Es ist Zeit für Marken, das soziale Login zu überdenken

(Rakesh Soni ) (28. November 2018)

Nach umfangreichen Datenexpositionen bei Facebook und Google wird empfohlen, dass Benutzer ihre sozialen Profile nicht mehr verwenden, um sich bei anderen Websites anzumelden. Was bedeutet das für die Unternehmen, die ihren Kunden Social Login anbieten?

Social Login ist in den Nachrichten und nicht in guter Weise.

Zwei hochkarätige Sicherheitsverletzungen betrafen Social Login , mit dem Personen mit ihrem vorhandenen sozialen Profil auf Websites von Drittanbietern zugreifen können, anstatt einen neuen Benutzernamen zu erstellen und Passwort.

Zuerst kündigte Facebook eine Sicherheitsverletzung an, von der mindestens 50 Millionen Benutzer betroffen waren, obwohl es noch viel mehr sein könnte. Nicht einmal Facebook weiß, wie umfangreich der Zugang war. Wir wissen, dass die Auswirkungen des Verstoßes aufgrund der sozialen Anmeldung verstärkt wurden. Wenn Benutzer ihr Facebook-Profil verwendeten, um sich bei Websites wie Tinder oder Expedia anzumelden, waren auch ihre Konten auf diesen Websites anfällig.

Dann gab Google zu, dass Daten von bis zu 500.000 Google+ Nutzern aufgrund eines Sicherheitsfehlers offengelegt wurden dass Google monatelang nicht gemeldet hat. Apps von Drittanbietern, die die Berechtigung zum Zugriff auf die öffentlichen Profildaten eines Benutzers erhalten haben, können auch nicht öffentliche Daten vom Benutzer und seinen Freunden erhalten.

TechCrunch berichtete, dass „die vollständigen Namen, E-Mail-Adressen, Geburtsdaten, Geschlecht, Profilfotos, Wohnorte, Beruf und Beziehungsstatus wurden möglicherweise offengelegt. “

Das Vertrauen der Menschen in die soziale Anmeldung und den Zugriff durch Dritte hat einen großen Einfluss genommen.

Farhad Manjoo, Der Technologiekolumnist der New York Times kam sofort heraus und sagte: „Ich werde aufhören, Facebook zu verwenden, um mich online bei Apps und Websites anzumelden. Das solltest du auch. “

Sicherheitsexperte Troy Hunt, Schöpfer des kostenlosen Have I Been Pwned? Auf der Website zur Benachrichtigung über Verstöße heißt es: „Die Facebook-Verletzung ist ein Warnzeichen für alle, die Single-Sign-On-Dienste für Verbraucher nutzen, die von Facebook, Google, Twitter und anderen Anbietern angeboten werden.“

Die Nachricht an die Verbraucher ist klar : Verwenden Sie kein soziales Login mehr.

Aber wie lautet die Botschaft an Unternehmen? Was ist die Botschaft an CIOs und Produktmanager, die ihren Benutzern eine soziale Anmeldung als Option anbieten?

Sollten Sie weiterhin eine soziale Anmeldung als Zugriffsmöglichkeit anbieten? Ihre digitalen Dienste?

Viele Unternehmen haben ein soziales Login über Facebook, Google, Twitter, LinkedIn oder andere Anbieter. Wenn Ihr Unternehmen eines von ihnen ist, was sollten Sie tun, um Ihre Kundendaten zu schützen und das Vertrauen der Öffentlichkeit zu wahren?

Als CEO von LoginRadius kann ich diese Fragen beantworten. Wir haben Erfahrung in der Erleichterung der sozialen Anmeldung für Tausende von Unternehmen und Hunderte von Millionen von Kunden in sechs Jahren. Und wir verstehen die Notwendigkeit, konkurrierende Prioritäten für Kundenerfahrung, Sicherheit und Marketing-Erkenntnisse auszugleichen.

Social Login birgt Sicherheitsrisiken, die nicht ignoriert werden können.

Wenn ein soziales Netzwerk eine hat Datenverletzungen, alle Websites und Apps von Drittanbietern, die sie für die soziale Anmeldung verwenden, sind für unzulässigen Zugriff anfällig. Beispiel:

  • Wenn ein Hacker durch Knacken eines schwachen Passworts oder durch Phishing Zugriff auf ein Facebook-Konto erhält, kann dieser Hacker in jedes Konto eindringen, auf das der Facebook-Benutzer mit Facebook-Login zugegriffen hat, z. B. Spotify oder Zunder.
  • Wenn das Telefon eines Facebook-Benutzers gestohlen und entsperrt wird, dieser jedoch weiterhin auf seinem Laptop oder Tablet bei Facebook angemeldet ist, kann auf jede seiner Apps, die die Facebook-Anmeldung verwenden, über das gestohlene Telefon zugegriffen werden.
  • Erweiterte Sicherheitsfunktionen wie Multi-Faktor-Authentifizierung und risikobasierte Authentifizierung werden zwar von sozialen Anbietern angeboten, sind jedoch normalerweise optional und nicht standardmäßig aktiviert, sodass viele Benutzer sie nicht nutzen.

Und Sicherheitsrisiken führen zu Datenschutzrisiken

Verbraucher waren aufgrund des Datenaustauschs bereits besorgt über die soziale Anmeldung. Diese Bedenken vervielfachen sich, wenn die Daten auf unbefugte Weise gestohlen und weitergegeben werden können.

Menschen sind schockiert, wenn sie erfahren, welche Art von Daten offengelegt werden könnten – beispielsweise Abstimmungsverlauf, GPS-Koordinaten des eigenen Zuhauses , Namen und Telefonnummern von Freunden, Passinformationen und private Dating-Nachrichten.

Datenschutzbestimmungen wie die DSGVO befinden sich noch in den Anfängen der Durchsetzung, sodass noch nicht klar ist, wie viele Drittunternehmen es sein werden haftet für Datenschutzverletzungen, die sich aus Social-Login-Hacks ergeben. Angesichts der potenziellen finanziellen und Reputationskosten solcher Datenschutzverletzungen müssen Unternehmen sich intensiv mit dem Schutz ihrer selbst und ihrer Kunden befassen.

Es gibt immer noch ein Geschäftsmodell für die soziale Anmeldung

Viele Benutzer bevorzugen es immer noch, sich mit ihren sozialen Konten anzumelden und anzumelden. Für Unternehmen ist Social Login eine attraktive Möglichkeit, neue Kunden schnell zu gewinnen und die Conversion-Raten zu erhöhen.

Die Verwendung von Social Login für alles könnte jedoch die riskanteste Möglichkeit sein, es zu verwenden. Alles bedeutet, dass sich Kunden über ihr soziales Konto für alle Aktivitäten registrieren und anmelden. Leider ist diese Implementierung auch die typischste.

Unternehmen können weiterhin sicher soziale Anmeldungen anbieten, wenn sie über zusätzliche Sicherheitsebenen verfügen, um Kundenkonten zu schützen und zu verbessern Kundenvertrauen in die Marke.

Download Social Login neu überdacht , eine LoginRadius-Bewertung der Sicherheit und des Datenschutzes angle

Wenn Sie ein Unternehmen sind, das Social Login verwendet, sollten Sie es sicherer machen.

Mit einer Kundenidentitäts- und Zugriffsverwaltung Lösung (CIAM) wie LoginRadius gibt es eine Reihe von Möglichkeiten, um die soziale Anmeldung sicherer zu implementieren.

Sie können beispielsweise die soziale Anmeldung für niedrige Werte zulassen. nur Risikoaktivität

.

In diesem Anwendungsfall wird die soziale Anmeldung zur Registrierung und Authentifizierung verwendet, und das CIAM ermöglicht dem Kunden die Durchführung von Aktivitäten mit geringem Risiko. Das Lesen von Inhalten, das Kommentieren und das Anzeigen von Kontoinformationen sind typische Aktivitäten mit geringem Risiko.

Wenn ein Kunde jedoch Aktivitäten mit hohem Risiko ausführen möchte, wie vom Unternehmen definiert, muss das CIAM mehrere Aktivitäten durchlaufen -Faktorauthentifizierung zur zusätzlichen Überprüfung ihrer Identität. Das Ändern von Kontoinformationen und das Kaufen von Artikeln oder das Verarbeiten von Zahlungen gelten als Aktivitäten mit hohem Risiko.

Selbst wenn ein Hacker Zugriff auf das soziale Konto eines Kunden erhält, kann er keine Aktivitäten mit hohem Risiko ausführen, wenn er dies nicht tut. Sie haben keinen Zugriff auf das Telefon- oder E-Mail-Konto des Kunden für die Multi-Faktor-Authentifizierung.

In unserem Whitepaper Social Login Reconsidered werden drei weitere beschrieben Anwendungsfälle, die das einfache Kundenerlebnis der sozialen Anmeldung bewahren und gleichzeitig einen stärkeren Schutz bieten, der das Sicherheitsrisiko beseitigt und das Datenschutzrisiko minimiert, wenn das soziale Konto eines Kunden verletzt wird.

Der richtige Anwendungsfall für Ihr Unternehmen hängt von der Geschäftsmodell, Zielgruppe und Risikograd für Kundenkonten.

Bisher hat der Markt hauptsächlich über die Vorteile von Social Login gesprochen, die Risiken jedoch nicht so deutlich. LoginRadius übernimmt eine Führungsrolle bei der Befürwortung sozialer Anmeldepraktiken, die Unternehmen und ihre Kunden besser schützen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.