Měli byste si dvakrát rozmyslet před přihlášením pomocí sociálních účtů?

reklama

Vypadá to, že při každém přihlášení k nové službě si můžete vybrat uživatelské jméno a heslo nebo se jen přihlásit pomocí Facebooku nebo Twitteru. Často se také můžete přihlásit pomocí účtu Google. Je to rychlé a snadné. Ale měli byste to udělat?

Jak to funguje?

Přihlašování pomocí sociálního účtu používá protokol s názvem OAuth, který (v kostce) umožňuje jedné aplikaci nebo službě (žadatel, nebo služby, ke které se přihlašujete), abyste se připojili k jinému (poskytovatel služeb nebo stávající síť, kterou používáte k registraci) a jednali podle jménem. To se provádí vydáním „tokenů“ do žádající aplikace. Tyto tokeny fungují podobně jako vaše uživatelské jméno a heslo, protože dávají žádající aplikaci přístup ke službě chráněné heslem (např. Facebook).

Důležité je, že vaše aktuální uživatelské jméno a heslo nejsou mezi aplikacemi nikdy komunikovány a že požadující aplikace získá přístup pouze k omezené části vašeho účtu chráněného heslem.

Podívejme se na rychlý příklad. Řekněme, že používáte

Blurb proměňte své fotky na Facebooku v knihu Tři snadné způsoby, jak proměnit váš Facebook na skutečnou knihu [Týdenní tip na Facebooku]Už jste někdy chtěli vytvořit skutečnou tištěnou knihu o věcech, které máte na Facebooku? Možná máte příbuzné, kteří nejsou na Facebooku, ale rádi byste viděli obrázky, které jste vložili ... Přečtěte si více . Jdete do Blurb (žadatel) a řeknete mu, že chcete tisknout fotografie z Facebooku. Blurb vás přesměruje zpět na Facebook (poskytovatel služeb), kde zadáte přihlašovací údaje (zasláno přímo na Facebook, nikoli na Blurb) a řekněte Facebooku, že udělujete Blurb povolení k přístupu k vašemu fotky. Nyní může Blurb tyto fotografie stáhnout, aby je bylo možné vytisknout. Pokud se Blurb pokusí získat přístup k vaší časové ose, bude to odmítnuto, protože token, který má, mu dává přístup pouze k vašim fotografiím a veřejnému profilu.

OAuth nikdy nesdílí vaše uživatelské jméno nebo heslo s žádající aplikací, přičemž myšlenka spočívá v tom, že vaše uživatelské jméno a heslo v tajnosti je udržuje v bezpečí. Chcete-li zabránit přístupu žádající aplikace nebo služby k vašemu účtu, stačí kliknout na „Odebrat přístup“ namísto změny hesla.

Je to bezpečné?

Dobře, takže se zdá, že tento proces je zatím docela jednoduchý. Jak je to bezpečné? Měli bychom se obávat o bezpečnost stránek OAuth?

Z hlediska bezpečnosti vypadá OAuth docela dobře. Nejhorší scénář stále nemá za následek odhalení vašich sociálních hesel. A schopnost okamžitě zrušit přístup k jakékoli aplikaci, která má token, znamená, že i když je web napaden hackerem a je nebezpečný postavy dostanou ruce na všechna tokenová data, stačí kliknout na tlačítko odvolání přístupu a nebudou mít přístup k vaší sociální síti web.

Skutečnost, že sdílíte přístup pouze ke konkrétní podmnožině údajů na vašem sociálním webu, je také docela dobrá lákavé - pokud někdo hackne Snapfish a získá přístup k vašim fotkám na Facebooku, neměli byste se bát (vy jsou starat se o fotky, které zveřejňujete, že?).

Přes nedávné dramatizoval objev bezpečnostní chyby v OAuth, systém je docela dobrý.

V online bezpečnosti je však více než jen šifrování a tokeny. Jedním z nejlepších způsobů, jak zajistit, že jste v bezpečí online, je použití dobré postupy při používání hesel Průvodce správou heselNecítíte se zahlceni hesly, ani jednoduše nepoužívejte stejné heslo na všech stránkách, abyste si pamatovali: navrhněte si vlastní strategii správy hesel. Přečtěte si více . A OAuth s tím hodně pomáhá. Jak? Když se budete moci přihlásit pomocí Twitteru nebo Google, nemusíte se zatím vytvářet další heslo, které si musíte pamatovat. Pokud máte velmi zabezpečené heslo Facebook, můžete jej použít k přístupu k mnoha věcem bez použití stejného hesla pro více webů.

To je výrazná výhoda OAuth - a skutečnost, že omezíte počet webů, které mají vaše hesla, je velkým plusem.

Je také důležité zmínit, že weby, které přistupují k vašim sociálním profilům, nemohou podniknout žádné významné akce - nemohou váš účet smazat, změnit heslo ani provést jiné velké změny. Což je uklidňující.

Jaká rizika riskujete?

Pokud jde o zabezpečení a bezpečnost online, bohužel není nic jednoduchého. Při používání protokolu OAuth existuje určitá rizika, většinou spojená s ochranou soukromí.

Jak často například věnujete čas tomu, abyste se opravdu dívali na oprávnění, která dáváte, když používáte Facebook Connect? Přestože by aplikace měly požadovat přístup pouze k informacím, které potřebují, aby vám mohly lépe sloužit, oni často vyžadují mnohem více - vaši časovou osu, informace o vašich přátelích a schopnost zveřejňovat příspěvky příklad.

Někdy je to dobrá věc - možná budete chtít integrovat Twitter do své aplikace pro kontakty nebo do čtečky zpráv. Nebo byste mohli chtít zveřejnit výsledky cvičení RunKeeper Sledujte své tréninkové cíle při tréninku s RunKeeper [Android]Kolem MakeUseOf, jsme rádi najít aplikace a další online motivátory, aby zůstali fit a zdravý. Po prozkoumání těchto fitness aplikací čas od času se RunKeeper vždy prokáže, že je jedním z nejlepších. Své... Přečtěte si více nebo MapMyFitness. V povolení však není nic, co by aplikaci nebo službě zabránilo zveřejňovat, co chtějí. Neexistuje žádná možnost „pouze výsledky průzkumu“. Musíte pouze věřit, že aplikace zveřejní pouze věci, které chcete, nebo jim to sdělíte, nikoli reklamy.

A možná budete rozdávat více informací, než jste vyjednali. Koho zajímá, jestli váš oblíbený obchod vidí, co na Facebooku zveřejňujete, že? Mohli by získat více informací, než jste si mysleli.

Například na konferenci v roce 2012 japonská katalogová společnost mluvil o tom, jak používá informace na profilu uživatele na Facebooku, aby zjistil věci „o životní fázi zákazníka“ (ať už jsou manželé nebo nesezdaní, těhotní, diety, plánování strany atd.) „Domácnost“ (pokud mají dítě, stárnoucího rodiče, domácího mazlíčka, byt atd.) A „osobnost“ (jedná se o dobrovolnictví, věštění, jídlo, cestování, sport, běží atd.). “

Člen marketingového týmu uvedl, že tým „se může naučit životní prostředí našich zákazníků - jejich životní styl a psychologii. Poté můžeme odpovídajícím způsobem zacílit na naše katalogy. A můžeme předvídat, kdy někdo potřebuje produkt na základě toho, co říká na sociálních médiích. “

Nemyslel si, že jsi rozdával tolik informací, že?

Samozřejmě máte plnou kontrolu nad tím, co sdílíte se společností pomocí sociálních přihlášení a jak kolik mohou za vás poslat - ale pouze pokud si uděláte čas, abyste si přečetli oprávnění, která požadují pro. A nedovolte přístup k věcem, které byste raději nechali v soukromí. To však není vždy snadné, protože některé aplikace a služby nyní používají přihlášení pouze na Facebooku nebo Twitteru, což znamená, že pokud s jejich souhlasem nesouhlasíte, nebudete tuto službu moci využívat.

Lekce s sebou: Co byste měli dělat?

Jako u většiny věcí, příběh o přihlášení pomocí sociálních účtů má dvě stránky. Je to obecně docela bezpečné a ve skutečnosti máte docela dost kontroly nad tím, kolik informací sdílíte.

Na druhou stranu můžete dávat hodně kontroly, pokud si nejste opatrní. Co byste s tím měli dělat?

• Před udělením žádosti si přečtěte žádosti o povolení.

Je to důležité a bude to jen důležité, protože se webové služby začnou více integrovat. Pokud nechcete, aby aplikace shromažďovala data o vašich přátelích na Facebooku, neumožněte mu přístup na Facebook.

• Oprávnění aplikace často kontrolujte.

Na Facebooku přejděte na Karta Aplikace na obrazovce Nastavení. Na Twitteru přejděte na Karta Aplikace v Nastavení, také. Google je o něco složitější: přejděte na accounts.google.com, potom klikněte na Zabezpečení a poté Zobrazit vše v rámci oprávnění účtu. Podívejte se, které aplikace mají přístup k vašim datům, a zrušte přístup u těch, které již nepoužíváte. A pokud vidíte aplikaci, která má více oprávnění, než by měla, zvažte zrušení přístupu a zkontrolujte, zda se můžete do této služby přihlásit pomocí tradičního uživatelského jména a hesla.

Chcete-li tento proces urychlit, můžete používat MyPermissions Příliš mnoho aplikací? Jak zrušit oprávnění aplikace z více webů za 2 minutyOnline svět nabízí mnoho obav o soukromí. Všichni víme, že na Facebooku bychom neměli zveřejňovat soukromé věci. Nesmíme zapisovat naši e-mailovou adresu na nápadných místech a opravdu bychom měli věnovat pozornost, protože ... Přečtěte si více , což vám pomůže spravovat svá oprávnění na Facebooku, Twitteru, Google, Yahoo, LinkedIn, Foursquare, Instagramu, Dropboxu a dalších.

• Přeskočte oprávnění a nastavte přípustné publikum pro sdílení.

Pokud aplikace požádá o povolení sdílení ve vašem zastoupení prostřednictvím sociální služby, možná budete mít příležitost toto povolení neudělit (toto uvidíte na Facebooku, když uvidíte tlačítko „Přeskočit“). Pokud je to možnost, použijte ji! Můžete také nastavit publikum pro povolené sdílení - můžete například sdílet se všemi svými přáteli, s vlastním publikem nebo jen se sebou.

• Zpracovávejte žádosti o oprávnění odlišně na základě účtů.

Co zveřejňujete na Instagramu? Co zveřejňujete na Twitteru? Žádost o přečtení příspěvků ze služby Foursquare může být mnohem méně děsivá než udělení oprávnění „Vytvořit a odeslat novou poštu“ vašemu účtu Gmail.

• Pravidelně měňte svá hesla.

Když změníte hesla, bude několik tokenů OAuth okamžitě zneplatněno, což vyžaduje, abyste se znovu přihlásili a znovu schválili. Pokud se mi podařilo zjistit, Gmail a Facebook zruší tokeny, když změníte heslo, ale Twitter a Google+ ne. U těchto dalších služeb bude třeba zrušit přístup a znovu vydat oprávnění.

Závěr: Pohodlí za cenu

Přihlašování k webům a službám pomocí sociálních údajů vám přináší spoustu pohodlí a dokonce i trochu zabezpečení. Ale to umět být riskantní, a to jak z hlediska ochrany soukromí, tak z menšího hlediska. Pokud však praktikujete výše uvedených pět bezpečnostních tipů, měli byste dávat pouze oprávnění, která chcete.

Jak často používáte své sociální přihlašovací údaje na jiném webu? Cítíte se v bezpečí? Pravidelně čtete a znovu kontrolujete oprávnění? Podělte se o své myšlenky níže!

Obrazové kredity: Marc Falardeau přes Flickr, Rob Pongsajapan přes Flickr, Iván Melenchón Serrano přes MorgueFile