Autenticação de usuário e de identidade em um mundo que está mudando do físico para o digital: Como escolher o processo de verificação ideal para a sua empresa
Conheça os prós e os contras de cada processo de verificação de conta e decida qual é a melhor opção para a sua empresa.
Tempo de leitura: 6 minutos
Como escolher o processo de verificação ideal para a sua empresa
MGM Resorts.
Walgreens.
J.Crew.
Zoom.
O que todas essas empresas têm em comum?
Todas elas tiveram que lidar, nos últimos nove meses, com uma violação de dados que expôs informações dos clientes e colocou documentos corporativos em risco.
Embora violações de dados sejam bastante comuns (só em 2019 houve 1.473 violações, que expuseram quase 165 milhões de registros confidenciais), elas podem ser evitadas por meio de atualizações periódicas dos mecanismos de segurança da conta da sua empresa, por exemplo, implementar autenticação de 2 fatores e solicitar que os clientes escolham uma nova senha de tempos em tempos.
Continue lendo para conhecer os três principais tipos de fraude on-line, as várias opções de segurança de plataforma para combater esses riscos e os pontos fortes e fracos de cada canal.
Análise dos tipos de fraude on-line
Os três tipos de fraude ocorrem durante os quatro estágios da jornada de segurança da conta do cliente: inscrição, login, transações e redefinição de senha. Em cada um desses pontos de contato, há oportunidades de proteção contra fraudes on-line, incluindo fraude de nova conta, roubo de conta e fraude de pagamento.
Durante uma violação de dados, esses são os três tipos de fraude que normalmente vemos:
- Fraude de inscrição/nova conta: as empresas que oferecem incentivos para novo usuário/nova inscrição (muitas vezes com uma estrutura freemium) estão suscetíveis a bots de phishing, que criam milhares de contas para aproveitar os descontos e benefícios para novos membros.
- Fraude de roubo de conta: os fraudadores conseguem acesso às credenciais do usuário, fazem login na conta e alteram a senha para impedir o acesso do proprietário verdadeiro.
- Fraude de pagamento: os hackers usam informações de cartão de crédito de clientes obtidas ilegalmente em locais como postos de gasolina e caixas de supermercado e vazamentos comuns de dados para tentar fazer compras. Embora os clientes frequentemente sejam restituídos quando isso ocorre, nem sempre isso ocorre com as empresas.
Avaliação de métodos de segurança digital
Ao considerar quais recursos de segurança digital implementar em sua empresa, é importante avaliar os pontos fortes e fracos de cada um para manter a segurança dos dados da sua empresa e do cliente.
Verificação de e-mail
Nas últimas décadas, os e-mails tornaram-se quase tão universais para a identidade das pessoas quanto as impressões digitais. Assim, não é de se admirar que a maioria das contas on-line seja identificada por endereços de e-mail de usuário.
Os benefícios aqui são óbvios. E-mails estão amplamente disponíveis, as pessoas raramente esquecem deles e, muitas vezes, eles são a melhor maneira de contatar o titular da conta. No entanto, é quase impossível determinar se um e-mail é fraudulento ou não.
Além disso, verificar a validade é ainda mais difícil com apenas uma etapa de segurança de conta. Por exemplo, se você enviar um e-mail com um link para redefinir a senha para um endereço de e-mail que foi invadido, o envio dessa mensagem será irrelevante e possivelmente arriscado.
- Prós: usado universalmente, fácil de lembrar, baixo custo
- Contras: impossível de verificar, fácil de violar
Verificação de número de telefone e SMS
Assim como os e-mails, os números de telefone são uma opção atraente para verificar a identidade de forma rápida e fácil. Eles também são encontrados universalmente, são fáceis de lembrar e são uma maneira simples de entrar em contato direto com o usuário.
Ao contrário do e-mail, em que é relativamente fácil criar milhares de contas falsas, é bem difícil, demorado e caro falsificar o número de telefone de alguém.
O número de telefone também pode ajudar as empresas a confirmar muitas informações pessoais do usuário para verificar sua identidade, como se o número é fixo ou de celular, o país de origem e a qual operadora de telecomunicações ele está vinculado.
Muitas empresas usam uma técnica de verificação conhecida como autenticação de 2 fatores (2FA) ou verificação de número de telefone. Os clientes se cadastram, inserem o número de telefone e a empresa envia um código de uso único para esse número, que eles digitam no aplicativo. Atualmente, esse é o processo mais popular de implementar uma segurança adicional significativa ao processo de verificação do usuário.
Embora os números de telefone sejam um excelente recurso de verificação devido à popularidade das mensagens de texto, os consumidores estão cada vez mais hesitantes em informar seu número por conta do aumento das chamadas robotizadas e do telemarketing. Além disso, assim como o e-mail, ainda existe o risco de números e SMS fraudulentos.
A recomendação é confirmar se um número de trabalho pertence ao titular da conta, para isso enviando um código de uso único via SMS e pedindo ao destinatário para inserir esse código no aplicativo. No entanto, como o SMS é um canal muito simples, em muitos países as regras para as normas de segurança do SMS mudaram a fim de proteger as transações on-line.
Na Europa, por exemplo, os códigos SMS não são considerados seguros porque podem ser interceptados ou vazados. Os usuários podem receber um código sem saber o que estão autorizando e mesmo assim dar continuidade à operação. Atualmente exige-se que os comerciantes enviem dados da transação por mensagem de texto para que o usuário autenticado confirme que o código de segurança enviado está de fato relacionado à compra que está fazendo.
Esse método protege tanto o cliente quanto a empresa porque usa as especificações das notificações por push para garantir que o pagamento seja legítimo. Embora isso não seja um requisito nos Estados Unidos, é uma boa medida de segurança para proteger sua empresa e os clientes contra fraudes de pagamento.
Outras desvantagens da autenticação por mensagem de texto são o custo (mensagens de texto internacionais podem ser muito mais caras do que as locais) e o fato de que, embora a maioria dos usuários tenha acesso a um telefone habilitado para mensagem de texto, pode ser que alguns usuários tenham números somente de voz, como telefone fixo ou telefone com restrições que impedem o uso do SMS.
- Prós: uso universal, prático, fácil de implementar, sem necessidade de aplicativo
- Contras: troca ou hacking de chip, perda ou roubo de dispositivos, linha fixa vs. comunicação móvel, custo
Verificação no aplicativo
Embora o SMS seja uma das maneiras mais rápidas de utilizar o 2FA, a melhor solução de experiência do usuário é a 2FA baseada em aplicativo com autenticação por push.
A implementação de um aplicativo autenticador (como Authy) que usa padrões de segurança aceitos para gerar senha de uso único (OTP) ou notificação por push no próprio dispositivo também é uma das opções mais seguras disponíveis.
Você também pode usar uma solução para adicionar serviços de verificação a um aplicativo existente, como o push do Verify, que incorpora um processo de verificação abrangente durante toda a jornada do usuário sem os riscos, incômodos ou custos de envio de códigos de uso único em outros canais. Essa solução permite que os clientes adicionem ao app um fator de verificação por push fácil de usar, seguro e econômico .
Um dos melhores métodos para verificar os usuários com segurança é usar uma abordagem baseada em software que não dependa apenas do SMS. Com uma base de clientes potencialmente global, é importante que todas as plataformas pelas quais eles se conectem (telefone, computador, tablet etc.) estejam sincronizadas. Dessa forma, as empresas têm um grau mais alto de visibilidade, segurança e uma experiência de usuário muito melhor usando uma solução baseada em software.
Essas soluções baseadas em aplicativos não são tão amplamente usadas e podem ser mais caras do que a autenticação básica de segurança, mas a vantagem é que, com elas, você sabe que os dados do cliente e os registros comerciais estão seguros com a mais recente tecnologia de segurança.
- Prós: melhor experiência do usuário, mais segura, sem vínculo com operadora de telefonia
- Contras: preço, não amplamente usado
Atenção à escolha
Tanto as pequenas quanto as grandes empresas (como as mencionadas no início) precisam não apenas implementar, mas também atualizar sempre seus mecanismos de segurança on-line para se manter um passo à frente da fraude, conforme migramos continuamente de um mundo físico para um mundo mais digital. No caso de ocorrerem violações de dados, é preciso deixar claro o modo como sua empresa está lidando com a violação e as ações que os clientes devem realizar para ajudar a recuperar a confiança do consumidor perdida devido à violação..
Ao decidir qual tipo de verificação usar, considere seu cliente, a localização dele e quanto tempo e esforço serão necessários para que ele faça uma compra e/ou faça login em sua plataforma. É importante que sua plataforma seja segura para evitar abusos de inscrições falsas e atividades fraudulentas, mas o processo precisa ter o mínimo de atrito para que os clientes reais sempre retornem.