Inteligência de dados generativa

Os serviços em nuvem podem incentivar uma melhor segurança de login? Modelo acidental da Netflix

Data:

Este mês, a Netflix tropeçou em uma política que pode ter benefícios de segurança duradouros para os usuários. Seu movimento acidental de segurança pró-cliente pode ser uma lição prática para outras organizações business-to-consumer (B2C) que buscam melhorar a segurança das contas dos clientes.

A gigante do streaming trouxe seu nova política “doméstica” para clientes dos EUA em 23 de maio. A partir de agora, as contas serão restritas a uma única rede Wi-Fi e dispositivos móveis relacionados (com certas exceções). É um tiro no braço para curar um pós-COVID ressaca, impulsionando o crescimento do usuário após meses de estagnação e nervosismo dos investidores.

Por acaso, a política também pode melhorar a segurança das contas dos streamers, eliminando o prática comum de compartilhamento de senha.

“Compartilhar uma senha prejudica o controle sobre quem tem acesso a uma conta, levando potencialmente ao uso não autorizado e ao comprometimento da conta”, explica Craig Jones, vice-presidente de operações de segurança da Ontinue. “Uma vez compartilhada, uma senha pode ser distribuída ou alterada posteriormente, bloqueando o usuário original. Pior ainda, se a senha compartilhada for usada em várias contas, um agente mal-intencionado poderá obter acesso a todas elas. A prática de compartilhar senhas também pode tornar os usuários mais suscetíveis a ataques de phishing e engenharia social.”

Com sua nova política, a Netflix mostra como as empresas podem, intencionalmente ou não, cutucar ou forçar abertamente seus usuários a adotarem melhores práticas de login.

Mas influenciar positivamente o comportamento do cliente nem sempre é tão simples quanto parece.

O padrão biométrico Gold, não disponível para serviços em nuvem

Um setor da indústria de tecnologia já descobriu há muito tempo como ajudar os usuários a fazer login com segurança, sem comprometer sua experiência: a área de telefonia móvel.

Durante anos, os usuários de smartphones foram escolhendo senhas rudimentares por pura preguiça ou esquecimento. Isso começou a mudar em 2013 quando, pegando uma página do Pantech GI100, a Apple lançou o TouchID para o iPhone 5S. Tecnologia de reconhecimento facial ainda não estava pronto naquele momento, mas o FaceID também em breve tornaria ainda mais fácil para os usuários fazer login com segurança, sem diminuir a velocidade.

Por mais ideal que seja o login biométrico, diz John Gilmore, chefe de pesquisa da DeleteMe, a maioria das empresas não tem uma solução tão pronta disponível para elas.

“O ‘desbloqueio facial’ em iPhones é um exemplo de como isso pode ser feito na prática, mas depende de um dispositivo específico. Para serviços que dependem da capacidade dos usuários de acessar um serviço em múltiplas plataformas, isso ainda não é viável”, afirma.

O principal problema é que, quando se trata de serviços, a autenticação segura muitas vezes tem um custo para a usabilidade.

“Os serviços online tendem a resistir à implementação de protocolos de segurança mais fortes porque percebem que isso complica a experiência do usuário. Se você criar uma barreira de entrada de várias etapas, como a autenticação de dois fatores (2FA), é menos provável que as pessoas realmente se envolvam com sua plataforma”, diz Gilmore.

Será que esta compensação condena necessariamente os prestadores de serviços à desajeitação ou à insegurança? Não necessariamente, dizem os especialistas.

Como fazer a segurança da conta sem o custo de UX

Nos últimos anos, os prestadores de serviços têm experimentado novas formas de orientar os seus utilizadores para a luz.

“Adicionar recursos de segurança fáceis de usar, como medidores de força de senha e lembretes de alteração de senha, pode promover ainda mais práticas seguras”, diz Jones da Ontinue.

E as empresas podem fazer mais com suas páginas de login. Assim como os avisos nos maços de cigarros, “pontos de interação direta, como login ou configuração de conta, oferecem oportunidades para fornecer dicas e lembretes de segurança”, acrescenta.

Por último, diz Jones, “incentivar o comportamento seguro com benefícios como descontos ou recursos adicionais pode ser uma forma eficaz de promover práticas seguras”.

Como incentivar melhores práticas de segurança de contas

O incentivo pode funcionar com uma cenoura ou com um pedaço de pau.

Uma empresa que teve sucesso no primeiro caso é a Epic Games, desenvolvedora do jogo online Fortnite. Seguindo uma sequência de segurança incidentes afetando milhares de jogadores (muitas vezes bastante jovens), a Epic criou novos recompensas no jogo para jogadores que configuram a autenticação de dois fatores (2FA) em suas contas.

Nunca antes tantas crianças “ficaram desanimadas” com a higiene cibernética adequada!

[Conteúdo incorporado]

Emote Boogie Down, grátis com 2FA. Fonte: Jogos Épicos

E para um estudo de caso imediato, considere o Twitter. Em 15 de fevereiro, o Twitter anunciou que iria limitar 2FA baseado em SMS apenas para assinantes pagos.

Como explica Darren Guccione, CEO e cofundador da Keeper Security: “A decisão foi tomada com emoções confusas na comunidade de segurança cibernética, pois parecia desencorajar o uso de uma segunda camada crítica de segurança. No entanto, o novo padrão do Twitter para contas padrão foi alterado para aplicativo autenticador ou chave de segurança, que são opções mais fortes e seguras do que SMS 2FA.”

O que fica claro em todos esses exemplos é que as empresas têm grande poder para influenciar a forma como seus usuários se envolvem com sua própria segurança.

Em última análise, conclui Guccione, “a obrigação ética recai sobre os líderes destas empresas de encorajar e introduzir mudanças que protegerão os seus clientes a longo prazo”.

local_img

Inteligência mais recente

local_img

Fale Conosco

Olá! Como posso ajudá-lo?