  • Không sử dụng cùng một mật khẩu cho nhiều người dùng khác nhau.
  • Không sử dụng mật khẩu mà bạn đã sử dụng ở nơi khác, đặc biệt đối với các kênh/dịch vụ trực tuyến khác.
  • Thay đổi mật khẩu định kỳ.
  • Không bao giờ chia sẻ mật khẩu hoặc khóa API của bạn với bên thứ 3, kể cả nhân viên SMSBAT. Thay vào đó, hãy sử dụng biểu mẫu đặt lại mật khẩu giao diện web SMSBAT hoặc quản lý khóa API qua giao diện thích hợp.

Người dùng tài khoản

Dưới đây là cách quản lý thông tin đăng nhập của người dùng tài khoản để bảo mật tối đa:

  1. Trong giao diện web SMSBAT, hãy điều hướng đến cài đặt nhóm và người dùng của bạn.

  2. Giới hạn nghiêm ngặt vai trò Người quản lý tài khoản hoặc Quản trị viên đối với những nhân viên yêu cầu quyền truy cập đầy đủ.

  3. Đối với các hoạt động hàng ngày và tích hợp API, hãy phân công vai trò theo nguyên tắc đặc quyền tối thiểu.

  4. Xác minh địa chỉ email và số điện thoại của tất cả người dùng.

Kiểm soát bảo mật liên quan đến API

Phần này cung cấp thông tin về cách tăng cường bảo mật cho kết nối API.

Để giảm thiểu rủi ro bị chặn truyền dữ liệu mạng:

  • Luôn sử dụng kết nối được mã hóa SSL/TLS (HTTPS) khi tương tác với API của chúng tôi.
  • Tăng tính bảo mật cho kết nối API bằng cách sử dụng các khóa API chuyên dụng thay vì thông tin xác thực của người dùng để tích hợp API. Điều này giảm thiểu nguy cơ bị chặn truyền dữ liệu mạng.
  • Hạn chế khóa API đối với các địa chỉ IP cụ thể (Danh sách an toàn IP) nếu tích hợp của bạn cho phép IP tĩnh.

Lạm dụng mật khẩu/mã thông báo

Để giảm thiểu rủi ro lạm dụng mã thông báo hoặc khóa API:

  • Hãy coi các khóa API và mã thông báo của bạn như mật khẩu và giữ bí mật chúng.
  • Tránh mã hóa cứng thông tin đăng nhập của người dùng hoặc khóa API trên kho lưu trữ mã công khai.
  • Khi làm việc với API, hãy sử dụng mã thông báo làm biến môi trường thay vì mã hóa cứng chúng vào chương trình của bạn.
  • Xoay khóa API của bạn theo định kỳ.

Xác minh tính xác thực của trang đăng nhập để ngăn chặn các cuộc tấn công lừa đảo

Hãy chú ý đến URL và nội dung trang web để đảm bảo bạn đang đăng nhập vào cổng SMSBAT hợp pháp:

  1. Kiểm tra tên miền: Tên miền có thể giúp xác nhận rằng bạn đang truy cập một trang SMSBAT hợp pháp. Nó phải luôn kết thúc bằng smsbat.com. Hãy cẩn thận với các miền bắt chước các doanh nghiệp thực tế (ví dụ: "smsbät.com", "sms-bat.com" nếu không được thông báo chính thức).

  2. Kiểm tra trạng thái bảo mật của trang web: Tìm biểu tượng ổ khóa trên thanh địa chỉ trình duyệt của bạn để xác minh kết nối được bảo mật bằng HTTPS.

  3. Đánh giá URL: URL của trang web bao gồm loại kết nối ("HTTPS"), ứng dụng, tên miền ("smsbat"), phần mở rộng ("".com") và đường dẫn tệp. Xác minh rằng URL là chính xác.

  4. Xem lại chi tiết Chứng chỉ: Hầu hết các trình duyệt cho phép bạn xem chứng chỉ bảo mật bằng cách nhấp vào biểu tượng ổ khóa trên thanh địa chỉ. Đảm bảo chứng chỉ được cấp cho đúng đối tượng.

Nếu bạn nghi ngờ có nỗ lực lừa đảo hoặc bất kỳ vấn đề nào liên quan đến bảo mật, vui lòng liên hệ ngay với help@smsbat.com.