Het is tijd dat merken social login heroverwegen

(Rakesh Soni ) (28 nov.2018)

Na grootschalige blootstellingen van gegevens bij Facebook en Google, bevelen mensen gebruikers aan om hun sociale profielen niet meer te gebruiken om in te loggen op andere websites. Wat betekent dat voor de bedrijven die social login aanbieden aan hun klanten?

Social login is in het nieuws, en niet op een goede manier.

Twee spraakmakende inbreuken op de beveiliging getroffen sociale login , waarmee mensen toegang krijgen tot sites van derden met hun bestaande sociale profiel, in plaats van een nieuwe gebruikersnaam te maken en wachtwoord.

Eerst kondigde Facebook een inbreuk op de beveiliging aan die ten minste 50 miljoen gebruikers trof, hoewel het er nog veel meer zouden kunnen zijn. Zelfs Facebook weet niet hoe uitgebreid de toegang was. We weten wel dat de impact van de inbreuk werd vergroot door social login. Als mensen hun Facebook-profiel gebruikten om in te loggen op sites als Tinder of Expedia, waren hun accounts op die sites ook kwetsbaar.

Vervolgens gaf Google toe dat gegevens van tot wel 500.000 Google+ gebruikers werden blootgesteld vanwege een beveiligingsfout dat Google maandenlang niet heeft gerapporteerd. Apps van derden die toestemming hebben gekregen om toegang te krijgen tot de openbare profielgegevens van een gebruiker, kunnen ook niet-openbare gegevens van de gebruiker en zijn vrienden krijgen.

TechCrunch meldde dat “de volledige namen van gebruikers, e-mailadressen, geboortedata, geslacht, profielfotos, woonplaatsen, beroep en relatiestatus werden mogelijk blootgelegd. “

Het vertrouwen van mensen in sociale login en toegang door derden heeft een grote hit gekregen.

Farhad Manjoo, technologiecolumnist bij de New York Times , kwam meteen naar buiten en zei: “Ik ga stoppen met het gebruik van Facebook om in te loggen op apps en sites online. Dat zou jij ook moeten doen. ”

Beveiligingsexpert Troy Hunt, maker van het gratis programma Have I Been Pwned? De website voor het melden van inbreuken zegt: “de inbreuk op Facebook is een waarschuwing voor iedereen die gebruikmaakt van single sign-on-services voor consumenten die worden aangeboden door Facebook, Google, Twitter en andere providers.”

De boodschap aan de consument is duidelijk : stop met het gebruik van social login.

Maar wat is de boodschap aan bedrijven? Wat is de boodschap aan CIOs en productmanagers die sociale login als een optie voor hun gebruikers bieden?

Moet u sociale login blijven aanbieden als een manier om toegang te krijgen tot uw digitale services?

Veel bedrijven hebben sociale login via Facebook, Google, Twitter, LinkedIn of andere providers. Als uw bedrijf een van hen is, wat moet u dan doen om uw klantgegevens te beveiligen en het vertrouwen van het publiek te behouden?

Als CEO van LoginRadius kan ik deze vragen beantwoorden. We hebben ervaring met het faciliteren van social login voor duizenden bedrijven en honderden miljoenen klanten gedurende zes jaar. En we begrijpen de noodzaak om een ​​evenwicht te vinden tussen concurrerende prioriteiten voor klantervaring, veiligheid en marketinginzichten.

Inloggen via sociale netwerken heeft beveiligingsrisicos die niet kunnen worden genegeerd

Wanneer een sociaal netwerk een gegevensinbreuk, zijn alle websites en apps van derden die deze gebruiken voor sociale login kwetsbaar voor onrechtmatige toegang. Bijvoorbeeld:

  • Als een hacker toegang krijgt tot een Facebook-account door een zwak wachtwoord te kraken of door phishing, kan die hacker inbreken in elk account waartoe de Facebook-gebruiker toegang heeft gehad met Facebook Login, zoals Spotify of Tinder.
  • Als de telefoon van een Facebook-gebruiker wordt gestolen en ontgrendeld, maar hij is nog steeds ingelogd op Facebook op zijn laptop of tablet, dan zijn al hun apps die Facebook Login gebruiken toegankelijk vanaf de gestolen telefoon.
  • Geavanceerde beveiligingsfuncties zoals multi-factor authenticatie en risicogebaseerde authenticatie, hoewel aangeboden door sociale providers, zijn meestal optioneel en niet standaard ingeschakeld, dus veel gebruikers maken er geen gebruik van.

En beveiligingsrisicos leiden tot privacyrisicos

Consumenten maakten zich al zorgen over social login vanwege het delen van gegevens. Die zorgen worden vermenigvuldigd wanneer de gegevens kwetsbaar zijn voor diefstal en op ongeoorloofde manieren worden gedeeld.

Mensen zijn geschokt als ze ontdekken wat voor soort gegevens kunnen worden blootgesteld – zaken als stemgeschiedenis, gps-coördinaten van iemands huis , namen en telefoonnummers van vrienden, paspoortgegevens en privé-datingberichten.

Privacyregels zoals AVG staan ​​nog in de beginfase van handhaving, dus het is nog niet duidelijk hoeveel externe bedrijven zullen zijn aansprakelijk voor inbreuken op de privacy die het gevolg zijn van hacks op social login. Gezien de mogelijke financiële en reputatiekosten van dergelijke inbreuken op de privacy, moeten bedrijven goed kijken naar de bescherming van zichzelf en hun klanten.

Er is nog steeds een businesscase voor social login

Veel gebruikers geven er nog steeds de voorkeur aan om zich aan te melden en in te loggen met hun sociale accounts. Voor bedrijven is sociaal inloggen een aantrekkelijke manier om snel nieuwe klanten te werven en de conversieratios te verhogen.

Maar het gebruik van social login voor alles kan de meest risicovolle manier zijn om het te gebruiken. Alles betekent dat klanten zich registreren en inloggen voor alle activiteiten met hun sociale account. Helaas is deze implementatie ook de meest typische.

Bedrijven kunnen veilig sociaal inloggen blijven aanbieden als ze extra beveiligingslagen hebben om klantaccounts te beschermen en een boost te geven vertrouwen van de klant in het merk.

Downloaden Social Login heroverwogen , een LoginRadius-beoordeling van de veiligheid en privacy angle

Als u een bedrijf bent dat social login gebruikt, moet u het veiliger maken

Met een klantidentiteit en toegangsbeheer oplossing (CIAM) zoals LoginRadius, zijn er een aantal manieren om sociaal inloggen veiliger te implementeren.

U kunt bijvoorbeeld sociaal inloggen toestaan ​​voor lage- alleen risico-activiteit

.

In dit geval wordt sociale login gebruikt voor registratie en authenticatie, en de CIAM stelt de klant in staat om activiteiten met een laag risico uit te voeren. Het lezen van inhoud, commentaar geven en het bekijken van accountinformatie zijn typische activiteiten met een laag risico.

Als een klant echter activiteiten met een hoog risico wil uitvoeren, zoals gedefinieerd door het bedrijf, vereist de CIAM dat hij meerdere -factorauthenticatie om extra verificatie van hun identiteit te bieden. Het wijzigen van accountinformatie en het kopen van items of het verwerken van betalingen worden beschouwd als activiteiten met een hoog risico.

Zelfs als een hacker toegang krijgt tot het sociale account van een klant, kunnen ze geen risicovolle activiteiten uitvoeren als ze dat niet doen. t toegang hebben tot het telefoon- of e-mailaccount van de klant voor meervoudige authenticatie.

Onze whitepaper, Social Login heroverwogen , beschrijft drie andere use cases die de eenvoudige klantervaring van social login behouden en tegelijkertijd een sterkere bescherming bieden die het beveiligingsrisico wegneemt en het privacyrisico minimaliseert als het sociale account van een klant wordt geschonden.

De juiste use case voor uw bedrijf hangt af van de bedrijfsmodel, de doelgroep en het risiconiveau voor klantaccounts.

Tot nu toe sprak de markt vooral over de voordelen van social login, maar niet zo uitgesproken over de risicos. LoginRadius speelt een leidende rol bij het bepleiten van sociale inlogpraktijken die bedrijven en hun klanten beter beschermen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *