Como incentivar os usuários a habilitar a autenticação de dois fatores (2FA)

Como incentivar os usuários a habilitar a autenticação de dois fatores (2FA)

A autenticação de dois fatores (2FA) não ajuda a proteger seus clientes se eles não usarem o recurso. A 2FA ajuda a proteger os usuários se o primeiro fator, geralmente uma senha, estiver comprometido. É comum o comprometimento de senhas fáceis de adivinhar e senhas reutilizadas que são violadas em outro site. Os usuários mais preocupados com a segurança talvez já tenham senhas fortes e únicas e não precisem ser convencidos a ativar a 2FA. Sendo assim, como é possível fazer os usuários mais vulneráveis ativarem outras funcionalidades de segurança?

Um estudo de 2019 sobre a usabilidade da 2FA descobriu que apenas 29% das pessoas achavam que a inconveniência da 2FA sempre compensava a vantagem de segurança. "Eu acho que não tenho nada que as pessoas queiram tirar de mim, deve ser por isso que não me preocupo muito com isso", observou um participante.

Esse pensamento reflete algo que o pesquisador de segurança Cormac Herley escreveu há uma década: "É principalmente tempo, e não dinheiro, que os usuários correm o risco de perder quando são atacados. Tempo também é aquilo que os conselhos sobre segurança pedem deles." Incentivar os usuários a tomar mais medidas de segurança é uma maneira de compensar o investimento em tempo e incentivar os usuários a agregar valor em uma segurança melhor da conta.

Como impulsionar a adoção da 2FA

Os sites estão ficando mais esclarecidos sobre a forma como estão fazendo com que as pessoas habilitem a 2FA. A menos que seja uma empresa como a Coinbase, você provavelmente não tornará a 2FA obrigatória, mas você tem outras opções além de escondê-la nas configurações de perfil. Coisas como prompts de login podem surtir efeito, principalmente se você for persistente com os lembretes.

Como os emotes grátis popularizaram a 2FA

Filho: você sabe o que é a autenticação de dois fatores?
Eu: claro que sim.
Filho: eu ganho uma dança gratuita no @Fortnitegame se eu habilitar dois fatores. Podemos fazer isso?

Incentivos são importantes.

- Dennis (@DennisF) 23 de agosto de 2018

A ideia de oferecer incentivos do produto para habilitar a 2FA foi popularizada no Fortnite 2018. O incentivo teve muita atenção na mídia, e podemos ver seus efeitos no interesse público nas tendências de pesquisa do Google sobre 2FA:

Esse primeiro pico em 2018 pode ser atribuído ao Fortnite, que divulgou seus incentivos por volta desta época. As tendências do Google para tópicos relacionados e consultas sobre 2FA ainda são focadas no Fortnite e sua empresa-mãe, a Epic Games.

Incentivos como estes podem ser uma das razões pelas quais a conscientização pública sobre 2FA aumentou desde 2017, de acordo com um estudo de 2019 da Duo Security.

No entanto, Fortnite não é a única empresa que oferece incentivos, e as empresas estão usando várias formas para incentivar seus usuários a habilitar o recurso de segurança.

Quem está oferecendo incentivos de 2FA?

Cormac Herley, citado anteriormente, fez a seguinte pergunta no Twitter no mês passado:

Alguém consegue pensar em exemplos de empresas que oferecem incentivos aos usuários para usarem a 2FA? Não estou perguntando sobre encorajamento, conscientização, fobs gratuitos etc.; vamos pensar em descontos, serviço aprimorado etc. Obrigado.

— Cormac Herley (@CormacHerley) 6 de abril de 2020

As empresas de jogos eletrônicos parecem ser as mais comuns, o que faz sentido, uma vez que a economia de jogos é grande e os incentivos no jogo são basicamente sem custo para fornecer. O World of Warcraft e a Rockstar Games oferecem incentivos para 2FA dessa forma. A Twitch, outro cliente do Twilio Authy de 2FA, começou a oferecer incentivos de emote semelhantes mês passado.

As empresas de plataforma e serviços também oferecem incentivos na forma de descontos na fatura. A MailChimp oferece 10% de desconto por 3 meses para contas que habilitarem a 2FA. O provedor de hospedagem NIC.UA ofereceu um desconto de 15% quando lançaram a 2FA em 2017.

Desbloqueio de recurso com 2FA

Outra maneira de incentivar a 2FA é desbloquear recursos somente para usuários com a 2FA ativada. Essa é uma maneira de aplicar a 2FA para contas de valor mais alto.

Por exemplo, o GitHub exige a 2FA para usuários que desejam participar de seu programa de patrocínio. A Apple não permite mais desativar a 2FA, citando que "certos recursos" em versões recentes exigem nível extra de segurança.

A Epic Games ofereceu mais um incentivo no mês passado, desbloqueando diversos jogos gratuitos para os usuários que habilitaram a 2FA.

Requerimento de 2FA

Nem todas as empresas de consumo conseguem tornar a 2FA obrigatória, mas se seus usuários entenderem o risco, algo assim pode fazer sentido. Empresas financeiras, incluindo bancos e empresas de criptomoeda, podem exigir a 2FA de seus usuários. Também vimos as empresas receberem críticas da imprensa por exigirem a 2FA.

Considerações sobre privacidade para incentivar a 2FA

Toda vez que surge essa discussão, vejo alguma pergunta como "As empresas estão fazendo isso apenas para coletar suas IPI?"

Eles permitem TOTP ou esta é apenas uma manobra para coletar números de telefone?

— Rich Felker (@RichFelker) 28 de abril de 2020

Não seja essa empresa. Separe o marketing da segurança e seja claro sobre a forma como você está usando os dados dos usuários. Ofereça incentivos para todos os canais, incluindo TOTP (não são necessárias IPI) ou e-mail (que a empresa provavelmente já possui). O Facebook já destruiu bastante a confiança do usuário quando foi pego usando números de telefone de 2FA para direcionamento de anúncios (eles pararam em 2019) e não podemos arriscar alienar os usuários ainda mais. Lutar para proteger a privacidade dos usuários e, ao mesmo tempo, incentivar maior segurança, não são objetivos mutuamente excludentes.

A 2FA baseada em SMS ainda oferece segurança melhor que a do 2FA, mas, se possível, não force seus usuários a usar um canal que eles não querem.

Conclusões

Simplesmente oferecer a 2FA não é mais suficiente; você precisa garantir que seus usuários habilitem esse recurso. Sem precisar forçá-los, você tem várias opções para impulsionar a adoção. Considere quais incentivos de produto fazem sentido para a sua empresa ou libere determinados recursos para contas que tenham habilitado a 2FA. No mínimo, lembre seus usuários de que ativar a 2FA é uma opção. Como sua empresa está incentivando os usuários a ativar a 2FA? Conte para mim no Twitter ou deixe uma mensagem nos comentários.