Compartilhar

Muitas vezes por falta conhecimentos básico em segurança uma simples falha de segurança acaba comprometendo toda a segurança.

Recentemente vimos um episódio o qual o Facebook admitiu não guardar as senhas de forma criptografada no banco de dados. Isso permiti que qualquer funcionário com devido acesso ao banco de dados pudesse ver sua senha aberta. Mas vejamos... e se a senha que vc usasse para entrar no Facebook fosse a mesma senha do seu email?

Isso acontece porque muitas pessoas acabam usando a senha do seu email particular em diversos apps e sistemas. Com isso problemas de segurança vem ganhando bastante destaque mundialmente e preocupando á todos sobre o tema.


Assim novas alternativas ágeis estão sendo desenvolvidas para autenticação rápida e que não se faça necessário o cadastramento. Dentre as opções existentes, temos:

1 - Login pelo Google ou Facebook: (Seu login e senha já estão no Facebook e com isso você precisa simplesmente logar e dar permissão de autenticação aos sistemas. Assim eles conseguem dados básicos seus como email, gênero, idade,...)


2 - One Tap Login do Google:

Ainda pouco difundido temos o One Tap Login do Google. Realmente ele é fantástico! Porém o Google recentemente descontinuou ele e com isso somente alguns poucos projetos selecionados mundialmente rodam com esse recurso. Aqui no Brasil temos o case da https://www.petlove.com.br/

Vale ressaltar que esse método funciona somente no navegador Google Chrome.

Segue vídeo demo (Hoje somente em localhost se pode usar o One Tap Login do Google)

3 - (DICA QUENTE!) Alternativa do One Tap Login desenvolvida pelo Airbnb usando o Facebook: Basicamente se utilizou a opção número 1 descrita acima, mas a forma o qual aparece a chamada á autenticação desperta muita atenção e adesão pelo cliente. Principalmente porque mostra na autenticação a foto do usuário.

PS: Eu não lembro se a foto mostra somente após já ter efetuado um login anteriormente ou se mostra a todos que estão autenticados no Facebook. Quem descobrir favor comentar ai dando um alô. Pois como eu já autenticado no Airbnb não sei se aparece essa opção também para quem nunca logou no Airbnb. Fica a dica!

Editado: Lembrei que precisa do id do cliente para poder regatar a foto no Facebook.

4 - A quarta alternativa se chama OTP (One Time Password): O OTP envia um SMS ao celular previamente cadastrado no sistema. Ou seja, para fazer uso do OTP o cliente precisa já ter fornecido o seu número de celular anteriormente.

Como não solicitamos cadastro em nosso checkout, essa função faz total sentido para os nossos clientes.

Então mãos á obra! É essa que temporariamente utilizaremos! (Além de que já estamos desenvolvendo também a autenticação do item 3 e estamos aguardando ansiosos a liberação do One Tap Login do Google)

O celular é utilizado há anos como segundo fator de autenticação justamente por ele ser intransferível e dinâmico. Ele é tb uma maneira segura e confiável para se confirmar o proprietário do cadastro. (O próprio Google e Facebook possuem esse mesmo tipo de autenticação)

Ao inserir o número de celular previamente cadastrado, o cliente receberá um SMS com uma senha temporária de 4 dígitos para logar em sua conta.

PS: Vale lembrar que os grandes projetos como Rappi, Uber, Ifood, Airbnb, bancos, cartões de crédito,... estão ressuscitando o SMS.
Me arrisco a dizer que hoje o nível de penetração do SMS seja maior do que do email. Principalmente pela geração millennials, onde poucos possuem email.

No IOS ainda existe um recurso nativo que facilita muito a autenticação, onde com apenas uma padronização de texto no SMS ele percebe que vc recebeu um SMS com um OTP. Assim ao clicar no input ele apresenta a opção de colar a senha recebida, sem a necessidade de ter que copiar ou digitar o código recebido. Isso agiliza ainda mais o processo de login.

Já no Android ele também possui uma facilidade em uma padronização semântica da mensagem enviada, onde ao receber a mensagem ou ao entrar na caixa de mensagens ele apresentará a opção de copiar somente a senha com apenas um clique.

Desenvolvemos ainda alguns recursos interessantes que buscam agilizar ainda mais o processo de login do OTP, chegando aos incríveis 2 cliques apenas (vide vídeo abaixo).

No vídeo abaixo mostro como é fácil a autenticação usando o como segundo fator o SMS enviado ao celular.

link do vídeo caso não abra: https://www.youtube.com/watch?time_continue=84&v=C4Z0Nm821DI

Com essa implementação podemos dizer que o OTP chega muito próximo do serviço de login que foi descontinuado do (Google, que se chama One Tap Login e que o case da Petlove usa) Onde utiliza apenas 1 clique para autenticação.

Outro importante ponto é que salvamos no cookie o número do celular que foi usado para logar anteriormente com sucesso usando o OTP. Com o número salvo no cookie basta assim somente ratificar o login com a senha enviada por SMS.

Visando o aumento da segurança iremos implementar X números de tentativas de login. Caso o usuário ultrapasse esse número o usuário dono do celular receberá um e-mail avisando sobre as tentativas e também iremos bloquear o acesso usando o SMS para aquele celular.

(Vale lembrar que para cada tentativa será enviado uma senha com 4 dígitos, com um tempo de validade e que somente poderá se tentado 1x o acesso com a mesma)

Uma vez bloqueado o usuário será notificado e precisará logar usando Facebook ou email/senha, ir em seu painel de cliente na aba do OTP e desbloquear novamente o login por SMS.

Bem é isso, espero que o detalhamento desse processo possa abrir ideias para os amigos também implementar o OTP.

Segue vídeo de como ficou nosso módulo que utiliza o continue eo autologin do chrome

Em breve posto aqui o link de produção do projeto que está próximo de ir para o ar. Quem quiser testar no ambiente de desenvolvimento, é só me chamar no Whatsapp 2199203-8986 ou Skype deivisonarthur

vlw pessoal!

 

Compartilhe:

Perguntas e respostas

Artigos Relacionados
Recomendamos para você