Являются ли сторонние социальные логины безопасными и приватными?

Являются ли сторонние социальные логины безопасными и приватными?

Являются ли сторонние социальные логины безопасными и приватными?

Создание учетных записей вручную — это боль: мы просто хотим получить доступ к службам приложения, а не тратить пять минут на настройку электронной почты, паролей и базовой информации. Вот почему кнопки «Войти с помощью Facebook» и «Войти с помощью Google» стали так распространены в Интернете.

Пользователям нравится этот метод федеративного входа, поскольку он значительно упрощает создание учетных записей, а веб-сайты / приложениям это нравится, потому что они могут получить больше пользователей, чтобы зарегистрировать учетные записи. Поскольку вы можете создавать учетные записи с помощью Google, Facebook, Twitter, Microsoft, LinkedIn, Github, WeChat, ВКонтакте, Weibo и других, есть вероятность, что вы воспользовались одним из этих сервисов, но также недолго задаетесь вопросом, хорошая ли это идея. Вы правы удивляться: да, это удобно, но когда дело доходит до безопасности, есть компромиссы, и это, по сути, улица с односторонним движением в плане конфиденциальности.

Как работают социальные логины?

Не каждая система работает одинаково, но базовый процесс довольно универсален. Большинство сторонних служб входа в систему используют некоторую комбинацию протоколов OpenID и OAuth. OpenID имеет дело с авторизацией пользователей (вход в Facebook подтверждает вашу личность на сайте, который вы пытаетесь использовать), а OAuth определяет, как другие сайты могут получить доступ к вашим данным (имя, возраст, интересы, друзья и т. Д.).

В процессе входа в систему участвуют три основных игрока:

  • Пользователь (это вы!) запрос доступа к приложению или сайту
  • Приложение или сайт, к которым пользователь хочет получить доступ
  • Авторизатор, который подтверждает вашу личность и контролирует доступ к вашим данным (Facebook, Google и т. д.) .)

Типичный социальный вход происходит следующим образом:

  • Пользователь нажимает кнопку «Войти с помощью ____».
  • Приложение открывает ссылка с просьбой Пользователя зайти на сайт Авторизатора. Ссылка содержит информацию, сообщающую Авторизатору, какой сайт делает запрос.
  • Пользователь вводит свое имя пользователя и пароль на сайт Авторизатора, что означает, что Приложение никогда не увидит вашу информацию.
  • Авторизатор генерирует одноразовый код и отправляет его в приложение.
  • Приложение затем отправляет этот код авторизатору с запросом доступа к API авторизатора.
  • авторизатор проверяет код и выдает приложению токен (обычно с ограничением по времени), который позволяет приложению запрашивать у авторизатора определенную информацию о пользователе.
  • Security Pro: социальные логины могут быть более безопасными, чем логины с паролем электронной почты

    Социальные логины так же безопасны, как и компании, которые ими управляют, что, учитывая, что они являются одними из крупнейших технологических компаний в мире, ставит их в «довольно хорошее» Категория. Вы не видите взлома Facebook и Google влево и вправо, в основном потому, что они заботятся о своей кибербезопасности и вкладывают в нее гораздо больше средств, чем ваша обычная розничная сеть.

    Если вы используете федеративную регистрационную информацию, сайт, на котором вы создаете учетную запись, никогда не получает доступ к вашему имени пользователя и паролю, то есть никто не может украсть вашу учетную запись (хотя они могут получить некоторую связанную информацию).

    Вы также не вводите свои пароли повсеместно, и, учитывая, что мы склонны часто использовать наши пароли, это хорошо. В любом случае, мы, вероятно, не следуем наилучшим методам паролей, поэтому, чем меньше мы распространяем нашу плохую защиту, тем лучше.

    Безопасность: если ваш социальный логин не работает, ваши учетные записи тоже будут

    Так что, если Facebook и Google будут взломаны или кому-то удастся проникнуть в ваш аккаунт? В прошлом у обеих компаний были проблемы с данными (Cambridge Analytica, Google+), и LinkedIn был взломан, так что у крупных технологий на самом деле нет 100% -ного послужного списка.

    Может ли кто-то из ваших социальных сетей медиа-логин просто притворяется, что вы в каждом приложении и на каком сайте вы использовали социальные сети? В основном да. Независимо от того, является ли это общесистемным нарушением безопасности, слабым паролем или вредоносным программным обеспечением на вашем компьютере, ожидающим входа в Facebook, любой пользователь с вашими учетными данными может выдать себя за другое приложение. Это делает социальные входы в систему единственной точкой отказа, создавая возможный эффект домино, если ваша авторизационная учетная запись нарушена.

    Это означает, что многое зависит от наших учетных записей социальных сетей, сохраняя безопасность.Facebook, Google и Twitter прилагают все усилия, чтобы сделать это, но даже если они держат конец, они могут сделать очень многое, если ваш пароль 123456789 (ознакомьтесь с этими советами для надежного пароля), и вы сохраните свою учетную запись в журнале на общих или физически доступных устройствах. Если вы используете социальную регистрацию, вы должны обращаться с ней как с ключом к любой учетной записи, к которой он имеет доступ.

    Конфиденциальность

    Это будет короткий раздел, потому что на самом деле нет никаких преимуществ для конфиденциальности пользователей. Социальные логины не просто передают ваши данные тому, кто их запрашивает, это минимум, который вы ожидаете, но вы почти всегда будете отдавать гораздо больше личной информации, чем если бы вы просто использовали электронную почту / комбинированный пароль.

    Минусы конфиденциальности: все узнают о вас больше

    В зависимости от того, какую службу вы используете, вы в большей или меньшей степени можете контролировать, какие приложения для обработки данных разрешено вытягивать из ваших социальных профилей. Легко выдать больше, чем вы предполагаете, и приложения могут запрашивать все, что они хотят, зная, что большинство пользователей, вероятно, по умолчанию выберут «Да». Ваши друзья, местоположение, история публикаций, интересы и другая часть личной информации может быть легко удалено без вашего ведома.

    С другой стороны, помните, что большинство компаний, предоставляющих вам услуги входа, очень заинтересованы в сборе дополнительных данных о вас.Они хотели бы знать, какие приложения вы используете, как часто вы их используете, и даже более детальную информацию о том, что вы делаете в них, и использование их для входа в систему, по сути, дает эту информацию непосредственно им. Сколько именно данных Facebook и Google получают из приложений, использующих свои сервисы входа в систему, неясно, но если вам не нравится компания, потенциально много знающая о том, что вы делаете в приложении, лучше не связывать свои аккаунт в этой компании.

    Так я должен использовать социальные логины?

    Социальные логины могут быть более безопасными во многих случаях, особенно если вы соблюдаете осторожность Ваши основные учетные записи довольно плотно заблокированы, и вы не уверены, что приложение или сайт имеют лучшую кибербезопасность. На самом деле безопаснее войти в схематичное приложение или сайт с социальным входом в систему, поскольку вы не откажетесь от пароля, который, возможно, будете повторно использовать на нескольких сайтах. Тем не менее, если вы создаете учетную запись, содержащую потенциально конфиденциальную информацию в надежно защищенном сервисе, сильная комбинация электронной почты и пароля — ваш лучший выбор.

    Что касается конфиденциальности, то это личное решение. Если вы не хотите, чтобы приложение знало о вас больше, чем нужно, не входите в систему через Facebook. Это в равной степени относится и к другому направлению: не используйте сторонний авторизатор, если вы не удовлетворены тем, что эта третья сторона собирает некоторые дополнительные данные о вас.

    Изображение предоставлено: значок конфиденциальности пользователя, защита сотового телефона, кибербезопасность смартфона, 3D-иконки для социальных сетей

    Эта статья полезна? Да Нет Комментарии (1)

    • Facebook
    • Tweet
    0 ответы

    Ответить

    Хотите присоединиться к обсуждению?
    Не стесняйтесь вносить свой вклад!

    Добавить комментарий