SEGURANÇA NÃO É UM JOGO PARA A TWITCH.TV

Fundada em 2011, a Twitch é mais do que uma experiência de visualização, é um vídeo social. A Twitch usa áudio e bate-papo para permitir que os streamers e seu público interajam em tempo real sobre tudo, desde jogos e cultura pop até a vida em geral.

Para milhões de pessoas que acessam a Twitch todos os dias para interagir com paixões compartilhadas, a confiança é fundamental. “Levamos a nossa comunidade muito a sério”, disse Sudesh Peram, gerente de produtos da Twitch. “Temos dois tipos de usuários: pessoas que criam o conteúdo e pessoas que consomem o conteúdo. Nossos criadores de conteúdo ganham a vida pela transmissão na nossa plataforma, então a segurança é uma prioridade para nós, uma vez que a subsistência das pessoas depende dela.”

Parem continuou: “A Twitch é uma plataforma muito mais séria do que era há dez anos. É por isso que a segurança é tão importante para nós. Os principais criadores podem ganhar centenas de milhares de dólares por ano, e há pressão sobre eles para que transmitam continuamente. Se não o fazem, perdem espectadores e dinheiro. É aí que a segurança entra em cena. Queremos que os criadores publiquem conteúdo no prazo e mantenham a audiência.”

Outro motivo essencial para a segurança sem erros na Twitch é proteger as identidades dos usuários. “A maioria dos nossos usuários tem identidades alternativas”, disse Parem. “Quando um usuário entra na Twitch com uma identidade alternativa, ele sente que pode viver essa identidade no mundo dos jogos. Levamos isso a sério. Os usuários devem confiar totalmente em nossa plataforma.”

Para proteger as identidades de seus usuários, a Twitch conta com um sistema de ID sincronizado e o Twilio Authy. “Qualquer plataforma com esse volume e essa escala é a principal vulnerabilidade da conta de usuário”, explicou Parem: “Sabíamos que precisávamos manter nossos usuários seguros de situações como sequestro de contas e roubo de senhas, mesmo que isso causasse atrito no login. Os benefícios superam as dificuldades.”

Antes de integrar o Authy à plataforma, a equipe da Twitch tinha uma grande decisão pela frente: ela deveria criar ou comprar? A empresa sabia que poderia criar um sistema de segurança próprio, mas seria um empreendimento grande em termos de custo e recursos, desde o desenvolvimento e a integração, até a transformação em uma solução escalável e, acima de tudo, a manutenção da confiança. Parem observou que “criar uma 2FA própria não era essencial para o nosso negócio. Não queríamos gastar muito tempo fazendo tudo isso quando sabíamos que já havia soluções personalizáveis no mercado.”

Tomada de decisão, a equipe examinou as prioridades e estabeleceu critérios para identificar o provedor de soluções certo. Confiabilidade, suporte a várias plataformas, autoatendimento e suporte ao cliente foram critérios essenciais a se considerar. “Temos usuários em todos os diferentes tipos de plataformas, incluindo uma grande presença no Android e no iOS. Nossos criadores usam PCs ou Macs. Precisávamos de uma solução que funcionasse em todas as plataformas”, comentou Parem.

O autoatendimento foi outro fator decisivo. “Não queremos que nossos usuários sejam bloqueados. Se perderem o telefone, eles têm que ser capazes de usar o computador. Sempre que recebemos uma chamada de atendimento ao cliente, isso custa dinheiro e tempo de processamento e, às vezes, não conseguimos chegar ao problema imediatamente. Por isso, não queremos que nossos usuários fiquem rendidos.”

A Twitch acreditou que o Twilio Authy era a escolha correta. “A Twilio atendeu a todos os nossos critérios. Estamos satisfeitos com a multiplataforma e com o autoatendimento. Eu mesmo usei o autoatendimento. É muito fácil redefinir o telefone antigo e usar um novo imediatamente”, disse Parem.

A implementação foi muito mais fácil do que a Twitch imaginava. “Fizemos um piloto na conta da equipe por alguns meses, testamos e nos sentimos confortáveis com ele. A verdadeira diversão foi quando começamos a usá-lo para produtos regulares, como a Twitch.tv.” De acordo com Parem, o Twilio Authy é o produto mais fácil que ele já usou em termos de APIs. Levou apenas alguns dias para colocar o produto em dia para prova de conceito e, a partir daí, foram poucas semanas para implantar o serviço em toda a plataforma.

Parem e sua equipe também gostam da documentação da Twilio, do atendimento ao cliente e de outros recursos para desenvolvedores. “Nós não precisávamos deles, mas ficamos satisfeitos em saber que estavam lá”, comentou.

Parem tem alguns conselhos veementes para outros gerentes de produto ao ponderar soluções de segurança: “A Twitch é um serviço que teve um aumento de centenas de milhões de usuários em um período bastante curto. Não importa o tamanho da sua plataforma, crie a 2FA assim que você lançar o serviço. Na primeira vez que uma conta é invadida e o usuário reclama no Twitter, a mensagem afeta diretamente a sua empresa. Ao ver como uma violação pode afetar os resultados, você começa a levar a sério.”

Ele recomenda que as plataformas integrem a 2FA como parte do fluxo normal de usuários ao configurar a nova experiência. “Tente otimizar para obter cadastros da maneira mais fácil possível. A adição de outra camada é sempre um desafio, mas, ao atingir uma massa crítica e reunir milhões de usuários, você vai querer que seu sistema seja estável e que sua comunidade fique segura.”

A Twitch está ativamente concentrada em aumentar a adoção da 2FA entre seus criadores. A redução do atrito para os usuários é sempre o mais importante. “Gostamos do conceito de ‘Um toque’. Nossos usuários fazem login diariamente, e preferimos que eles tenham apenas uma solicitação para aceitar ou negar. Isso facilita muito mais do que olhar para um código e digitá-lo todos os dias”, explicou Parem. “Quando percebem como a configuração foi fácil para nós e percebem a segurança adicional, bem como os benefícios para o usuário, eles também começam a usar.”