Det är dags för varumärken att ompröva social inloggning

(Rakesh Soni ) (28 nov 2018)

Efter stora exponeringar av data på Facebook och Google rekommenderar folk att användare slutar använda sina sociala profiler för att logga in på andra webbplatser. Vad betyder det för de företag som erbjuder social inloggning till sina kunder?

Social inloggning är i nyheterna och inte på ett bra sätt.

Två högprofilerade säkerhetsintrång påverkade social inloggning , vilket gör att människor kan komma åt tredjepartswebbplatser med sin befintliga sociala profil, snarare än att skapa ett nytt användarnamn och lösenord.

Först meddelade Facebook ett säkerhetsintrång som drabbade minst 50 miljoner användare, även om det kan vara många fler. Inte ens Facebook vet hur omfattande tillgången var. Vi vet att effekterna av överträdelsen förstärktes på grund av social inloggning. Om människor använde sin Facebook-profil för att logga in på webbplatser som Tinder eller Expedia, var deras konton på dessa webbplatser också sårbara.

Sedan medgav Google att data från upp till 500 000 användare på Google+ exponerades på grund av ett säkerhetsfel att Google inte rapporterade i flera månader. Tredjepartsappar som fick behörighet att komma åt en användares offentliga profildata kunde också få icke-offentliga data från användaren och deras vänner.

TechCrunch rapporterade att ”användarnas fullständiga namn, e-postadresser, födelsedatum, kön, profilbilder, platser där man bodde, ockupation och förhållandestatus exponerades potentiellt. ”

Folkets förtroende för social inloggning och tredjepartsåtkomst har fått en stor hit.

Farhad Manjoo, teknikkolumnist vid New York Times , kom direkt och sa: ”Jag ska sluta använda Facebook för att logga in på appar och webbplatser online. Du borde också göra det. ”

Säkerhetsexpert Troy Hunt, skaparen av den fria Har jag blivit pwned? Webbplatsen för överträdelsemeddelanden säger att ”Facebook-intrånget är ett varningsskylt för alla som kan använda konsumenttjänster för enkel inloggning som erbjuds av Facebook, Google, Twitter och andra leverantörer.” : sluta använda social inloggning.

Men vad är meddelandet till företagen? Vad är meddelandet till CIO: er och produktchefer som tillhandahåller social inloggning som ett alternativ för sina användare?

Ska du fortsätta erbjuda social inloggning som ett sätt att komma åt dina digitala tjänster?

Många företag har social inloggning via Facebook, Google, Twitter, LinkedIn eller andra leverantörer. Om ditt företag är ett av dem, vad ska du göra för att säkra dina kunddata och upprätthålla allmänhetens förtroende?

Som vd för LoginRadius kan jag svara på dessa frågor. Vi har erfarenhet av att underlätta social inloggning för tusentals företag och hundratals miljoner kunder under sex år. Och vi förstår behovet av att balansera konkurrerande prioriteringar för kundupplevelse, säkerhet och marknadsföringsinsikter.

Social inloggning har säkerhetsrisker som inte kan ignoreras

När ett socialt nätverk har en dataintrång är alla tredjepartswebbplatser och appar som använder den för social inloggning utsatta för olaglig åtkomst. Till exempel:

  • Om en hackare får åtkomst till ett Facebook-konto genom att knäcka ett svagt lösenord eller genom nätfiske kan den hackaren bryta sig in på vilket konto som Facebook-användaren har fått tillgång till med Facebook-inloggning, till exempel Spotify eller Tinder.
  • Om en Facebook-användares telefon blir stulen och upplåst men de fortfarande är inloggade på Facebook på sin bärbara dator eller surfplatta, kan någon av deras appar som använder Facebook-inloggning nås från den stulna telefonen.
  • Avancerade säkerhetsfunktioner som multifaktorautentisering och riskbaserad autentisering, även om de erbjuds av sociala leverantörer, är vanligtvis valfria och är inte aktiverade som standard, så många användare utnyttjar dem inte.

Och säkerhetsrisker leder till integritetsrisker

Konsumenterna var redan oroliga för social inloggning på grund av datadelningen. Dessa farhågor multipliceras när uppgifterna är utsatta för att bli stulna och delas på obehöriga sätt.

Människor är chockade när de får reda på vilken typ av data som kan exponeras – saker som röstningshistorik, GPS-koordinater för ens hem , vänners namn och telefonnummer, passinformation och privata dejtingsmeddelanden.

Sekretessregler som GDPR är fortfarande i början av verkställigheten, så det är ännu inte klart hur mycket tredjepartsföretag kommer att vara ansvarig för integritetsintrång som härrör från sociala inloggningshackar. Med tanke på de potentiella ekonomiska och ansedda kostnaderna för sådana integritetsintrång, måste företagen titta hårt på att skydda sig själva och sina kunder.

Det finns fortfarande ett affärsfall för social inloggning

Många användare föredrar fortfarande att registrera sig och logga in med sina sociala konton. För företag är social inloggning ett attraktivt sätt att snabbt engagera nya kunder och öka omvandlingsfrekvensen.

Men att använda social inloggning för allt kan vara det riskabla sättet att använda den. Allt betyder att kunder registrerar sig och loggar in för all aktivitet med sitt sociala konto. Tyvärr är denna implementering också den mest typiska.

Företag kan fortsätta erbjuda social inloggning säkert om de har ytterligare lager av säkerhet för att skydda kundkonton och öka kundernas förtroende för varumärket.

Ladda ner Social inloggning omprövades , en LoginRadius-bedömning av säkerhet och integritet vinkel

Om du är ett företag som använder social inloggning bör du göra det säkrare

Med kundidentitet och åtkomsthantering lösning (CIAM) som LoginRadius, det finns ett antal sätt att implementera social inloggning säkrare.

Du kan till exempel tillåta social inloggning för låg- endast riskaktivitet

.

I detta användningsfall används social inloggning för registrering och autentisering, och CIAM tillåter kunden att utföra aktiviteter med låg risk. Att läsa innehåll, kommentera och visa kontoinformation är typiska aktiviteter med låg risk.

Om en kund vill utföra högriskaktiviteter, som definieras av verksamheten, kräver CIAM att de går igenom flera -faktorautentisering för att ge ytterligare verifiering av deras identitet. Ändring av kontoinformation och inköp av varor eller bearbetning av betalningar betraktas som högriskaktiviteter.

Även om en hackare får tillgång till en kunds sociala konto kommer de inte att kunna utföra högriskaktiviteter om de inte gör det. t har tillgång till kundens telefon- eller e-postkonto för autentisering med flera faktorer.

Vårt vitbok, Social inloggning omprövad , beskriver tre till använd fall som bevarar den enkla kundupplevelsen av social inloggning samtidigt som de ger ett starkare skydd som eliminerar säkerhetsrisken och minimerar integritetsrisken om en kunds sociala konto bryts.

Rätt användningsfall för ditt företag beror på affärsmodell, målgrupp och risknivå för kundkonton.

Fram till nu har marknaden främst pratat om fördelarna med social inloggning men har inte varit så högljudd om riskerna. LoginRadius tar en ledande roll när det gäller att förespråka sociala inloggningsmetoder som skyddar företag och deras kunder bättre.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *