Strona główna Media społecznościowe Czy powinieneś pomyśleć dwa razy przed zalogowaniem się przy użyciu kont społecznościowych?

Czy powinieneś pomyśleć dwa razy przed zalogowaniem się przy użyciu kont społecznościowych?

  • Lesley Fowler
  • 0
  • 3931
  • 211
Reklama

Wydaje się, że za każdym razem, gdy rejestrujesz się w nowej usłudze, możesz wybrać nazwę użytkownika i hasło lub po prostu zalogować się na Facebooku lub Twitterze. Często można też zalogować się na swoje konto Google. Jest szybki i łatwy. Ale powinieneś to zrobić?

Jak to działa?

Logowanie przy użyciu konta społecznościowego korzysta z protokołu o nazwie OAuth, który (w skrócie) pozwala jednej aplikacji lub usłudze (żądającemu lub usłudze, na którą się rejestrujesz) połączyć się z inną (usługodawcą lub istniejącą siecią, którą „ używasz do rejestracji) i działaj w Twoim imieniu. Odbywa się to poprzez wydanie “tokeny” do żądającej aplikacji. Tokeny te działają trochę podobnie do twojej nazwy użytkownika i hasła, ponieważ zapewniają aplikacji żądającej dostęp do usługi chronionej hasłem (np. Facebook).

Ważne jest tutaj to, że twój rzeczywisty nazwa użytkownika i hasło nigdy nie są przekazywane między aplikacjami, a aplikacja żądająca dostępu ma dostęp tylko do ograniczonej części twojego konta chronionego hasłem.

Spójrzmy na szybki przykład. Załóżmy, że używasz Blurb, aby zamienić swoje zdjęcia z Facebooka w książkę. Trzy proste sposoby, aby zamienić Facebooka w prawdziwą książkę [Tygodniowa wskazówka na Facebooku] Trzy proste sposoby, aby zamienić Facebooka w prawdziwą książkę [Tygodniowa wskazówka na Facebooku] Czy kiedykolwiek chciałeś zrobić prawdziwą książkę na temat tego, co masz na Facebooku? Może masz krewnych, którzy nie są na Facebooku, ale chcieliby zobaczyć zdjęcia, które umieściłeś… Idziesz do Blurb (requester) i mówisz, że chcesz wydrukować zdjęcia z Facebooka. Blurb przekierowuje Cię z powrotem do Facebooka (usługodawcy), gdzie wpisujesz swoje dane logowania (wysłane bezpośrednio do Facebooka, a nie Blurb) i informujesz Facebooka, że ​​dajesz Blurbowi pozwolenie na dostęp do twoich zdjęć. Teraz Blurb może pobrać te zdjęcia, aby można je było wydrukować. Jeśli Blurb spróbuje uzyskać dostęp do osi czasu, zostanie odrzucony, ponieważ token, który ma, daje mu dostęp tylko do twoich zdjęć i profilu publicznego.

OAuth nigdy nie udostępnia Twojej nazwy użytkownika ani hasła aplikacji, która o to prosi, ponieważ zachowanie nazwy użytkownika i hasła w tajemnicy zapewnia im bezpieczeństwo. Aby zatrzymać dostęp do konta przez aplikację lub usługę, wystarczy kliknąć “cofnąć dostęp,” zamiast zmiany hasła.

Czy to jest bezpieczne?

Ok, więc do tej pory proces wydawał się dość prosty. Ale jak bezpieczne? Czy powinniśmy się martwić o bezpieczeństwo witryn OAuth?

Z punktu widzenia bezpieczeństwa OAuth wygląda całkiem nieźle. Najgorszy scenariusz nadal nie skutkuje ujawnieniem haseł społecznościowych. A możliwość natychmiastowego cofnięcia dostępu do dowolnej aplikacji, która ma token, oznacza, że ​​nawet jeśli witryna zostanie zhakowana, a niektóre nikczemne postacie zdobędą wszystkie dane tokena, możesz po prostu nacisnąć przycisk cofnięcia dostępu, a oni nie będą mieli dostęp do Twojej witryny społecznościowej.

To, że dzielisz dostęp tylko do określonego podzbioru danych na swojej stronie społecznościowej, jest również bardzo atrakcyjne - jeśli ktoś włamie się do Snapfisha i uzyska dostęp do twoich zdjęć na Facebooku, nie powinieneś się zbytnio martwić ( dbanie o publikowane zdjęcia, prawda?).

Pomimo niedawnego dramatycznego odkrycia luki w zabezpieczeniach w OAuth, system jest całkiem niezły.

Jednak bezpieczeństwo online to coś więcej niż tylko szyfrowanie i tokeny. Jednym z najlepszych sposobów zapewnienia bezpieczeństwa w Internecie jest stosowanie dobrych praktyk dotyczących haseł. I OAuth bardzo w tym pomaga. W jaki sposób? Będąc w stanie zalogować się za pomocą Twittera lub Google, nie musisz jeszcze tworzyć inne hasło, które musisz zapamiętać. Jeśli masz bardzo bezpieczne hasło do Facebooka, możesz użyć go, aby uzyskać dostęp do wielu rzeczy bez używania tego samego hasła do większej liczby stron.

Jest to wyraźna zaleta OAuth - a fakt, że ograniczasz liczbę stron internetowych z hasłami, jest dużym plusem.

Ważne jest również, aby wspomnieć, że witryny uzyskujące dostęp do twoich profili społecznościowych nie mogą podejmować żadnych poważnych działań - nie są w stanie usunąć twojego konta, zmienić hasła ani dokonać żadnych innych dużych zmian. Co jest pocieszające.

Jakie ryzyko podejmujesz?

Niestety, nic nie jest proste, jeśli chodzi o bezpieczeństwo online. Korzystanie z protokołu OAuth wiąże się z pewnym ryzykiem, związane głównie z prywatnością.

Na przykład, jak często poświęcasz czas, aby naprawdę spojrzeć na uprawnienia, które dajesz podczas korzystania z Facebook Connect? Podczas gdy aplikacje powinny prosić o dostęp tylko do informacji, których potrzebują, aby lepiej Ci służyć, często proszą o więcej - na przykład o oś czasu, informacje o znajomych i możliwość publikowania, na przykład.

Czasami jest to dobra rzecz - możesz zintegrować Twittera z aplikacją do kontaktów lub czytnikiem wiadomości. Lub możesz opublikować wyniki treningu z RunKeeper Śledź swoje cele treningowe podczas treningu z RunKeeper [Android] Śledź swoje cele treningowe podczas treningu z RunKeeper [Android] W pobliżu MakeUseOf, uwielbiamy znajdować aplikacje i inne motywacje online aby zachować formę i zdrowie. Po sprawdzeniu tych aplikacji fitness za każdym razem RunKeeper zawsze okazuje się jednym z najlepszych. To… lub MapMyFitness. Ale w uprawnieniach nie ma niczego, co powstrzymałoby aplikację lub usługę przed publikowaniem, co tylko zechce. Nie ma “tylko wyniki ankiety” opcja. Musisz tylko zaufać, że aplikacja będzie publikować tylko to, co chcesz lub powiedzą, a nie reklamy.

I możesz rozdawać więcej informacji, niż się spodziewałeś. Kogo to obchodzi, jeśli Twój ulubiony sklep widzi to, co publikujesz na Facebooku, prawda? Cóż, mogą uzyskiwać więcej informacji, niż sobie wyobrażałeś.

Na przykład na konferencji w 2012 r. Japońska firma katalogowa mówiła o tym, jak wykorzystywała informacje z profilu na Facebooku użytkownika do wnioskowania “o klientach “etap życia” (niezależnie od tego, czy są w związku małżeńskim, czy niezamężnym, w ciąży, odchudzają się, planują przyjęcie itp.) “gospodarstwo domowe” (jeśli mają dziecko, starzejącego się rodzica, zwierzaka, mieszkanie itd.) i “osobowość” (czy zajmują się wolontariatem, wróżeniem, jedzeniem, podróżami, sportem, bieganiem itp.?).”

Członek zespołu marketingowego stwierdził, że zespół “mogą poznać tło życia naszych klientów - ich styl życia i psychologię. Następnie możemy odpowiednio ukierunkować nasze katalogi. I możemy przewidzieć, kiedy ktoś potrzebuje produktu na podstawie tego, co mówią w mediach społecznościowych.”

Nie sądziłeś, że udostępniasz tyle informacji, prawda??

Oczywiście masz pełną kontrolę nad tym, co udostępniasz firmie za pomocą loginów społecznościowych i ile może ona dla Ciebie opublikować - ale tylko jeśli poświęcisz trochę czasu na przeczytanie uprawnień, o które proszą. I nie dawaj dostępu do rzeczy, które wolisz zachować prywatność. Ale to nie zawsze jest łatwe, ponieważ niektóre aplikacje i usługi wykorzystują teraz logowanie tylko na Facebooku lub Twitterze, co oznacza, że ​​jeśli nie wyrażasz zgody na ich uprawnienia, nie będziesz mógł korzystać z usługi.

Lekcje na wynos: co należy zrobić?

Podobnie jak w przypadku większości rzeczy, historia logowania przy użyciu kont społecznościowych ma dwie strony. Zasadniczo jest to dość bezpieczne i faktycznie masz dużą kontrolę nad ilością udostępnianych informacji.

Z drugiej strony możesz dawać dużo kontroli, jeśli nie jesteś ostrożny. Więc co powinieneś z tym zrobić?

  • Przeczytaj wnioski o pozwolenie przed ich przyznaniem.

Jest to ważne i będzie coraz ważniejsze, gdy usługi sieciowe staną się bardziej zintegrowane. Jeśli nie chcesz, aby aplikacja gromadząca dane o Twoich znajomych z Facebooka, nie zezwalaj jej na dostęp do Facebooka.

  • Często sprawdzaj uprawnienia aplikacji.

Na Facebooku przejdź do karty Aplikacje na ekranie Ustawienia. Na Twitterze przejdź również do karty Aplikacje w Ustawieniach. Google jest nieco trudniejszy: wejdź na accounts.google.com, następnie kliknij Bezpieczeństwo, a następnie Wyświetl wszystko w sekcji Uprawnienia do konta. Sprawdź, które aplikacje mają dostęp do twoich danych i cofnij dostęp do tych, których już nie używasz. A jeśli zobaczysz aplikację, która ma więcej uprawnień niż powinna, rozważ cofnięcie dostępu i sprawdzenie, czy możesz zalogować się do tej usługi przy użyciu tradycyjnej nazwy użytkownika i hasła.

Aby przyspieszyć ten proces, możesz użyć MyPermissions Too Many Apps? Jak odwołać uprawnienia aplikacji z wielu witryn w ciągu 2 minut za dużo aplikacji? Jak cofnąć uprawnienia aplikacji z wielu stron internetowych w ciągu 2 minut Świat online oferuje wiele problemów związanych z prywatnością. Wszyscy wiemy, że nie powinniśmy publikować prywatnych rzeczy na Facebooku, nie możemy zapisywać naszego adresu e-mail w widocznych miejscach i naprawdę powinniśmy zwracać uwagę, ponieważ…, który pomaga zarządzać swoimi uprawnieniami na Facebooku, Twitterze, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox i wiele innych.

  • Pomiń uprawnienia i ustaw dozwolonych odbiorców do udostępniania.

Jeśli aplikacja prosi o pozwolenie na udostępnianie w Twoim imieniu za pośrednictwem serwisu społecznościowego, możesz mieć możliwość odmowy udzielenia tego pozwolenia (zobaczysz to na Facebooku, gdy zobaczysz “Pominąć” przycisk). Jeśli to jest opcja, użyj jej! Możesz także ustawić odbiorców dla dozwolonego udostępniania - na przykład możesz udostępnić wszystkim znajomym, niestandardowym odbiorcom lub tylko sobie.

  • Traktuj wnioski o uprawnienia inaczej w zależności od konta.

Co publikujesz na Instagramie? Co publikujesz na Twitterze? Prośba o przeczytanie twoich postów na Foursquare może być o wiele mniej przerażająca niż przyznanie “Utwórz i wyślij nową pocztę” uprawnienia do konta Gmail.

  • Regularnie zmieniaj hasła.

Po zmianie haseł wiele tokenów OAuth zostanie natychmiast unieważnionych, co wymagać będzie ponownego zalogowania się i ponownego zatwierdzenia tokenów. O ile udało mi się dowiedzieć, Gmail i Facebook unieważniają tokeny po zmianie hasła, ale Twitter i Google+ tego nie robią. W przypadku tych innych usług musisz cofnąć dostęp, a następnie ponownie wydać uprawnienia.

Wniosek: Wygoda za cenę

Logowanie się do witryn i usług przy użyciu poświadczeń społecznościowych zapewnia dużą wygodę, a nawet bezpieczeństwo. Ale to mogą być ryzykownym, zarówno z punktu widzenia prywatności, jak i - w mniejszym stopniu - z punktu widzenia bezpieczeństwa. Ale jeśli zastosujesz się do pięciu powyższych wskazówek bezpieczeństwa, powinieneś dawać tylko te uprawnienia, które zamierzasz.

Jak często korzystasz z danych logowania społecznościowego w innej witrynie? Czy czujesz się bezpiecznie? Czy regularnie czytasz i ponownie sprawdzasz uprawnienia? Podziel się swoimi przemyśleniami poniżej!




Jeszcze bez komentarzy

Twoje Amazon Echo ma teraz korektor dźwięku
Nowości techniczne
Snap Kills Snapcash, jego usługa płatności peer-to-peer
Nowości techniczne
Instagram pokazuje teraz znajomym, kiedy jesteś online
Nowości techniczne
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.