Notícias

Blog da Equipe de Suporte - Segurança de Conta

Blog da Equipe de Suporte - Segurança de Conta

Boas-vindas ao segundo de uma série de quatro blogs da Equipe de Suporte da Jagex. No nosso primeiro blog, explicamos em detalhe os nossos planos para atualizar nossos sistemas. Este blog é sobre Segurança de Conta e vamos abordar:

  • No que estamos trabalhando agora:
  • Fortalecer senhas
  • Avisos de uso de senhas comprometidas
  • Em breve:
  • Notificações e validações por e-mail para alterações de comportamento em contas
  • Verificações de autenticação no site
  • Investigar se seria uma boa ideia implementar um atraso na autenticação
  • E no futuro:
  • Sistemas de segurança de conta adicionais
  • Melhorias na segurança de recuperação de conta
  • Segurança de Conta é um desafio para todas as empresas na internet. O número de sites aos quais pessoas fornecem dados pessoais e a persistência das tentativas de acessar esses dados resultam em violações cada vez mais frequentes.

    Não é de surpreender, portanto, que aprimorar segurança de conta é algo que traz desafios complexos. Ainda assim, estamos empenhados em superá-los, embora tenhamos que permanecer realistas – essas mudanças levarão tempo.

    Vamos analisar em detalhes os vários desafios de segurança e como vamos superá-los.

    Senhas Melhores

    Nossa primeira prioridade é fortalecer senhas, e já demos início a esse trabalho.

    Estamos atualizando nossos sistemas para permitir que senhas mais complexas sejam definidas e adicionando guias de usuário para auxiliar a criação de senhas. Além disso, estamos analisando como podemos oferecer suporte a gerenciadores de senhas.

    No momento, estamos trabalhando com um provedor de serviços terceirizado para implementar um sistema que faz buscas na internet por dados de senha comprometidos. Desta forma, podemos avisar nossos jogadores se estiverem usando uma senha que possa não ser segura ou até mesmo impedir completamente que a senha insegura seja utilizada.

    Precisamos muito da sua ajuda para isso, pois esses novos sistemas só podem oferecer benefícios quando usados por você. No geral, quando se trata de segurança de senha, é essencial lembrar o seguinte:

  • Nunca use a mesma senha da sua conta de e-mail para a sua conta do RuneScape/OldSchool
  • Se houver qualquer preocupação sobre a segurança da sua conta, defina uma nova senha imediatamente
  • Use uma senha diferente para cada serviço que você usa on-line
  • Notificações por E-mail e Segurança

    Uma vez que a segurança de senha for aprimorada, nosso foco serão as notificações por e-mail.

    Uma das formas mais rápidas de confirmar que você é dono da sua conta é usando o endereço de e-mail registrado nela. Esse é um método de segurança muito comum que você já deve ter visto em outros sites.

    Vamos começar a enviar notificações para o seu endereço de e-mail se detectarmos mudanças estranhas no comportamento da conta e, em algumas circunstâncias, requerer autorização daquele endereço de e-mail para fazer login.

    No entanto, o risco de usar e-mails para segurança de conta é que não sabemos se o seu endereço de e-mail é seguro. E se os detalhes de login do seu e-mail forem os mesmos da sua conta do RuneScape/OldSchool, você facilita ainda mais que alguém encontre os dados de acesso necessários.

    Basicamente, quanto mais segura for sua conta de e-mail, mais segura será a sua conta do RuneScape. Se a sua provedora de e-mail oferece recursos adicionais de segurança, como verificação em duas etapas, então faça uso deles (aqui estão os links para o Google, Yahoo e Outlook).

    Essencialmente, esses problemas significam que, a longo prazo, queremos deixar de utilizar e-mail e passar a contar com uma verificação de dois fatores aprimorada.

    Autenticação de Dois Fatores

    Um dos dispositivos mais seguros que você provavelmente possui é um smartphone. Alguns têm dados biométricos embutidos, muitos possuem segurança de senha adicional e, o mais importante, pessoas tendem a protegê-los bem.

    Portanto, queremos utilizar mais a segurança do seu telefone para manter sua conta do RuneScape/OldSchool segura, e a melhor forma de fazer isso é por meio de aplicativos de verificação de duas etapas.

    Observe que já oferecemos verificação de duas etapas e em torno de 50% dos jogadores ativos já a utilizam. Se você ainda não o fez, configure o Autenticador do RuneScape o mais rápido possível! Nosso objetivo é que todos os jogadores utilizem um autenticador e que ele seja empregado para fazer login no jogo e no site.

    Um recurso requisitado com frequência por nossos jogadores é o de atraso na autenticação. Há várias formas de fazer isso, como atrasar pedidos de troca de senha ou limitar negociações temporariamente. Ainda não eliminamos nenhuma opção, mas estamos cientes de que há um risco enorme de jogadores ficarem sem acesso a suas contas ou enfrentarem restrições se ficarem sem telefone no enquanto.

    Também precisamos oferecer suporte a usuários que precisam mudar o autenticador por terem perdido acesso a seu telefone. Esses pedidos de mudança acontecem tantas vezes por dia que a Equipe de Suporte não os conseguiria resolver se tivesse que verificar cada um deles individualmente.

    A opção que preferimos, como resultado, é a de implementar sistemas de segurança de conta adicionais.

    Segurança Extra e Invasão de Conta

    Estamos estudando verificações de conta adicionais que utilizam o mesmo tipo de tecnologia usada para impedir fraude em pagamentos. Esse sistema nos permitiria reagir a novas ameaças em tempo real, criar diversos modelos de segurança para diferentes estados de uma conta do RuneScape (por exemplo, jogador ativo, conta inativa, endereço de e-mail não registrado, autenticador com suporte, etc.) e responder rápido o suficiente para evitar obstáculos que um atraso na autenticação poderia criar.

    Acreditamos que esse método de segurança de conta com foco em dados seja nossa melhor chance de resolver problemas de invasão de conta. Ele poderia funcionar para todas as contas e todos os jogadores. Ainda assim:

  • Se por qualquer motivo você não puder usar verificação de duas etapas, esse será o método reserva de proteger sua conta. Como resultado, vai demorar alguns segundos para realizar verificações toda vez que você fizer login, e usuários poderão sofrer um pequeno atraso.
  • Esse sistema verificará milhões de logins todos os dias, e seria errado da nossa parte presumir que ele acertará toda vez. Alcançar o equilíbrio correto entre rapidez e segurança (em outras palavras, dar acesso aos usuários certos e impedir o acesso de usuários ilegítimos, tudo sem criar um atraso considerável) será um processo, e é improvável que funcione de uma hora pra outra. Vamos conduzir testes extensivos antes de lançar esse sistema para aperfeiçoá-lo, portanto pedimos encarecidamente que tenham paciência. Estamos verificando como você poderá entrar em contato conosco e resolver a situação o mais rápido possível caso perca acesso a sua conta incorretamente.
  • Se tudo der certo, isso tudo deve acontecer sem que você veja ou tenha que se preocupar – a não ser que esteja tentando roubar a conta de alguém, é claro. Por essa razão, não pretendemos informar os jogadores sobre o progresso regularmente.
  • O desenvolvimento e a implementação vão levar algum tempo. Essa é a prioridade principal da Jagex, então ficará pronto assim que possível – estimativas atuais nos levam a crer que será lançado na primeira metade de 2020. Apesar dos desafios à frente, acreditamos que os benefícios valem o esforço de superar tais problemas.
  • Abuso de Recuperação

    Um dos maiores desafios que enfrentamos ao verificar tentativas de recuperação de conta é identificar se o pedido foi feito pelo dono da conta.

    Nosso foco para o ano que vem é deter ladrões de conta antes mesmo que consigam acessá-la, mas ainda assim precisamos melhorar como processamos tentativas de recuperação de conta. Isso pode significar que os requisitos de informações para apelações se tornem ainda mais rígidos. Vai demorar um pouco para encontrarmos o equilíbrio adequado entre segurança e rapidamente devolver acesso ao jogo. No momento, não achamos que o equilíbrio está certo, então vamos continuar trabalhando para melhorá-lo.

    E da Equipe

    Compreendemos o quão importante é o assunto de segurança de conta para todos vocês, assim como para nós – estamos escutando tudo o que vocês estão dizendo. E, apesar de não podermos consertar tudo da noite pro dia, não vamos parar até as coisas melhorarem. Continuaremos mantendo vocês informados do nosso progresso, mas pedimos que continuem conversando com a gente, compartilhando suas preocupações e oferecendo sugestões. Estamos comprometidos a fazer tudo o que pudermos.

    Obrigado,

    A Equipe de Suporte ao Jogador

    Continue a discussão no Reddit, no Discord ou no nosso fórum.