Es hora de que las marcas reconsideren el inicio de sesión social

(Rakesh Soni ) (28 de noviembre de 2018)

Después de exposiciones de datos a gran escala en Facebook y Google, las personas recomiendan que los usuarios dejen de usar sus perfiles sociales para iniciar sesión en otros sitios web. ¿Qué significa eso para las empresas que ofrecen inicio de sesión social a sus clientes?

El inicio de sesión social está en las noticias, y no en el buen sentido.

Dos violaciones de seguridad de alto perfil afectaron al inicio de sesión social , que permite a las personas acceder a sitios de terceros con su perfil social existente, en lugar de crear un nuevo nombre de usuario y contraseña.

Primero Facebook anunció una brecha de seguridad que afectó al menos a 50 millones de usuarios, aunque podrían ser muchos más. Ni siquiera Facebook sabe cuán extenso fue el acceso. Sabemos que el impacto de la infracción se amplificó debido al inicio de sesión social. Si las personas usaban su perfil de Facebook para iniciar sesión en sitios como Tinder o Expedia, sus cuentas en esos sitios también eran vulnerables.

Luego, Google admitió que los datos de hasta 500,000 usuarios de Google+ estaban expuestos debido a un error de seguridad. que Google no informó durante meses. Las aplicaciones de terceros que obtuvieron permiso para acceder a los datos del perfil público de un usuario también podrían obtener datos no públicos del usuario y sus amigos.

TechCrunch informó que «los nombres completos de los usuarios, direcciones de correo electrónico, fechas de nacimiento, el género, las fotos de perfil, los lugares donde vivió, la ocupación y el estado de la relación fueron potencialmente expuestos «.

La confianza de las personas en el inicio de sesión social y el acceso de terceros ha tenido un gran impacto.

Farhad Manjoo, columnista de tecnología en el New York Times , salió directo y dijo: “Voy a dejar de usar Facebook para iniciar sesión en aplicaciones y sitios en línea. Tú también deberías hacerlo ”.

El experto en seguridad Troy Hunt, creador del programa gratuito Have I Been Pwned? El sitio web de notificación de incumplimiento, dice, «el incumplimiento de Facebook es una señal de advertencia para cualquiera que pueda utilizar los servicios de inicio de sesión único para consumidores ofrecidos por Facebook, Google, Twitter y otros proveedores».

El mensaje para los consumidores es claro : deje de usar el inicio de sesión social.

Pero, ¿cuál es el mensaje para las empresas? ¿Cuál es el mensaje para los CIO y los gerentes de producto que brindan inicio de sesión social como una opción para sus usuarios?

¿Debería seguir ofreciendo inicio de sesión social como una forma de acceder sus servicios digitales?

Muchas empresas tienen acceso social a través de Facebook, Google, Twitter, LinkedIn u otros proveedores. Si su empresa es una de ellas, ¿qué debe hacer para proteger los datos de sus clientes y mantener la confianza del público?

Como director ejecutivo de LoginRadius, puedo responder estas preguntas. Tenemos experiencia en facilitar el inicio de sesión social para miles de empresas y cientos de millones de clientes durante seis años. Y entendemos la necesidad de equilibrar las prioridades en competencia para la experiencia del cliente, la seguridad y los conocimientos de marketing.

El inicio de sesión social tiene riesgos de seguridad que no se pueden ignorar

Cuando una red social tiene una violación de datos, todos los sitios web y aplicaciones de terceros que lo utilizan para el inicio de sesión social son vulnerables al acceso ilegítimo. Por ejemplo:

  • Si un pirata informático obtiene acceso a una cuenta de Facebook al descifrar una contraseña débil o mediante phishing, ese pirata informático podría ingresar a cualquier cuenta a la que el usuario de Facebook haya accedido con el inicio de sesión de Facebook, como Spotify o Tinder.
  • Si el teléfono de un usuario de Facebook es robado y desbloqueado, pero aún está conectado a Facebook en su computadora portátil o tableta, se puede acceder a cualquiera de sus aplicaciones que usan Facebook Login desde el teléfono robado.
  • Las funciones de seguridad avanzadas, como la autenticación multifactor y la autenticación basada en riesgos, aunque las ofrecen los proveedores sociales, suelen ser opcionales y no están habilitadas de forma predeterminada, por lo que muchos usuarios no las aprovechan.

Y los riesgos de seguridad conducen a riesgos de privacidad

Los consumidores ya estaban preocupados por el inicio de sesión social debido al intercambio de datos. Esas preocupaciones se multiplican cuando los datos son vulnerables a ser robados y compartidos de formas no autorizadas.

Las personas se sorprenden cuando se enteran de qué tipo de datos podrían estar expuestos: cosas como el historial de votaciones, las coordenadas GPS de su casa. , nombres y números de teléfono de amigos, información de pasaporte y mensajes privados de citas.

Las regulaciones de privacidad como GDPR aún se encuentran en los primeros días de aplicación, por lo que aún no está claro cuánto estarán las empresas de terceros responsable de las violaciones a la privacidad que resulten de los ataques de inicio de sesión social. Dado el posible costo financiero y de reputación de tales violaciones a la privacidad, las empresas deben analizar detenidamente cómo protegerse a sí mismas y a sus clientes.

Todavía existe un caso comercial para el inicio de sesión social

Muchos usuarios todavía prefieren registrarse e iniciar sesión con sus cuentas sociales. Para las empresas, el inicio de sesión social es una forma atractiva de atraer nuevos clientes rápidamente y aumentar las tasas de conversión.

Pero usar el inicio de sesión social para todo podría ser la forma más arriesgada de usarlo. Todo significa que los clientes se registran e inician sesión para todas las actividades utilizando su cuenta social. Lamentablemente, esta implementación también es la más típica.

Las empresas pueden seguir ofreciendo inicio de sesión social de forma segura si tienen capas adicionales de seguridad para proteger las cuentas de los clientes y aumentar la confianza del cliente en la marca.

Descargar Inicio de sesión social reconsiderado , una evaluación de LoginRadius de la seguridad y la privacidad angle

Si su empresa utiliza el inicio de sesión social, debería hacerlo más seguro

Con una gestión de acceso e identidad de cliente (CIAM) como LoginRadius, hay varias formas de implementar el inicio de sesión social de forma más segura.

Por ejemplo, puede permitir el inicio de sesión social para actividad de riesgo solo

.

En este caso de uso, el inicio de sesión social se utiliza para el registro y la autenticación, y el CIAM permite al cliente realizar actividades de bajo riesgo. Leer contenido, comentar y ver la información de la cuenta son actividades típicas de bajo riesgo.

Sin embargo, si un cliente desea realizar actividades de alto riesgo, según lo define la empresa, el CIAM requiere que pasen por múltiples -factor de autenticación para proporcionar verificación adicional de su identidad. Cambiar la información de la cuenta y comprar artículos o procesar pagos se consideran actividades de alto riesgo.

Incluso si un pirata informático obtiene acceso a la cuenta social de un cliente, no podrá realizar actividades de alto riesgo si no lo hace. t tener acceso al teléfono o la cuenta de correo electrónico del cliente para la autenticación de múltiples factores.

Nuestro documento técnico, Social Login Reconsidered , describe tres más casos de uso que preservan la experiencia simple del cliente del inicio de sesión social al mismo tiempo que brindan una protección más sólida que elimina el riesgo de seguridad y minimiza el riesgo de privacidad si se viola la cuenta social de un cliente.

El caso de uso correcto para su negocio depende de la modelo de negocio, la audiencia objetivo y el nivel de riesgo de las cuentas de los clientes.

Hasta ahora, el mercado ha hablado principalmente sobre las ventajas del inicio de sesión social, pero no ha sido tan explícito sobre los riesgos. LoginRadius está asumiendo un papel de liderazgo en la promoción de prácticas de inicio de sesión social que protegen mejor a las empresas y a sus clientes.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *