Хотим открывать 1ску на веб клиенте с командной строки с битрикса. но это могут быть и внешние ip. вопрос как убедить ОБ что это безопасно (у самого мало знаний в этом) аутентификация это понятно. какие варианты все таки залезть в базу в этом случае и какие вариант это же предотвратить?

Вариант простой - не выставлять 1с в интернет.
Вариант посложней - пускать только через впн.
Вариант ещё посложней - впн авторизовать только через биометрию.

(1) а как вообще могут залезть если аутентификация есть?

(2) Подобрать пароль, например

(2)  спросить у админа

(3) и все? на это можно сделать двойную атуентификацию например..просто впн наверно не получится ибо они изза 1с формы не будут ставить на девайсы что то

(5) Ну сделай, если ты горазд двойную к 1с прикрутить...

(6) ну как вариант в парметры командной строки запихнуть ещзе один логин и пароль и закрывать базу если не сходится что то