Proponha uma correção, faça uma sugestão
Instagram quer ajudar os utilizadores a recuperar uma conta roubada
A rede social Instagram deu a saber que está a testar novas formas de recuperar uma conta roubada. Fruto de um fenómeno cada vez mais comum, quando uma conta é roubada, pode ser deveras difícil provar a autoria da mesma, ou recuperar o seu domínio. Agora, a empresa pertencente ao grupo Facebook quer mudar isso.
Já alguma vez viu a sua conta de Instagram, ou outra rede social, ser-lhe subtraída?
Ao que tudo indica, o Instagram está a trabalhar em novos meios de recurso para precaver grandes dores de cabeça aos seus utilizadores. Assim sendo, teremos mais oportunidades e formas de recuperar uma conta roubada nesta rede social. Algo que tanto pode ser um inconveniente, como um problema de maior.
Novos métodos para recuperação de uma conta roubada
A segurança online é um ponto que nunca estará perfeitamente completo, ou satisfeito. Enquanto existirem interesses alheios na apropriação do que é de outrem, existirão casos como este. Posto isto, a rede social está a testar novas formas, dentro da sua app para dispositivos móveis iOS e Android para recuperação da conta.
Na eventualidade de alguém descobrir a sua palavra-passe, já que o nome de utilizador, email, ou telefone são amiúde do domínio público, há um risco real. O roubo de uma conta pode trazer graves consequências ao seu dono, sobretudo se esta for uma das suas fontes de rendimento. Tome-se, por exemplo, os influencers.
https://twitter.com/KristolynLloyd/status/1132049034535940099
Atualmente, para recuperar uma conta roubada, é necessário inserir o endereço de email, ou preencher uma série de parâmetros na página de assistência. Já com a próxima atualização da app teremos uma forma mais sucinta para tomar ação de forma rápida, sempre com o intuito de recuperar a conta roubada.
Um fenómeno recorrente nesta rede social do grupo Facebook
Bastará, assim, inserir o número de telefone do legítimo proprietário, ou inserir o email original. Em seguida o mesmo receberá um código de 6 dígitos, enviado por um dos meios escolhidos. Ao mesmo tempo, o Instagram impedirá o hacker de utilizar seja o email ou o número de telefone para contornar o procedimento.
Desse modo, o novo método garantirá que o legítimo dono poderá recuperar a conta roubada. Aqui mesmo se a outra parte tiver mudado o nome de utilizador ou as informações do contacto. Para esse fim, a rede social está a desenvolver, testar e gradualmente implementar uma outra medida temporária de segurança.
Today on MY story
Account still hacked and youre not helping me....
I know I'm just a little fish but to have my identity stolen is rather frustrating pic.twitter.com/Wc8EbAFE4x— dswphotography (@dswphotography2) June 15, 2019
Será impossível utilizar um dado nome de utilizador durante um "certo período de tempo". Algo que a empresa não precisou, dizendo apenas que existirá assim um intervalo de latência. Desse modo, teremos algum tempo para voltar ao nosso nome antigo de utilizador, ou em caso de roubo, acionar os meios ao nosso dispor.
As novidades estão a ser implementadas pelo Instagram
A rede social do grupo Facebook está assim a dotar a sua app destes novos meios de proteção. Seja a simplificação do mecanismo de recuperação de conta via a aplicação, bem como o período de salvaguarda de um nome de utilizador.
Em suma, a empresa quer dar uma maior sensação de segurança para todos os seus utilizadores. Para tal, temos já em efeito o período de espera até que seja possível utilizar um nome de utilizador pertencente até há pouco tempo a outra conta. Já as alterações nas aplicações para Android e iOS ainda estão a ser trabalhadas.
It's pretty stunning to see.
On this #DarkWeb site, you can scroll through stolen accounts from pretty much any online account imaginable. Amazon... Airbnb... Instagram... Netflix. Just pick and click. #NBC10Boston Investigators at 11 pic.twitter.com/hoFHRRbfwg— Ryan Kath (@RyanNBCBoston) May 15, 2019
Em caso de roubo de conta, do Instagram ou qualquer outra rede social, uma ação rápida é da mais extrema importância. Quanto mais tempo passar sem ter recuperado a sua conta, ou acionado os meios de proteção, pior será. Para combater esta possibilidade, recomendamos também a utilização de uma palavra-passe segura.
Esperemos agora que os novos meios de recuperação de conta sejam realmente eficazes. Seja no processo de recuperação per se, bem como na prevenção de tal ocorrência.
Este artigo tem mais de um ano
Fonte: Instagram
Neste artigo: conta, Facebook, instagram, rede social, roubada
Loading ...
Alguma data de lançamento destas novidades?
Opção 1:
O Instagram pode adoptar o SQRL (Secure Quick Reliable Login) e isso por si só deve acabar com a maioria dos problemas de entradas não autorizadas nas contas em especial se eles suportarem as opções de não permitir entrada por métodos alternativos e não permitirem formas alternativas de recuperação de conta.
Opção 2:
Se eles não quiserem adoptar o SQRL podem ter uma solução robusta mas nada simples para os utilizadores porque implicaria:
– a pessoa criar o seu próprio nome de utilizador para as pessoas encontrarem a sua conta (não pode ser igual ao identificador único);
– o utilizador ter um identificador único atribuído pelo serviço para entrar na conta;
– uma senha de acesso normal criada pela pessoa;
– um código de recuperação de conta atribuído pelo serviço;
– um código atribuído pelo serviço que muda a cada 30 segundos (como tem a google por exemplo)… para o caso de ser uma entrada através de um dispositivo desconhecido.
Desenvolvendo…
Para melhorar a segurança seria mais interessante atribuir ao utilizador um identificador de entrada na conta (que não dê para extrair do perfil) independente do nome de utilizador público, e atribuir ainda um código de resgate de conta, só a utilizar em caso de alguém conseguir entrar na conta e modificar a senha de acesso, e só introduzir por exemplo online numa página de recuperação do instagram onde é pedido o ID de entrada, uma password utilizada nos últimos 6 meses e o código de resgate da conta.
Ex.: instagram-com/meunomedeperfilpublico (escolhido pelo utilizador)
ID de entrada: 1H29KDAS (atribuída pelo serviço)
PASSWORD: m3yd8skki09d (criada pelo utilizador)
Código de resgate de conta: 1928-AMND-0930-MJJD-1092-ASGD (atribuída pelo serviço) (introduza somente em recovery-instagram-com, escreva sempre manualmente no seu browser! Lembre-se: se lhe furtaram a conta poderá ter o(s) seu(s) dispositivo(s) onde utiliza o Instagram comprometido(s) por programas malignos… confirme primeiro que não é o caso antes de o(s) utilizar para recuperar o acesso à conta.) (Para mudar o código de resgate a pessoa deve estar dentro da conta e ter o código de resgate de conta actual… e deve ter de colocar o código de acesso actual antes de conseguir alterar o código de resgate de conta.)
O e-mail e número de telefone não deveriam ser utilizados para o acesso e recuperação de acesso, porque os utilizadores não conseguem controlar estes canais a 100% em primeiro lugar (que não foram desenhados com a segurança em mente desde o seu começo) e segundo porque qualquer parvalhão altera imediatamente estes caso entre na conta. Na pior das hipóteses podem utilizá-los para notificar da entrada na conta reportando de que dispositivo, hora, IP’s e tudo o mais que possa ser útil para identificar actividade na conta não autorizada… mas se o atacante já controlar estes canais tal não servirá de muito à pessoa porque o mesmo certamente não deixará que tal informação chegue ao legítimo proprietário.
Assim: saber o e-mail/ número de telefone/ nome do perfil público associado à conta do instagram não permite sequer começar o processo de adivinhar qual é a senha/ código de resgate pelo que não podem contornar o facto de terem de saber qual é ID de entrada da pessoa.
Mas o Instagram pode dificultar ainda mais a vida aos atacantes! Eles conseguem perfeitamente saber se é a primeira vez que a pessoa se está a autenticar daquele dispositivo específico… eles podem permitir à pessoa criar e colocar um daqueles códigos que muda a cada 30 segundos sempre que o dispositivo não é reconhecido. Assim mesmo que saibam o ID de entrada e a senha não conseguem entrar na mesma porque não sabem o código que está constantemente a mudar.
Isto é útil porque muitas vezes são os conhecidos quem obtêm esses dados (podem ver o ID e a pessoa a meter a senha) e isto também evita tais ataques.
Para dificultarem ainda mais poderão suportar (dois ou mais) dispositivos FIDO2 como segundo factor em todas as operações de maior risco (entrar na conta, mudar senha, desactivar a própria protecção FIDO2, apagar fotos, apagar a conta, mudar e-mail, mudar número de telefone, etc.).
Poucas pessoas têm dispositivos FIDO2, não são assim tão baratos (têm de ser pelo menos dois, pagar envios, taxas) e existem demasiadas circunstâncias em que parece ser uma dor de cabeça colocá-los a funcionar, além de também o FIDO2 não ser infelizmente perfeito em especial se o serviço não ignorar o contador dos próprios dispositivos FIDO2.
Este segunda opção é bastante mais complexa e mesmo assim não protegeria em todas as circunstâncias (embora o FIDO2 realmente se aproxime bastante da protecção mais forte possível).