Passar para o conteúdo principal

O que é Verificação de Identidade? [obsoleto]

⚠️ A Verificação de Identidade agora está obsoleta.

A Verificação de Identidade foi descontinuada e a chave secreta de verificação de identidade não é mais exposta. Usar o segredo do app client para gerar um user_hash resultará em um erro de user_hash inválido. JWT (JSON Web Token) é agora o método recomendado para proteger o Fin Messenger. Veja o guia de configuração JWT para as melhores práticas atuais.

A Verificação de Identidade garante que as conversas entre você e seus users sejam mantidas privadas, e que um agente malicioso não possa se passar por seus users.

Se você usa o Intercom apenas para visitantes do site que não fazem login, não precisa da Verificação de Identidade. Ela se aplica apenas a users, para os quais você tem identificadores como endereço de email ou user_id.

O que é um ataque de personificação de user?

Em workspaces que têm users logados, sem a Verificação de Identidade, é possível que um agente malicioso se passe por um user. Isso significa que um agente malicioso poderia ver as conversas históricas de um user, aparecer para seus colegas como esse user e enganá-los para que tomem ações na conta desse user.

Por exemplo, sem a Verificação de Identidade, alguém pode interagir com seu Fin Messenger e falsificar a identidade de outro user, fornecendo um identificador conhecido como seu endereço de email ou user_id. Isso permite que um atacante se passe por um user real para seus colegas, dando acesso a conversas anteriores e potencialmente dados sensíveis.

Como a Verificação de Identidade protege meu workspace?

Com a Verificação de Identidade, você gera um user hash único para cada um dos seus users baseado no endereço de email ou user_id deles e no segredo de verificação de identidade do seu workspace (disponível na etapa de Instalação, ao configurar o Fin Messenger para transferência ao Zendesk). Sua integração irá gerar e enviar esses hashes junto com cada requisição do Messenger, permitindo que confiemos que a requisição do user realmente veio de você.

Veja como suas requisições do Messenger web são protegidas contra personificação quando você habilita corretamente a Verificação de Identidade para seu workspace.

A Verificação de Identidade previne a personificação cruzada de users no seu workspace porque, sem acesso ao seu segredo, um terceiro tentando falsificar o identificador de um user para o Intercom não conseguirá enviar um user hash válido para esse user.

Uma vez que a Verificação de Identidade é aplicada, o Fin Messenger não carregará nem aceitará requisições para seus users logados sem um user hash válido.

A Verificação de Identidade afeta a experiência do user?

Com a Verificação de Identidade configurada corretamente, não há impacto para seus clientes. Users e Leads experimentarão o Messenger normalmente. Não é necessária nenhuma ação extra deles para se autenticar ou usar o Messenger.

Qual é a diferença entre Leads e Users?

O Intercom faz uma distinção clara entre:

  • Visitantes - clientes desconhecidos do seu site que não estão logados e não têm histórico de conversa com você,

  • Leads - clientes que iniciam uma conversa com você ou respondem a uma mensagem. Eles são identificados por nomes como “Charcoal Umbrella from Paris” e recebem um cookie do Intercom para lembrar seu histórico de conversa,

  • Users - clientes que se cadastram no seu produto e fazem login em uma conta existente. Você geralmente os identifica pelo endereço de email ou user ID

Preciso configurar a Verificação de Identidade para visitantes?

Quando o Intercom está instalado para visitantes do site que não fazem login, você não precisa da Verificação de Identidade. Ela se aplica apenas a users, para os quais você tem identificadores como endereço de email ou user_id.

Em outras palavras, quando você habilita a verificação de identidade para seu workspace, o Intercom só esperará um user_hash quando o Messenger for carregado para um user. Porém, quando o Messenger for carregado para um visitante/lead deslogado, um user_hash não é necessário.

Por que vocês não têm um segredo único para todas as plataformas?

Criamos um segredo único para cada plataforma para facilitar a rotação de cada um ou habilitar a Verificação de Identidade em cada plataforma independentemente.

Como gerar um hash único por plataforma quando uso o mesmo backend para todos os users?

Você não deve gerar o hash e armazená-lo no seu banco de dados. Em vez disso, deve gerá-lo e enviá-lo dinamicamente ao identificar o user para o Intercom. Isso significa que, quando você mudar os segredos ou o user estiver usando uma plataforma diferente, o hash correto será enviado.

Se você armazenar o hash e enviá-lo, terá que fazer uma regeneração em massa sempre que mudar seu segredo, o que criaria atrito para você.

A Verificação de Identidade protege tanto os valores de user_id quanto de endereço de email?

Não, a Verificação de Identidade exige que você crie um hash único usando o segredo e ou o user_id do user ou o endereço de email. Se você enviar user_ids com suas requisições do Messenger, deve criar o hash usando esse identificador. Se não enviar user_ids, gere-o com o campo de endereço de email.

Artigos relacionados
Fin Messenger: Configure o solicitante correto do ticket no Zendesk com transferência para o agente
Configurar Verificação de Identidade para web e mobile [obsoleto]
Projetando e usando suas APIs com Data Connectors
Autenticando users no Fin Messenger com JSON web tokens (JWTs)
Migrando da Verificação de Identidade para Segurança do Messenger com JWTs
Respondeu à sua pergunta?