Цього місяця Netflix наткнувся на політику, яка, можливо, була тривалі переваги безпеки для користувачів. Його випадковий крок, спрямований на безпеку проклієнтів, може стати наочним уроком для інших організацій, що співпрацюють із споживачами (B2C), які прагнуть покращити безпеку облікових записів клієнтів.
Потоковий гігант приніс своє нова «побутова» політика для клієнтів із США 23 травня. Відтепер облікові записи будуть обмежені однією мережею Wi-Fi та пов’язаними мобільними пристроями (за деякими винятками). Це постріл в руку, щоб вилікувати a пост-COVID похмілля, що прискорює зростання користувачів після місяці застою і стриманість інвесторів.
Випадково політика також може покращити безпеку облікових записів стримерів, усунувши звичайна практика спільного доступу до пароля.
«Поширення пароля підриває контроль над тим, хто має доступ до облікового запису, що потенційно може призвести до несанкціонованого використання та компрометації облікового запису», — пояснює Крейг Джонс, віце-президент із операцій із забезпечення безпеки в Ontinue. «Після передачі пароля можна далі поширювати або змінювати, блокуючи вихідного користувача. Що ще гірше, якщо спільний пароль використовується для кількох облікових записів, зловмисник може отримати доступ до всіх із них. Практика обміну паролями також може зробити користувачів більш сприйнятливими до фішингу та атак соціальної інженерії».
Завдяки своїй новій політиці Netflix показує, як компанії можуть, навмисно чи ні, підштовхувати або прямо змушувати своїх користувачів застосовувати кращі методи входу.
Але позитивно вплинути на поведінку клієнтів не завжди так просто, як здається.
Золотий біометричний стандарт, недоступний для хмарних служб
Один куточок технологічної індустрії давно придумав, як допомогти користувачам безпечно входити в систему без шкоди для їхнього досвіду: арена мобільних телефонів.
Протягом багатьох років користувачі смартфонів були вибір елементарних паролів через лінощі чи забудькуватість. Це почало змінюватися в 2013 році, коли, взявши сторінку з Pantech GI100, Apple представила TouchID для iPhone 5S. Технологія розпізнавання обличчя на той момент ще не був повністю готовий, але FaceID теж незабаром спростить користувачам безпечний вхід, не сповільнюючи роботу.
За словами Джона Гілмора, керівника відділу досліджень DeleteMe, ідеальним біометричним входом є те, що більшість компаній не мають такого готового виправлення.
««Фейсрозпізнавання» на iPhone є прикладом того, як це можна зробити на практиці, але це залежить від конкретного пристрою. Для служб, які покладаються на те, що користувачі можуть отримати доступ до послуги на кількох платформах, це поки що неможливо», — каже він.
Основна проблема полягає в тому, що, коли справа доходить до послуг, безпечна автентифікація часто обходиться зручністю використання.
«Онлайн-сервіси, як правило, опираються впровадженню сильніших протоколів безпеки, оскільки бачать, що це ускладнює роботу користувача. Якщо ви створюєте багатоетапний бар’єр для входу, такий як двофакторна автентифікація (2FA), менш імовірно, що люди справді залучатимуться до вашої платформи», – каже Гілмор.
Чи обов’язково цей компроміс прирікає постачальників послуг на незграбність або незахищеність? Не обов'язково, кажуть експерти.
Як захистити обліковий запис без витрат на UX
Останніми роками постачальники послуг експериментували з новими способами вести своїх користувачів до світла.
«Додавання зручних функцій безпеки, таких як вимірювачі надійності пароля та нагадування про зміну пароля, може ще більше сприяти безпечним практикам», — каже Джонс з Ontinue.
І компанії можуть зробити більше зі своїми сторінками входу. Подібно до попереджень на сигаретних пачках, «точки прямої взаємодії, такі як вхід або налаштування облікового запису, пропонують можливість надавати поради щодо безпеки та нагадування», додає він.
Нарешті, Джонс каже: «Стимулювання безпечної поведінки за допомогою таких переваг, як знижки або додаткові функції, може бути ефективним способом просування безпечних практик».
Як заохочувати до кращих методів безпеки облікових записів
Стимулювання може діяти як батогом, так і пряником.
Однією з компаній, яка досягла успіху в першому, є Epic Games, розробник онлайн-гри Fortnite. Після рядка безпеку інцидентів впливаючи на тисячі гравців гри (часто досить молодих), Epic створив нові ігрові нагороди для гравців, які налаштували двофакторну автентифікацію (2FA) на своїх акаунтах.
Ніколи раніше стільки дітей не «забивалися» через належну кібергігієну!
[Вбудоване вміст]
Емоція Boogie Down, безкоштовно з 2FA. Джерело: Epic Games
А для прикладу в стіку розгляньте Twitter. 15 лютого Twitter оголосив про це обмежити 2FA на основі SMS лише платними абонентами.
Як пояснює Даррен Гуччіоне, генеральний директор і співзасновник Keeper Security: «Це рішення було прийнято змішані емоції в спільноті кібербезпеки, оскільки це, здавалося, перешкоджає використанню важливого другого рівня безпеки. Однак нове стандартне налаштування Twitter для стандартних облікових записів було змінено на додаток автентифікатора або ключ безпеки, які є одночасно надійнішими та безпечнішими параметрами, ніж SMS 2FA».
З усіх цих прикладів очевидно, що компанії мають велику владу впливати на те, як їхні користувачі взаємодіють із власною безпекою.
Зрештою, підсумовує Гуччіоне, «керівники цих компаній мають етичний обов’язок заохочувати та запроваджувати зміни, які захистять їхніх клієнтів у довгостроковій перспективі».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
- Карбування майбутнього з Адріенн Ешлі. Доступ тут.
- Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
- джерело: https://www.darkreading.com/endpoint/can-service-providers-encourage-better-login-security-netflix-accidental-model
