Boas-vindas ao segundo de uma série de quatro blogs da Equipe de Suporte da Jagex. No nosso primeiro blog, explicamos em detalhe os nossos planos para atualizar nossos sistemas. Este blog é sobre Segurança de Conta e vamos abordar:
Segurança de Conta é um desafio para todas as empresas na internet. O número de sites aos quais pessoas fornecem dados pessoais e a persistência das tentativas de acessar esses dados resultam em violações cada vez mais frequentes.
Não é de surpreender, portanto, que aprimorar segurança de conta é algo que traz desafios complexos. Ainda assim, estamos empenhados em superá-los, embora tenhamos que permanecer realistas – essas mudanças levarão tempo.
Vamos analisar em detalhes os vários desafios de segurança e como vamos superá-los.
Senhas Melhores
Nossa primeira prioridade é fortalecer senhas, e já demos início a esse trabalho.
Estamos atualizando nossos sistemas para permitir que senhas mais complexas sejam definidas e adicionando guias de usuário para auxiliar a criação de senhas. Além disso, estamos analisando como podemos oferecer suporte a gerenciadores de senhas.
No momento, estamos trabalhando com um provedor de serviços terceirizado para implementar um sistema que faz buscas na internet por dados de senha comprometidos. Desta forma, podemos avisar nossos jogadores se estiverem usando uma senha que possa não ser segura ou até mesmo impedir completamente que a senha insegura seja utilizada.
Precisamos muito da sua ajuda para isso, pois esses novos sistemas só podem oferecer benefícios quando usados por você. No geral, quando se trata de segurança de senha, é essencial lembrar o seguinte:
Notificações por E-mail e Segurança
Uma vez que a segurança de senha for aprimorada, nosso foco serão as notificações por e-mail.
Uma das formas mais rápidas de confirmar que você é dono da sua conta é usando o endereço de e-mail registrado nela. Esse é um método de segurança muito comum que você já deve ter visto em outros sites.
Vamos começar a enviar notificações para o seu endereço de e-mail se detectarmos mudanças estranhas no comportamento da conta e, em algumas circunstâncias, requerer autorização daquele endereço de e-mail para fazer login.
No entanto, o risco de usar e-mails para segurança de conta é que não sabemos se o seu endereço de e-mail é seguro. E se os detalhes de login do seu e-mail forem os mesmos da sua conta do RuneScape/OldSchool, você facilita ainda mais que alguém encontre os dados de acesso necessários.
Basicamente, quanto mais segura for sua conta de e-mail, mais segura será a sua conta do RuneScape. Se a sua provedora de e-mail oferece recursos adicionais de segurança, como verificação em duas etapas, então faça uso deles (aqui estão os links para o Google, Yahoo e Outlook).
Essencialmente, esses problemas significam que, a longo prazo, queremos deixar de utilizar e-mail e passar a contar com uma verificação de dois fatores aprimorada.
Autenticação de Dois Fatores
Um dos dispositivos mais seguros que você provavelmente possui é um smartphone. Alguns têm dados biométricos embutidos, muitos possuem segurança de senha adicional e, o mais importante, pessoas tendem a protegê-los bem.
Portanto, queremos utilizar mais a segurança do seu telefone para manter sua conta do RuneScape/OldSchool segura, e a melhor forma de fazer isso é por meio de aplicativos de verificação de duas etapas.
Observe que já oferecemos verificação de duas etapas e em torno de 50% dos jogadores ativos já a utilizam. Se você ainda não o fez, configure o Autenticador do RuneScape o mais rápido possível! Nosso objetivo é que todos os jogadores utilizem um autenticador e que ele seja empregado para fazer login no jogo e no site.
Um recurso requisitado com frequência por nossos jogadores é o de atraso na autenticação. Há várias formas de fazer isso, como atrasar pedidos de troca de senha ou limitar negociações temporariamente. Ainda não eliminamos nenhuma opção, mas estamos cientes de que há um risco enorme de jogadores ficarem sem acesso a suas contas ou enfrentarem restrições se ficarem sem telefone no enquanto.
Também precisamos oferecer suporte a usuários que precisam mudar o autenticador por terem perdido acesso a seu telefone. Esses pedidos de mudança acontecem tantas vezes por dia que a Equipe de Suporte não os conseguiria resolver se tivesse que verificar cada um deles individualmente.
A opção que preferimos, como resultado, é a de implementar sistemas de segurança de conta adicionais.
Segurança Extra e Invasão de Conta
Estamos estudando verificações de conta adicionais que utilizam o mesmo tipo de tecnologia usada para impedir fraude em pagamentos. Esse sistema nos permitiria reagir a novas ameaças em tempo real, criar diversos modelos de segurança para diferentes estados de uma conta do RuneScape (por exemplo, jogador ativo, conta inativa, endereço de e-mail não registrado, autenticador com suporte, etc.) e responder rápido o suficiente para evitar obstáculos que um atraso na autenticação poderia criar.
Acreditamos que esse método de segurança de conta com foco em dados seja nossa melhor chance de resolver problemas de invasão de conta. Ele poderia funcionar para todas as contas e todos os jogadores. Ainda assim:
Abuso de Recuperação
Um dos maiores desafios que enfrentamos ao verificar tentativas de recuperação de conta é identificar se o pedido foi feito pelo dono da conta.
Nosso foco para o ano que vem é deter ladrões de conta antes mesmo que consigam acessá-la, mas ainda assim precisamos melhorar como processamos tentativas de recuperação de conta. Isso pode significar que os requisitos de informações para apelações se tornem ainda mais rígidos. Vai demorar um pouco para encontrarmos o equilíbrio adequado entre segurança e rapidamente devolver acesso ao jogo. No momento, não achamos que o equilíbrio está certo, então vamos continuar trabalhando para melhorá-lo.
E da Equipe
Compreendemos o quão importante é o assunto de segurança de conta para todos vocês, assim como para nós – estamos escutando tudo o que vocês estão dizendo. E, apesar de não podermos consertar tudo da noite pro dia, não vamos parar até as coisas melhorarem. Continuaremos mantendo vocês informados do nosso progresso, mas pedimos que continuem conversando com a gente, compartilhando suas preocupações e oferecendo sugestões. Estamos comprometidos a fazer tudo o que pudermos.
Obrigado,
A Equipe de Suporte ao Jogador
Continue a discussão no Reddit, no Discord ou no nosso fórum.