8 de May de 202015 de June de 2020

Experiência sem atrito versus acesso seguro: lições da precipitação “Zoombombing”

by in Artigostags , , , ,
Experiência sem atrito versus acesso seguro: lições da precipitação “Zoombombing”

A controvérsia e as consequências resultantes da ampla divulgação de maus atores que obtêm acesso às reuniões do Zoom são apenas mais um exemplo da luta constante enfrentada pelos desenvolvedores e designers de como equilibrar uma experiência sem atritos e garantir acesso e privacidade seguros.

Nas últimas semanas, todos se familiarizaram com o “Zoombombing” – quando convidados indesejados aparecem em suas reuniões de vídeo Zoom com a única intenção de interrompê-los, se o objetivo da reunião é negócios, educação ou uma reunião virtual de amigos. Houve relatos de hackers gritando comentários violentos e furiosos, e alguns compartilhando vídeos e imagens obscenos. Com o mundo lutando para se adaptar a uma nova realidade – que, para muitos, envolve trabalhar em casa por um período prolongado pela primeira vez em suas vidas profissionais – a última coisa que alguém precisa é de dores de cabeça adicionais causadas por indivíduos mal-intencionados, simplesmente porque eles podem .

O desafio decorre do fato de as reuniões do Zoom terem configurações padrão voltadas para a conveniência do usuário e uma experiência sem atritos – em vez de segurança e privacidade. Os hackers conseguem adivinhar os URLs de zoom e obter acesso com barreiras mínimas. Existem medidas de segurança em vigor no Zoom, mas elas não são ativadas por padrão e a maioria dos usuários nem sabe que pode fazer coisas como definir uma senha de reunião, clique na caixa que não permite que ninguém entre antes do host ou uma opção que coloca todos os novos convidados em uma sala de espera virtual antes de serem aprovados pelo host. Além disso, com o Zoom passando de um sistema basicamente de escritório para um meio social global praticamente da noite para o dia, esses resultados foram exacerbados.

Eric Yuan, CEO da Zoom, imediatamente se desculpou e disse que a empresa estava trabalhando rapidamente para resolver as preocupações. Sua escolha de palavras em sua resposta foi particularmente significativa. Embora reconheça que as medidas de segurança padrão foram negligenciadas, ele também disse que “as intenções do Zoom são boas”. Vale ressaltar que este não é o primeiro problema da empresa com problemas de segurança – o Zoom provocou polêmica com um instalador automático do macOS que contornou as interações típicas do usuário para tornar a experiência de instalação mais integrada do que a maioria dos outros softwares. Essas escolhas e essa situação de “zoombombing” destacam um problema que é um desafio muito maior da indústria e existe há muito tempo.

UX vs. Segurança

Steve Jobs transformou a Apple na empresa mais valiosa do mundo, com a capacidade de surpreender e encantar os clientes. O objetivo de aplicativos de produtividade como o Zoom é surpreender e encantar os usuários com uma experiência inesperada e fácil para o usuário final. Os usuários migram para uma experiência conveniente e sem atritos, que por sua vez geralmente leva à adoção em massa. Na corrida para tornar as coisas perfeitas para as pessoas, há uma tensão constante entre limitar o “atrito” – quantas etapas são necessárias para obter acesso a um aplicativo – e reforçar a segurança. É interessante notar que o Zoom foi fundado por Yuan e outros ex-engenheiros da WebEx com a intenção expressa de criar uma experiência de videoconferência mais amigável. Não é que eles não estavam cientes dos possíveis problemas de segurança; eles fizeram uma escolha consciente de pesar as coisas com mais força ao lado de uma grande UX.

Então, quando Yuan diz que suas “intenções são boas”, ele está certo. O Zoom tinha boas intenções de melhorar a experiência do usuário, mas os resultados seriam inevitavelmente desequilibrados. Não é que eles foram pegos de surpresa durante o fenômeno “Zoombombing”, mas a prática explorou as costuras em que o Zoom optou por conveniência e acessibilidade em vez de segurança rigorosa e em um momento em que a plataforma estava experimentando um aumento no uso entre indivíduos, ao invés de empresas. Eles estão longe disso sozinhos – na verdade, é uma luta constante pela maioria dos designs de interface. Impulsionar a inovação às vezes significa sacrificar a experiência do usuário ou a segurança. Nem é uma escolha preferida, mas é uma escolha que deve ser feita.

Como encontrar o equilíbrio certo

Felizmente, tentar encontrar algum equilíbrio entre acesso e segurança sem atritos é exatamente o que fazemos na Idaptive em nossa busca para fornecer às organizações soluções de gerenciamento de identidade e acesso. Como escreve nosso CEO Danny Kibel, existem “dois extremos” quando se trata de segurança. “Por um lado, você pode desconectar tudo da Internet, enquanto exige constantemente verificação física e digital. Isso é segurança máxima, mas também inconveniência máxima. Por outro lado, você pode criar uma experiência de usuário totalmente sem atritos, mas deixar seus funcionários e sistemas completamente expostos a agentes maliciosos “. Zoom – e outros – achavam que deveriam apostar primeiro nos usuários pretendidos e esperavam que os atores maliciosos fossem mínimos.

Vemos conceitos como biometria, comportamento e outros dados contextuais como sendo a chave para encontrar algum tipo de equilíbrio. Prevemos um “Zero Trust”, um futuro sem senha, em que os aplicativos podem considerar uma infinidade de fatores para reconhecer usuários autorizados e identificar riscos – não com senhas simples, mas com tendências de uso do dispositivo, localização, comportamento passado e até mesmo especificidades de digitação. Os aplicativos o conhecem e podem entender o que é anormal ou suspeito, sem a necessidade de adicionar portas novas e mais rigorosas entre o usuário e o aplicativo.

Embora as manchetes tenham sido rápidas em pintar o Zoom como sendo apanhado com suas proverbiais calças por cima do “Zoombombing”, a verdade é que a empresa partiu com um objetivo claro e positivo – e teve enorme sucesso – mas teve que fazer escolhas difíceis ao longo do caminho. Até cinco anos atrás, os usuários (especialmente nos EUA) valorizavam muito a conveniência em detrimento da privacidade / segurança. Mas desde a última eleição presidencial nos EUA, os ventos mudaram dramaticamente (provavelmente desencadeados pelo escândalo Cambridge Analytica/Facebook e interferência nas eleições russas). O zoom não mudou com o tempo e qual era sua maior força – facilidade de uso – se tornou seu inesperado calcanhar de Aquiles.

Ninguém previu uma pandemia global que obrigou centenas de milhões a descobrir subitamente como trabalhar ou administrar salas de aula em casa. Infelizmente, tempos de caos às vezes abrem portas para os oportunistas. O que temos aqui é uma lição para todos os desenvolvedores no futuro. Precisamos preencher a lacuna entre a experiência do usuário e a segurança. Talvez ser forçado a fazê-lo por circunstâncias imprevisíveis e atenuantes nos dará o impulso para saltos gigantes adiante. Agora, se você me der licença, estou atrasado para minha reunião com o Zoom…

Publicado por: Corey Williams – Vice President, Marketing

Link: https://www.idaptive.com/blog/lessons-from-zoom-bombing/

Palavras chaves: idaptive, MFA, zoom, Zoombombing. homeoffice

Leave a Reply

Your email address will not be published.