Det er tid for mærker at genoverveje social login

(Rakesh Soni (28. nov. 2018)

Efter store dataeksponeringer på Facebook og Google anbefaler folk, at brugerne holder op med at bruge deres sociale profiler til at logge ind på andre websteder. Hvad betyder det for de virksomheder, der tilbyder social login til deres kunder?

Socialt login er i nyhederne og ikke på en god måde.

To højprofilerede sikkerhedsbrud berørt social login , som giver folk adgang til tredjepartswebsteder med deres eksisterende sociale profil i stedet for at oprette et nyt brugernavn og adgangskode.

Først meddelte Facebook et sikkerhedsbrud, der ramte mindst 50 millioner brugere, selvom det kunne være mange flere. Ikke engang Facebook ved, hvor omfattende adgangen var. Vi ved, at virkningen af ​​bruddet blev forstærket på grund af social login. Hvis folk brugte deres Facebook-profil til at logge ind på websteder som Tinder eller Expedia, var deres konti på disse websteder også sårbare.

Så indrømmede Google, at data fra op til 500.000 Google+ brugere blev eksponeret på grund af en sikkerhedsfejl at Google ikke kunne rapportere i flere måneder. Tredjepartsapps, der fik tilladelse til at få adgang til en brugers offentlige profildata, kunne også få ikke-offentlige data fra brugeren og deres venner.

TechCrunch rapporterede, at “brugernes fulde navne, e-mail-adresser, fødselsdatoer, køn, profilbilleder, beboede steder, erhverv og forholdsstatus blev potentielt udsat. ”

Folks tillid til social login og tredjepartsadgang har fået et stort hit.

Farhad Manjoo, teknologi-spaltist på New York Times , kom lige ud og sagde: ”Jeg holder op med at bruge Facebook til at logge ind på apps og websteder online. Du burde også gøre det. ”

Sikkerhedsekspert Troy Hunt, skaberen af ​​den gratis Have I been Pwned? Webstedet om overtrædelsesmeddelelse siger, “Facebook-overtrædelsen er et advarselsskilt for alle, der muligvis bruger forbrugertilmeldingstjenester, der tilbydes af Facebook, Google, Twitter og andre udbydere.”

Beskeden til forbrugerne er klar : stop med at bruge social login.

Men hvad er meddelelsen til virksomheder? Hvad er beskeden til CIOer og produktadministratorer, der giver social login som en mulighed for deres brugere?

Skal du fortsætte med at tilbyde social login som en måde at få adgang til dine digitale tjenester?

Mange virksomheder har social login via Facebook, Google, Twitter, LinkedIn eller andre udbydere. Hvis din virksomhed er en af ​​dem, hvad skal du gøre for at sikre dine kundedata og opretholde offentlig tillid?

Som administrerende direktør for LoginRadius kan jeg besvare disse spørgsmål. Vi har erfaring med at lette social login for tusindvis af virksomheder og hundreder af millioner af kunder over seks år. Og vi forstår behovet for at afbalancere konkurrerende prioriteter for kundeoplevelse, sikkerhed og marketingindsigt.

Social login har sikkerhedsrisici, der ikke kan ignoreres

Når et socialt netværk har en databrud, alle tredjepartswebsteder og apps, der bruger det til social login, er sårbare over for ulovlig adgang. For eksempel:

  • Hvis en hacker får adgang til en Facebook-konto ved at knække en svag adgangskode eller ved phishing, kan denne hacker bryde ind på en hvilken som helst konto, som Facebook-brugeren har fået adgang til med Facebook-login, såsom Spotify eller Tinder.
  • Hvis en Facebook-brugers telefon stjæles og låses op, men de stadig er logget ind på Facebook på deres bærbare computer eller tablet, kan man få adgang til enhver af deres apps, der bruger Facebook-login fra den stjålne telefon.
  • Avancerede sikkerhedsfunktioner såsom multifaktorautentificering og risikobaseret godkendelse, selvom de tilbydes af sociale udbydere, er normalt valgfri og er ikke aktiveret som standard, så mange brugere udnytter dem ikke.

Og sikkerhedsrisici fører til privatlivsrisici

Forbrugerne var allerede bekymrede for social login på grund af datadeling. Disse bekymringer ganges, når dataene er sårbare over for at blive stjålet og delt på uautoriserede måder.

Folk er chokerede, når de lærer, hvilken slags data der kan blive eksponeret – ting som stemmningshistorik, GPS-koordinater til ens hjem , venners navne og telefonnumre, pasoplysninger og private datingbeskeder.

Fortrolighedsregler som GDPR er stadig i de første dage af håndhævelse, så det er endnu ikke klart, hvor meget tredjepartsvirksomheder vil være ansvarlig for krænkelser af privatlivets fred, der skyldes sociale loginhacks. I betragtning af de potentielle økonomiske og omdømmeomkostninger ved sådanne krænkelser af privatlivets fred, er virksomheder nødt til at se hårdt på at beskytte sig selv og deres kunder.

Der er stadig en business case for social login

Mange brugere foretrækker stadig at tilmelde sig og logge ind ved hjælp af deres sociale konti. For virksomheder er social login en attraktiv måde at engagere nye kunder hurtigt og øge konverteringsfrekvensen.

Men brug af social login til alt kan være den mest risikable måde at bruge det på. Alt betyder, at kunder registrerer og logger ind på al aktivitet ved hjælp af deres sociale konto. Desværre er denne implementering også den mest typiske.

Virksomheder kan fortsat tilbyde social login sikkert, hvis de har yderligere lag af sikkerhed for at beskytte kundekonti og øge kundernes tillid til mærket.

Download Social login genovervejet , en LoginRadius-vurdering af sikkerhed og privatliv vinkel

Hvis du er en virksomhed, der bruger socialt login, skal du gøre det mere sikkert

Med en kundeidentitet og adgangsstyring løsning (CIAM) som LoginRadius, er der en række måder at implementere social login mere sikkert på.

For eksempel kan du tillade social login til lav- kun risikovirkning

.

I dette brugstilfælde bruges social login til registrering og godkendelse, og CIAM giver kunden mulighed for at udføre aktiviteter med lav risiko. Læsning af indhold, kommentering og visning af kontooplysninger er typiske aktiviteter med lav risiko.

Men hvis en kunde ønsker at udføre højrisikoaktiviteter som defineret af virksomheden, kræver CIAM, at de gennemgår flere -faktorautentificering for at give yderligere verifikation af deres identitet. Ændring af kontooplysninger og køb af varer eller behandling af betalinger betragtes som højrisikoaktiviteter.

Selv hvis en hacker får adgang til en kundes sociale konto, vil de ikke være i stand til at udføre højrisikoaktiviteter, hvis de ikke t har adgang til kundens telefon- eller e-mail-konto til multifaktorautentificering.

Vores hvidbog, Social login genovervejet , beskriver tre mere brug sager, der bevarer den enkle kundeoplevelse af social login, samtidig med at den giver stærkere beskyttelse, der eliminerer sikkerhedsrisikoen og minimerer privatlivsrisikoen, hvis en kundes sociale konto overtrædes.

Den rigtige brugssag for din virksomhed afhænger af forretningsmodel, målgruppen og risikoniveauet for kundekonti.

Indtil nu har markedet primært talt om fordelene ved social login, men har ikke været så højlydt om risiciene. LoginRadius tager en ledende rolle i fortaler for social login-praksis, der beskytter virksomheder og deres kunder bedre.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *