О паролях и мерах безопасности в продукте
Вова Мирненко, телеграм канал TheProductVova
Давайте задумаемся на минуточку о неочевидных проблемах пользователей. О защите их данных и ответственности за это. Опубликованная здесь статистика утверждает, что объем кибер-преступлений в денежном эквиваленте составил $1.6 трлн в 2019 году, из которых $630 млн связаны с продажей пользовательских данных.
А теперь внимание. Вопрос. Если у пользователя методом подбора ломают и уводят аккаунт в вашем продукте, кто за это в ответе?
А. Пользователь, который не задал достаточно надежный пароль.
Б. Продакт-менеджер, который не потребовал, чтоб пароль содержал цифры, буквы в разных регистрах и специальный символ.
Ответ определяется тем, насколько вы лично готовы брать на себя ответственность за свой продукт и своих пользователей. В будущем компании точно законодательно обяжут требовать от пользователей надежные пароли. А пока выбор между хорошей конверсией и хорошим паролем - это сделка с совестью.
Следующий вопрос. Если у пользователя методом социальной инженерии увели аккаунт, кто за это в ответе?
А. Пользователь, который повелся на мошенника.
Б. Продакт-менеджер, который не построил надежную анти-угонную систему.
Ответ определяется балансом между неискушенностью пользователя и критичностью системы. Например, вы разрабатываете клиент-банк, электронный кошелек или другой продукт, который связан с деньгами или особо ценными данными. Не добавить двухфакторную аутентификацию и пенять потом на глупого пользователя — это детский сад. Как, кстати, и позволять подбор пароля.
Впридачу к превентивным мерам, стоит задуматься о дополнительных уведомлениях при таких нехарактерных действиях, как вход с незнакомого IP-адреса, изменение личной информации и особенно реквизитов для вывода денег.
Задумайтесь, $1.6 трлн в год. Этим занимаются не студенты политеха, а ОПГ мирового масштаба. Попадете к ним на радар — они вас разденут и разбуют. А даже если это будете не вы, а ваши пользователи — немногим лучше. Если ваш продукт засветится в скандальных новостях и снискает славу ненадежного, это может стать началом конца.
Вопрос 1. Насколько защищен ваш пользователь от угона пароля?
Вопрос 2. Как вы уведомляете пользователя о важных изменениях в учетной записи?
Вопрос 3. Что вы можете сделать, чтоб лучше защитить своего пользователя прямо сейчас?