A Verificação de Identidade garante que as conversas entre você e seus users sejam mantidas privadas, e que um agente mal-intencionado não possa se passar pelos seus users. Se você tem uma integração do Messenger com users logados, recomendamos fortemente que use a Verificação de Identidade.
⚠️ A Verificação de Identidade agora está obsoleta.
A Verificação de Identidade foi descontinuada e a chave secreta de verificação de identidade não está mais exposta. Usar o segredo do app client para gerar um user_hash resultará em um erro de user_hash inválido. JWT (JSON Web Token) é agora o método recomendado para proteger o Messenger. Veja o guia de configuração do JWT para as melhores práticas atuais.
Eu preciso da Verificação de Identidade?
Resumindo, se você tem uma integração do Messenger com users logados, deve configurar e aplicar a Verificação de Identidade.
Se você usa o Intercom apenas para visitantes do site que não fazem login, não precisa da Verificação de Identidade. Ela se aplica apenas a users, para os quais você tem identificadores como endereço de email ou user_id.
Para mais informações, veja: Como funcionam visitantes, leads e users no Intercom?
O que é um ataque de personificação de user?
Em workspaces sem Verificação de Identidade, é possível que um agente mal-intencionado se passe por um user. Isso significa que ele poderia ver conversas históricas do user, aparecer para seus colegas como esse user e enganá-los para que tomem ações na conta desse user.
Por exemplo, sem Verificação de Identidade, alguém pode interagir com seu Intercom Messenger e falsificar a identidade de outro user, fornecendo um identificador conhecido como endereço de email ou user_id. Isso permite que um atacante se passe por um user real para seus colegas, dando acesso a conversas anteriores e potencialmente dados sensíveis.
Como a Verificação de Identidade protege meu workspace?
Com a Verificação de Identidade, você gera um hash único para cada um dos seus users baseado no endereço de email ou user_id deles e no segredo de verificação de identidade do seu workspace (disponível nas configurações de segurança do Intercom). Sua integração gerará e enviará esses hashes junto com cada requisição do Messenger, permitindo que confiemos que a requisição do user veio realmente de você.
Veja como suas requisições do Messenger web são protegidas contra personificação quando você habilita corretamente a Verificação de Identidade para seu workspace.
A Verificação de Identidade previne a personificação cruzada de users no seu workspace porque, sem acesso ao seu segredo, um terceiro tentando falsificar o identificador de um user para o Intercom não conseguirá enviar um user_hash válido para esse user.
Uma vez que a Verificação de Identidade é aplicada, o Intercom Messenger não carregará nem aceitará requisições para seus users logados sem um user_hash válido.
A Verificação de Identidade afeta a experiência do user?
Com a Verificação de Identidade configurada corretamente, não há impacto para seus clientes. Users e Leads experimentarão o Messenger normalmente. Não é necessária nenhuma ação extra deles para se autenticar ou usar o Messenger.
Qual é a diferença entre Leads e Users?
O Intercom faz uma distinção clara entre:
Visitors - clientes desconhecidos do seu site que não estão logados e não têm histórico de conversa com você,
Leads - clientes que iniciam uma conversa com você ou respondem a uma mensagem. Eles são identificados por nomes como “Charcoal Umbrella from Paris” e recebem um cookie do Intercom para lembrar seu histórico de conversa,
Users - clientes que se cadastram no seu produto e fazem login em uma conta existente. Você geralmente os identifica pelo endereço de email ou user ID
Para mais informações, veja: Como funcionam visitantes, leads e users no Intercom?
Quando um Lead se torna um User?
Um Lead é convertido em User quando qualquer uma das seguintes ações ocorre:
O Lead se cadastra no seu produto.
O Lead faz login em uma conta existente. Após essa transição, todo o histórico de interação do perfil do Lead é mantido e mesclado no perfil do User. No entanto, ações como adicionar um Lead como participante em um email não o convertem automaticamente em um perfil de User.
Por que podem ser criados IDs duplicados de Lead?
O Intercom usa cookies para rastrear Leads. Em alguns casos, IDs duplicados de Lead podem ser gerados para a mesma pessoa em situações como:
Uso de navegação privada/incógnita.
Acesso ao sistema através de uma Rede Privada Virtual (VPN).
Quando os cookies expiram ou são apagados manualmente. Esse comportamento pode resultar em múltiplos perfis para a mesma pessoa se seus identificadores como email não forem consistentes.
Eu preciso configurar a Verificação de Identidade para visitantes?
Quando o Intercom está instalado para visitantes do site que não fazem login, você não precisa da Verificação de Identidade. Ela se aplica apenas a users, para os quais você tem identificadores como endereço de email ou user_id.
Em outras palavras, quando você habilita a verificação de identidade para seu workspace, o Intercom só esperará um user_hash quando o Messenger for carregado para um user. Porém, quando o Messenger for carregado para um visitor/lead deslogado, um user_hash não é necessário.
Por que vocês não têm um segredo único para todas as plataformas?
Criamos um segredo único para cada plataforma para facilitar a rotação de cada um ou habilitar a Verificação de Identidade em cada plataforma independentemente.
Antes era possível gerenciar e rotacionar suas chaves nas configurações de segurança do Messenger. A chave secreta de verificação de identidade não está mais exposta. JWT é agora o método recomendado para proteger o Messenger. Veja o guia de configuração do JWT para começar.
Como gerar um hash único por plataforma quando uso o mesmo backend para todos os users?
Você não deve gerar o hash e armazená-lo no seu banco de dados. Deve gerá-lo e enviá-lo dinamicamente ao identificar o user para o Intercom. Isso significa que, quando você mudar os segredos ou o user usar uma plataforma diferente, o hash correto será enviado.
Se você armazenar o hash e enviá-lo, terá que fazer uma regeneração em massa sempre que mudar seu segredo, o que causaria atrito para você.
Se você instalou o Intercom com a gem rails, não precisa gerar um hash no seu servidor e enviá-lo junto com os dados do user. A gem cuida da geração do hash desde que os passos relacionados ao segredo sejam seguidos conforme indicado na interface.
A Verificação de Identidade protege tanto os valores de user_id quanto de endereço de email?
Não, a Verificação de Identidade exige que você crie um hash único usando o segredo e o user_id ou endereço de email do user. Se você enviar user_ids nas requisições do Messenger, deve criar o hash usando esse identificador. Se não enviar user_ids, gere com o campo de endereço de email.
✅ A Verificação de Identidade não protege atributos, mas temos um recurso melhorado para usar JWTs que permite proteger todos os atributos.
Veja mais aqui:
Quais são todos os domains em 'Integrações Ativas com Users logados'? Eu não os reconheço.
Estes são os domains dos quais recebemos uma requisição de User com o ID do seu workspace. Pode incluir domains extras se você instalou o Intercom em outros domains para testes. Se contiver domains que você não reconhece, recomendamos adicionar uma Lista de Domains Confiáveis.
Não é possível remover domains desta lista no momento, mas se você vê um domain aqui, significa que recebemos um ping dele em algum momento, então é bom garantir que sua integração está configurada corretamente para não quebrar o Messenger para alguns dos seus users.
Saiba como configurar e habilitar a Verificação de Identidade para web e mobile.