É hora das marcas reconsiderarem o login social

(Rakesh Soni ) (28 de novembro de 2018)

Após exposições de dados em grande escala no Facebook e no Google, as pessoas estão recomendando que os usuários parem de usar seus perfis sociais para fazer login em outros sites. O que isso significa para as empresas que oferecem login social a seus clientes?

O login social está na mídia, mas não de uma maneira boa.

Duas violações de segurança de alto perfil afetaram o login social , que permite que as pessoas acessem sites de terceiros com seu perfil social existente, em vez de criar um novo nome de usuário e senha.

Primeiro, o Facebook anunciou uma violação de segurança que afetou pelo menos 50 milhões de usuários, embora possa ser muito mais. Nem mesmo o Facebook sabe a extensão do acesso. Sabemos que o impacto da violação foi amplificado por causa do login social. Se as pessoas usassem seu perfil do Facebook para fazer login em sites como Tinder ou Expedia, suas contas nesses sites também eram vulneráveis.

Então, o Google admitiu que dados de até 500.000 usuários do Google+ foram expostos devido a um bug de segurança que o Google deixou de relatar por meses. Aplicativos de terceiros que têm permissão para acessar os dados do perfil público de um usuário também podem obter dados não públicos do usuário e de seus amigos.

O TechCrunch relatou que “nomes completos dos usuários, endereços de e-mail, datas de nascimento, gênero, fotos de perfil, lugares onde morou, ocupação e status de relacionamento foram potencialmente expostos. ”

A confiança das pessoas no login social e no acesso de terceiros foi um grande golpe.

Farhad Manjoo, o colunista de tecnologia do New York Times saiu direto e disse: “Vou parar de usar o Facebook para fazer login em aplicativos e sites online. Você também deveria. ”

O especialista em segurança Troy Hunt, criador do livro gratuito Have I Been Pwned? Site de notificação de violação, diz, “a violação do Facebook é um sinal de alerta para qualquer pessoa que possa usar os serviços de logon único do consumidor oferecidos pelo Facebook, Google, Twitter e outros provedores.”

A mensagem para os consumidores é clara : pare de usar o login social.

Mas qual é a mensagem para as empresas? Qual é a mensagem para CIOs e gerentes de produto que fornecem login social como uma opção para seus usuários?

Você deve continuar oferecendo login social como forma de acesso seus serviços digitais?

Muitas empresas têm login social via Facebook, Google, Twitter, LinkedIn ou outros provedores. Se sua empresa for uma delas, o que você deve fazer para proteger os dados de seus clientes e manter a confiança do público?

Como CEO da LoginRadius, posso responder a essas perguntas. Temos experiência em facilitar o login social para milhares de empresas e centenas de milhões de clientes ao longo de seis anos. E entendemos a necessidade de equilibrar as prioridades concorrentes para a experiência do cliente, segurança e insights de marketing.

O login social tem riscos de segurança que não podem ser ignorados

Quando uma rede social tem um violação de dados, todos os sites e aplicativos de terceiros que os utilizam para login social são vulneráveis ​​ao acesso ilegítimo. Por exemplo:

  • Se um hacker obtiver acesso a uma conta do Facebook quebrando uma senha fraca ou por phishing, esse hacker pode invadir qualquer conta que o usuário do Facebook acessou com o login do Facebook, como o Spotify ou Tinder.
  • Se o telefone de um usuário do Facebook for roubado e desbloqueado, mas ele ainda estiver conectado ao Facebook em seu laptop ou tablet, qualquer um de seus aplicativos que usam o login do Facebook pode ser acessado do telefone roubado.
  • Recursos de segurança avançados, como autenticação multifator e autenticação baseada em risco, embora oferecidos por provedores sociais, geralmente são opcionais e não habilitados por padrão, portanto, muitos usuários não aproveitam suas vantagens.

E os riscos de segurança levam a riscos de privacidade

Os consumidores já estavam preocupados com o login social por causa do compartilhamento de dados. Essas preocupações são multiplicadas quando os dados são vulneráveis ​​a serem roubados e compartilhados de maneiras não autorizadas.

As pessoas ficam chocadas quando descobrem que tipo de dados podem ser expostos – coisas como histórico de votação, coordenadas de GPS de uma casa , nomes e números de telefone de amigos, informações de passaporte e mensagens particulares de namoro.

As regulamentações de privacidade, como o GDPR, ainda estão em seus primeiros dias de aplicação, então ainda não está claro o quanto as empresas terceirizadas serão responsável por violações de privacidade resultantes de hacks de login social. Dado o custo financeiro e de reputação potencial de tais violações de privacidade, as empresas precisam examinar seriamente como proteger a si mesmas e a seus clientes.

Ainda há um caso de negócios para login social

Muitos usuários ainda preferem se inscrever e fazer login usando suas contas sociais. Para as empresas, o login social é uma maneira atraente de envolver novos clientes rapidamente e aumentar as taxas de conversão.

Mas usar o login social para tudo pode ser a maneira mais arriscada de usá-lo. Tudo significa que os clientes se registram e fazem login para todas as atividades usando suas contas sociais. Infelizmente, essa implementação também é a mais típica.

As empresas podem continuar a oferecer login social com segurança se tiverem camadas adicionais de segurança para proteger as contas dos clientes e aumentar confiança do cliente na marca.

Baixe Login social reconsiderado , uma avaliação LoginRadius da segurança e privacidade ângulo

Se você é uma empresa que usa login social, deve torná-lo mais seguro

Com uma identidade de cliente e gerenciamento de acesso (CIAM) como o LoginRadius, há várias maneiras de implementar o login social com mais segurança.

Por exemplo, você pode permitir o login social para baixo atividade de risco apenas

.

Nesse caso de uso, o login social é usado para registro e autenticação, e o CIAM permite que o cliente execute atividades de baixo risco. Ler conteúdo, comentar e visualizar informações da conta são atividades típicas de baixo risco.

No entanto, se um cliente deseja realizar atividades de alto risco, conforme definido pela empresa, o CIAM exige que ele passe por vários autenticação de fator para fornecer verificação adicional de sua identidade. Alterar as informações da conta e comprar itens ou processar pagamentos são atividades consideradas de alto risco.

Mesmo que um hacker obtenha acesso à conta social de um cliente, ele não poderá realizar atividades de alto risco se não o fizer. ter acesso ao telefone ou conta de e-mail do cliente para autenticação multifator.

Nosso white paper, Social Login Reconsidered , descreve mais três casos de uso que preservam a experiência simples de login social do cliente, ao mesmo tempo que fornecem proteção mais forte que elimina o risco de segurança e minimiza o risco de privacidade se a conta social de um cliente for violada.

O caso de uso certo para sua empresa depende do modelo de negócios, o público-alvo e o nível de risco para contas de clientes.

Até agora, o mercado falou principalmente sobre as vantagens do login social, mas não falou tanto sobre os riscos. LoginRadius está assumindo um papel de liderança na defesa de práticas de login social que protegem melhor as empresas e seus clientes.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *