O site popular de mídia social baseado em fotos, Instagram, anunciou recentemente várias atualizações de segurança, incluindo compatibilidade com serviços de autenticação de terceiros que permitem a autenticação alternativa de dois fatores (2FA) – DUO e Google Authenticator, além do 2FA SMS que eles já tinham.
Por que o Instagram se importa com a segurança da 2FA do usuário?
O Instagram começou como um site de compartilhamento de imagens de mídia social despreocupado, com pouco valor comercial e, assim, permaneceu fora do radar de pessoas maliciosas. Um mecanismo simples de autenticação de usuário/senha era suficiente, já que a possibilidade de ameaça e o valor das contas do Instagram hackeadas era muito baixo.
Conforme o instagram ganhou popularidade – celebridades e pessoas famosas compartilharam estilos de vida, empresas mostraram seus produtos e indivíduos se tornaram influenciadores – começou a atrair agentes ruins, invasores começaram a tentar ganhar acesso sem autorização às contas e pedir resgate que, caso não fosse pago, resultava em conteúdos valiosos sendo deletados e seguidores bloqueados, como foi o que aconteceu com Rachel Ryle, uma talentosa desenhista de stop motion.
O aumento da ameaça e do valor de contas do Instagram sequestradas convenceu a empresa a comprometer recursos e dinheiro para introduzir autenticação de dois fatores (2FA) baseada em SMS em 2016 para proteger seus 400 milhões de usuários e USD 2 bilhões de receita. Com a 2FA, invasores precisam não só do nome/senha, mas também de hackear o número de telefone para o qual um PIN único (OTP) será enviado por SMS/voz, para assim completar o processo de login. Esse esforço de segurança parece digno de boa avaliação se não fosse o fato de estar 5 anos atrasado, já que a empresa mãe, Facebook, lançou 2FA por SMS em 2011.
Vamos avançar para Junho de 2018, quando o Instagram alcançou 1 bilhão de usuários e uma receita de USD 5.5 bilhões. Neste momento a empresa melhorou de novo a segurança, agora com 2FAs alternativas na forma de DUO móvel e Google Authenticator. O DUO móvel oferece 2FA através da tecnologia de notificação push que faz com que o usuário clique em “aprovar” para completar qualquer login no Instagram, enquanto o Google Authenticator exige que o usuário coloque uma senha única temporária baseada no tempo (TOTP), que magicamente aparece no aplicativo Google Authenticator, no campo de OTP do Instagram para completar o login. Ambos métodos, como a 2FA por SMS, exigem que o usuário esteja em posse do número de telefone para completar o processo de login.
Segurança 2FA deve ser uma escolha
Durante todas essas atualizações de segurança, o Instagram não forçou todos seus usuários a usar a opção mais forte de segurança disponível. Por quê?
Pense na trindade de segurança: valor do ativo, conveniência de uso e custo de segurança. Agora pense nas partes interessadas do Instagram: usuários, empresas/ influenciadores/celebridades (empresários) e no próprio Instagram.
Notou algo?
O valor do ativo varia entre usuários, donos de empresas e Instagram. Para o usuário, se sua conta for sequestrada, há perda de algumas fotos, para o proprietário da empresa, perda de receita e seguidores, para o Instagram, cada conta invadida atrapalha a confiança da comunidade, o que reflete de maneira forte e duradoura na receita.
Assim, apesar de todas as partes desejarem conveniência no momento do uso, os donos de empresas e o Instagram, que têm muito a perder, vão sacrificar a conveniência pela proteção extra. Os usuários, por outro lado, se incomodados, deixarão o Instagram, o que resulta na perda de clientes em potencial para os donos de empresas e atrapalha o crescimento do Instagram.
Quantos usuários iriam baixar outro aplicativo que permite que eles façam login em outro aplicativo móvel (parece ridículo só de ler isso), ler um conjunto de instruções para configurar uma tecnologia que eles dificilmente entenderão, enquanto lutam com a preocupação de acidentalmente se perderem no processo e tendo que lidar com o suporte ao cliente totalmente sem resposta?
O ecossistema do Instagram demonstra por que escolher a segurança é importante e que há um momento e lugar certo para diferentes tipos de proteção: SMS/voz, OTP, DUO móvel e Google Authenticator. As únicas pessoas que pedem constantemente por mais segurança são aquelas que têm um produto para vender e aquelas que não estão envolvidas nos rigores de administrar um negócio real.
O seu negócio tem vários stakeholders como o Instagram?
Você definitivamente tem caso esteja operando no mercado de economia compartilhada ou marketplace. Por outro lado, talvez você tenha somente usuários finais como stakeholders, mas eles talvez estejam situados em diferentes partes do mundo onde a penetração de smartphones e a tecnologia de segurança ainda estão em desenvolvimento.
Se for assim, você precisa dar aos seus usuários uma alternativa baseada em 2FA para telefone em SMS, voz, chamada perdida/sem toque, para manter seu negócio crescendo de maneira saudável, por isso, considere conhecer o RingCaptcha, um serviço que vai lhe ajudar a verificar, reter e engajar clientes exatamente com estas opções alternativas de autenticação de dois fatores.
1 Comentários
verdade, realmente é importante colocar em prática coisas para garantir a segurança dos clientes. O Instagram está certo