¿Cómo protegen mi cuenta de accesos no autorizados?
Las contraseñas deben cumplir con los requisitos de longitud y complejidad, y se almacenan como hashes unidireccionales; ni siquiera nuestro personal puede ver su contraseña real. Las sesiones inactivas se cierran automáticamente después de un período de inactividad. Monitoreamos patrones de inicio de sesión inusuales (un país nuevo repentino, múltiples intentos fallidos) y le notificamos por correo electrónico si detectamos algo sospechoso. La autenticación de dos factores opcional está disponible para los usuarios que deseen mayor seguridad en su cuenta. Si sospecha de un acceso no autorizado, cambie su contraseña de inmediato y nuestro sistema finalizará todas las sesiones activas en la cuenta.
El cifrado unidireccional de contraseñas garantiza que, incluso una brecha de seguridad completa en la base de datos, su contraseña real no se vería expuesta. El hash almacenado permite verificar que una contraseña ingresada sea correcta (mediante su cifrado y comparación), pero no se puede revertir para obtener la contraseña original. Los algoritmos de cifrado modernos hacen que la reversión por fuerza bruta sea computacionalmente inviable para cualquier contraseña razonablemente segura. Los conductores que reutilizan contraseñas en diferentes sitios web pueden usar esta cuenta con confianza: una brecha de seguridad aquí no se propagará a sus otras cuentas como suele ocurrir con la reutilización de contraseñas.
La detección de actividad inusual se ejecuta continuamente y utiliza señales como la ubicación geográfica, la huella digital del dispositivo, los patrones de tiempo de inicio de sesión y la tasa de intentos fallidos para calificar cada intento de sesión. Un inicio de sesión desde un nuevo país una hora después de un inicio de sesión exitoso desde el país de origen es sospechoso; varios intentos fallidos seguidos de un inicio de sesión exitoso son sospechosos; los inicios de sesión en horas inusuales desde dispositivos que la cuenta no ha utilizado antes son ligeramente sospechosos. El sistema se inclina por notificar en lugar de bloquear: la mayoría de los conductores prefieren un correo electrónico adicional que puedan ignorar a una cuenta bloqueada que requiera la intervención del soporte. Los conductores que deseen mejorar la protección pueden habilitar la autenticación de dos factores, que agrega un código de un solo uso de una aplicación de autenticación o SMS a cada inicio de sesión.