⚠️ Identitätsprüfung ist jetzt veraltet.
Identitätsprüfung ist veraltet und der Identitätsprüfungs-Geheimschlüssel wird nicht mehr offengelegt. Die Verwendung des App-Client-Geheimnisses zur Generierung eines user_hash führt zu einem ungültigen user_hash-Fehler. JWT (JSON Web Token) ist jetzt die empfohlene Methode zur Sicherung des Fin Messenger. Siehe die JWT-Einrichtungsanleitung für aktuelle Best Practices.
Identitätsprüfung stellt sicher, dass Gespräche zwischen Ihnen und Ihren users privat bleiben und dass ein Angreifer Ihre users nicht imitieren kann.
Wenn Sie Intercom nur für Website-Besucher verwenden, die sich nicht anmelden, benötigen Sie keine Identitätsprüfung. Sie gilt nur für users, für die Sie Identifikatoren wie E-Mail-Adresse oder user_id haben.
Was ist ein Benutzer-Imitationsangriff?
In Arbeitsbereichen mit angemeldeten users ist es ohne Identitätsprüfung möglich, dass ein Angreifer einen user imitiert. Das bedeutet, ein Angreifer könnte die historischen Gespräche eines users sehen, für Ihre Teammitglieder als dieser user erscheinen und sie täuschen, um Aktionen im Konto dieses users durchzuführen.
Zum Beispiel kann ohne Identitätsprüfung jemand mit Ihrem Fin Messenger interagieren und die Identität eines anderen users vortäuschen, indem er einen bekannten Identifikator wie deren E-Mail-Adresse oder user_id angibt. Dies ermöglicht einem Angreifer, sich als echter user gegenüber Ihren Teammitgliedern auszugeben, Zugriff auf vorherige Gespräche und möglicherweise sensible Daten zu erhalten.
Wie schützt die Identitätsprüfung meinen Arbeitsbereich?
Mit Identitätsprüfung generieren Sie für jeden Ihrer users einen einzigartigen user_hash basierend auf deren E-Mail-Adresse oder user_id und dem Identitätsprüfungs-Geheimnis Ihres Arbeitsbereichs (verfügbar im Installationsschritt bei der Einrichtung von Fin Messenger für Übergabe an Zendesk). Ihre Integration generiert und sendet diese Hashes mit jeder Messenger-Anfrage, sodass wir sicher sein können, dass die Benutzeranfrage wirklich von Ihnen stammt.
So sind Ihre Web-Messenger-Anfragen vor Imitation geschützt, wenn Sie die Identitätsprüfung für Ihren Arbeitsbereich korrekt aktivieren.
Identitätsprüfung verhindert die Imitation von users in Ihrem Arbeitsbereich, da ohne Zugriff auf Ihr Geheimnis eine Drittpartei, die versucht, einen user-Identifikator bei Intercom zu fälschen, keinen gültigen user_hash für diesen user senden kann.
Sobald die Identitätsprüfung durchgesetzt wird, lädt der Fin Messenger keine Anfragen für Ihre angemeldeten users ohne gültigen user_hash und akzeptiert sie nicht.
Beeinflusst die Identitätsprüfung die Benutzererfahrung?
Bei korrekter Einrichtung der Identitätsprüfung gibt es keine Auswirkungen für Ihre Kunden. users und Leads erleben den Messenger wie gewohnt. Es ist keine zusätzliche Aktion von ihnen erforderlich, um sich zu authentifizieren oder den Messenger zu nutzen.
Was ist der Unterschied zwischen Leads und users?
Intercom unterscheidet klar zwischen:
Besuchern – unbekannte Kunden auf Ihrer Website, die nicht angemeldet sind und keine Gesprächshistorie mit Ihnen haben,
Leads – Kunden, die ein Gespräch mit Ihnen beginnen oder auf eine Nachricht antworten. Sie werden durch Namen wie „Charcoal Umbrella aus Paris“ identifiziert und erhalten ein Intercom-Cookie, um ihre Gesprächshistorie zu speichern,
users – Kunden, die sich für Ihr Produkt anmelden und sich in ein bestehendes Konto einloggen. Sie identifizieren diese normalerweise durch E-Mail-Adresse oder user ID
Muss ich die Identitätsprüfung für Besucher einrichten?
Wenn Intercom für Website-Besucher installiert ist, die sich nicht anmelden, benötigen Sie keine Identitätsprüfung. Sie gilt nur für users, für die Sie Identifikatoren wie E-Mail-Adresse oder user_id haben.
Mit anderen Worten: Wenn Sie die Identitätsprüfung für Ihren Arbeitsbereich aktivieren, erwartet Intercom nur dann einen user_hash, wenn der Messenger für einen user geladen wird. Wenn der Messenger für einen ausgeloggten Besucher/Lead geladen wird, ist kein user_hash erforderlich.
Warum gibt es nicht ein Geheimnis für alle Plattformen?
Wir haben für jede Plattform ein einzigartiges Geheimnis erstellt, damit es einfacher ist, jedes einzeln zu rotieren oder die Identitätsprüfung auf jeder Plattform unabhängig zu aktivieren.
Wie generiere ich einen einzigartigen Hash pro Plattform, wenn ich dasselbe Backend für alle users verwende?
Sie sollten den Hash nicht generieren und in Ihrer Datenbank speichern. Stattdessen sollten Sie ihn generieren und dynamisch senden, wenn Sie den user gegenüber Intercom identifizieren. So wird sichergestellt, dass bei Geheimniswechsel oder Nutzung einer anderen Plattform der korrekte Hash gesendet wird.
Wenn Sie den Hash speichern und senden, müssten Sie bei jeder Änderung Ihres Geheimnisses eine Massen-Neugenerierung durchführen, was für Sie umständlich wäre.
Schützt die Identitätsprüfung sowohl user_id- als auch E-Mail-Adressenwerte?
Nein, die Identitätsprüfung erfordert, dass Sie einen einzigartigen Hash mit dem Geheimnis und entweder der user_id oder der E-Mail-Adresse des users erstellen. Wenn Sie user_ids mit Ihren Messenger-Anfragen senden, müssen Sie den Hash mit diesem Identifikator erstellen. Wenn Sie keine user_ids senden, generieren Sie ihn mit dem E-Mail-Feld.