Publicitate

Se pare că de fiecare dată când vă înscrieți pentru un nou serviciu, puteți alege să alegeți un nume de utilizator și o parolă sau să vă autentificați doar cu Facebook sau Twitter. Conectarea cu contul dvs. Google este adesea o opțiune. Este rapid și este ușor. Dar ar trebui să o faci?

Cum functioneazã?

Conectarea folosind contul dvs. social utilizează un protocol numit OAuth, care (pe scurt) permite o aplicație sau un serviciu (solicitantul sau serviciul la care vă înscrieți) pentru a vă conecta la altul (furnizorul de servicii sau rețeaua existentă pe care o utilizați pentru a vă înscrie) și a acționa asupra dvs. în numele. Acest lucru se realizează prin emiterea de „jetoane” către aplicația solicitantă. Aceste jetoane funcționează cam ca numele de utilizator și parola, deoarece le oferă aplicației solicitante acces la un serviciu protejat prin parolă (de exemplu, Facebook).

Important aici este că dumneavoastră real numele de utilizator și parola nu sunt niciodată comunicate între aplicații și că aplicația solicitantă are acces doar la o parte limitată a contului dvs. protejat de parolă.

instagram viewer

blurb-cerere

Să ne uităm la un exemplu rapid. Spuneți că utilizați Blurb pentru a transforma fotografiile de pe Facebook într-o carte Trei modalități ușoare de a transforma Facebook-ul într-o carte reală [Sfat săptămânal Facebook]Ți-ai dorit vreodată să faci o carte cu adevărat în copie a lucrurilor pe care le ai pe Facebook? Poate aveți rude care nu sunt pe Facebook, dar le-ar plăcea să vadă imaginile pe care le-ați făcut în ... Citeste mai mult . Mergi la Blurb (solicitantul) și îi spui că vrei să imprimi fotografii de pe Facebook. Blurb vă direcționează înapoi către Facebook (furnizorul de servicii), unde vă introduceți datele de autentificare (trimis direct pe Facebook, nu Blurb) și spuneți Facebook că dați permisiunea Blurb să vă acceseze fotografii. Acum Blurb poate descărca acele fotografii, astfel încât să poată fi tipărite. Dacă Blurb încearcă să-ți acceseze cronologia, acesta va fi refuzat, deoarece simbolul pe care îl are îi oferă acces doar fotografiilor și profilului tău public.

OAuth nu împărtășește niciodată numele de utilizator sau parola cu aplicația solicitantă, ideea fiind că păstrarea secretului numelui de utilizator și a parolei tale le păstrează în siguranță. Și pentru a opri o accesare a unei aplicații sau a unui serviciu solicitant, tot ce trebuie să faceți este să faceți clic pe „Revocați accesul”, în loc să schimbați parola.

Este sigur?

Bine, deci procesul pare destul de simplu până acum. Dar cât de sigur este? Ar trebui să fim îngrijorați de securitatea site-urilor OAuth?

Din punct de vedere al securității, OAuth arată destul de bine. Un scenariu în cele mai grave cazuri nu are ca rezultat dezvăluirea parolelor tale sociale. Iar posibilitatea de revocare instantaneu a accesului la orice aplicație care are un jeton înseamnă că, chiar dacă un site web este hacked și unele nefires caracterele își pun mâna pe toate datele de jeton, puteți apasă doar butonul de revocare a accesului și nu vor avea acces la rețeaua dvs. socială site-ul.

Faptul că împărtășiți accesul doar la un anumit subset de date de pe site-ul dvs. social este, de asemenea, destul de mare atrăgător - dacă cineva are acces la Snapfish și are acces la fotografiile tale de pe Facebook, nu ar trebui să fii prea îngrijorat (tu sunt având grijă cu fotografiile pe care le postați, nu?).

yale-safe

În ciuda recentelor descoperirea dramatizată a unui defect de securitate în OAuth, sistemul este unul destul de bun.

Cu toate acestea, există siguranță online mai mult decât doar criptare și jetoane. Una dintre cele mai bune metode de a vă asigura că sunteți în siguranță online este să utilizați bune practici de parolă Ghid de gestionare a parolelorNu vă simțiți copleșiți de parole sau pur și simplu utilizați aceeași pe fiecare site doar pentru a vă aminti de ele: proiectați-vă propria strategie de gestionare a parolelor. Citeste mai mult . Și OAuth ajută foarte mult la asta. Cum? Prin faptul că nu te poți conecta folosind Twitter sau Google, nu trebuie să creezi încă o alta parola de care trebuie să vă amintiți. Dacă aveți o parolă Facebook foarte sigură, o puteți utiliza pentru a accesa o serie de lucruri fără a utiliza exact aceeași parolă pentru mai multe site-uri.

Acesta este un avantaj distinct al OAuth - iar faptul că limitați numărul de site-uri web care au parolele dvs. este un mare avantaj.

De asemenea, este important să menționăm că site-urile care vă accesează profilurile sociale nu pot întreprinde nicio acțiune importantă - nu vă pot șterge contul, nu vă puteți schimba parola și nici nu puteți face alte modificări importante. Ceea ce este liniștitor.

Ce riscuri îți asumi?

Din păcate, nimic nu este simplu atunci când vine vorba de securitate și siguranță online. Există câteva riscuri de utilizare a OAuth, în mare parte legate de confidențialitate.

De exemplu, cât de des îți faci timp să te uiți cu adevărat la permisiunile pe care le dai atunci când folosești Facebook Connect? În timp ce aplicațiile ar trebui să solicite accesul la informațiile de care au nevoie pentru a vă servi mai bine, ele de multe ori cereți multe altele - cronologia dvs., informațiile prietenilor și posibilitatea de a posta exemplu.

Uneori acesta este un lucru bun - s-ar putea să doriți să integrați Twitter în aplicația dvs. de contacte sau într-un cititor de știri. Sau poate doriți să postați rezultatele la antrenament RunKeeper Țineți cont de obiectivele dvs. de antrenament în timp ce lucrați cu RunKeeper [Android]În jurul MakeUseOf, ne place să găsim aplicații și alți motivatori online pentru a rămâne în formă și sănătoși. După ce a investigat aceste aplicații de fitness din când în când, RunKeeper se dovedește întotdeauna că este unul dintre cele mai bune. Este... Citeste mai mult sau MapMyFitness. Dar nu există nimic în permisiunile care să împiedice aplicația sau serviciul să posteze tot ce își doresc. Nu există nicio opțiune „doar rezultatele post sondajului”. Trebuie doar să ai încredere că aplicația va posta numai lucrurile pe care le dorești sau le va spune și nu reclame.

digitale-cheie

Și s-ar putea să dai mai multe informații decât ai negociat. Cui îi pasă dacă magazinul tău preferat vede ce postezi pe Facebook, nu? Ei bine, s-ar putea să obțină mai multe informații decât v-ați imagina.

De exemplu, la o conferință din 2012, o companie japoneză de catalog a vorbit despre modul în care a folosit informația pe profilul de utilizator al utilizatorului pentru a deduce lucruri „despre„ stadiul de viață ”al unui client (indiferent că este căsătorit sau necăsătorit, însărcinat, face dietă, planifică o petrecere etc.) „Gospodărie” (dacă au un copil, un părinte îmbătrânit, un animal de companie, un condominiu, etc.) și „personalitate” (sunt în voluntariat, povestire de avere, mâncare, călătorii, sport, alergare, etc?). "

Un membru al echipei de marketing a declarat că echipa „poate învăța istoricul vieții clienților noștri - stilul lor de viață și psihologia. Putem apoi să ne direcționăm cataloagele în consecință. Și putem prezice când cineva are nevoie de un produs pe baza a ceea ce spune pe social media. "

Nu credeți că dați atât de multe informații, nu?

Desigur, aveți un control deplin asupra ceea ce partajați cu o companie folosind autentificări sociale și cum mult pot să posteze pentru dvs., dar numai dacă vă luați timp pentru a citi permisiunile pe care le solicită pentru. Și nu dați acces la lucrurile pe care ar trebui să le păstrați mai degrabă private. Dar acest lucru nu este întotdeauna ușor, deoarece unele aplicații și servicii utilizează acum conectarea pe Facebook sau pe Twitter, ceea ce înseamnă că, dacă nu sunteți de acord cu permisiunile lor, nu trebuie să utilizați serviciul.

Lectii de luat masa: ce ar trebui sa faci?

La fel ca în majoritatea lucrurilor, există două părți ale poveștii de logare folosind conturi sociale. În general este destul de sigur și, de fapt, ai un control destul de mare asupra câtor informații pe care le distribuie.

control-cheie

Pe de altă parte, s-ar putea să dai mult control dacă nu ești atent. Deci ce ar trebui să faci despre asta?

  • Citiți cererile de permisiune înainte de a le acorda.

Aceasta este una importantă și va deveni doar mai importantă pe măsură ce serviciile web devin mai integrate. Dacă nu doriți o aplicație care să colecteze date despre prietenii dvs. Facebook, nu îi permiteți accesul la Facebook.

  • Examinați frecvent permisiunile pentru aplicații.

Pe Facebook, accesați site-ul Fila Aplicații din ecranul Setări. Pe Twitter, accesați secțiunea Fila Aplicații din Setări, de asemenea. Google este un pic mai complicat: accesați accounts.google.com, apoi faceți clic pe Securitate, apoi Afișați totul sub Permisiunile contului. Uitați-vă la ce aplicații au acces la datele dvs. și revocați acces pentru orice nu mai folosiți. Și dacă vedeți o aplicație care are mai multe permisiuni decât ar trebui, luați în considerare revocarea accesului și vedeți dacă puteți să vă conectați la acel serviciu cu un nume de utilizator și parolă tradiționale.

Pentru a accelera procesul, puteți utilizați MyPermissions Prea multe aplicații? Cum să revocăm permisiunile aplicației de pe mai multe site-uri web în 2 minuteLumea online oferă multe probleme de confidențialitate. Știm cu toții că nu ar trebui să postăm lucruri private pe Facebook, nu trebuie să scriem adresa noastră de e-mail în locuri vizibile și ar trebui să acordăm cu adevărat atenție, deoarece ... Citeste mai mult , care vă ajută să vă gestionați permisiunile prin Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox și multe altele.

  • Săriți permisiunile și setați audiențe permise pentru partajare.

Dacă o aplicație solicită permisiunea de a partaja în numele dvs. prin intermediul unui serviciu social, este posibil să aveți ocazia să nu acordați această permisiune (veți vedea acest lucru pe Facebook când vedeți un buton „Salt”). Dacă aceasta este o opțiune, folosiți-o! De asemenea, puteți seta publicul pentru partajarea permisă - de exemplu, puteți să le împărtășiți tuturor prietenilor, unui public personalizat sau numai dvs. înșivă.

  • Tratați solicitările de permisiuni în mod diferit pe baza conturilor.

Ce postezi pe Instagram? Ce postezi pe Twitter? O solicitare de citire a postărilor dvs. Foursquare ar putea fi mult mai puțin înfricoșătoare decât acordarea de privilegii „Compuneți și trimiteți noua poștă” contului dvs. Gmail.

unrollme-cerere
  • Schimbați-vă parolele în mod regulat.

Când schimbați parolele, o serie de jetoane OAuth vor fi imediat invalidate, necesitând să vă re-conectați și să aprobați token-urile. În măsura în care am reușit să-mi dau seama, Gmail și Facebook invalidează token-urile atunci când schimbi parola, dar Twitter și Google+ nu. Pentru aceste alte servicii, va trebui să revocați accesul și apoi să eliberați permisiunile.

Concluzie: comoditate pentru un preț

Conectarea pe site-uri și servicii cu acreditările sociale adaugă multă comoditate și chiar un pic de securitate. Dar poate sa să fie riscant, atât din punct de vedere al vieții private, cât și - într-o măsură mai mică - din punct de vedere al securității. Dar dacă practicați cele cinci sfaturi de siguranță de mai sus, ar trebui să acordați numai permisiunile pe care intenționați să le.

Cât de des folosești informațiile de conectare socială pe un alt site? Te simți în siguranță făcând-o? Citiți și verificați periodic permisiunile? Împărtășește-ți mai jos gândurile!

Credite imagine: Marc Falardeau prin Flickr, Rob Pongsajapan prin Flickr, Iván Melenchón Serrano prin MorgueFile

Dann este un consultant în strategie de conținut și marketing care ajută companiile să genereze cerere și clienți. De asemenea, bloguri despre strategie și marketing de conținut pe dannalbright.com.