Рекламное объявление

Такое ощущение, что каждый раз, когда вы подписываетесь на новую услугу, вы можете выбрать имя пользователя и пароль или просто войти в систему с Facebook или Twitter. Вход в систему с помощью учетной записи Google также часто является опцией. Это быстро и легко. Но стоит ли это делать?

Как это работает?

Вход в систему с использованием вашей социальной учетной записи использует протокол под названием OAuth, который (в двух словах) позволяет одно приложение или службу (запрашивающая сторона, или услуга, на которую вы подписываетесь), чтобы подключиться к другому (поставщику услуг или существующей сети, которую вы используете для регистрации) и действовать на от имени. Это делается путем выдачи «токенов» запрашивающему приложению. Эти токены работают так же, как ваше имя пользователя и пароль, поскольку они предоставляют запрашивающему приложению доступ к защищенной паролем службе (например, Facebook).

Здесь важно то, что ваш фактический имя пользователя и пароль никогда не передаются между приложениями, а запрашивающее приложение получает доступ только к ограниченной части вашей защищенной паролем учетной записи.

аннотация, запрос

Давайте посмотрим на быстрый пример. Скажи, что ты используешь Blurb, чтобы превратить ваши фотографии на Facebook в книгу Три простых способа превратить ваш Facebook в настоящую книгу [Weekly Facebook Tip]Вы когда-нибудь хотели сделать настоящую бумажную книгу о том, что у вас есть в Facebook? Может быть, у вас есть родственники, которых нет на Facebook, но хотелось бы увидеть фотографии, которые вы вставили ... Подробнее . Вы идете в Blurb (запрашивающая сторона) и говорите, что хотите распечатать фотографии из Facebook. Blurb направляет вас обратно в Facebook (поставщик услуг), где вы вводите свои учетные данные для входа (отправлено непосредственно в Facebook, а не в Blurb) и скажите Facebook, что вы даете Blurb разрешение на доступ к вашему фотографии. Теперь Blurb может загружать эти фотографии, чтобы их можно было распечатать. Если Blurb попытается получить доступ к вашей временной шкале, ему будет отказано, поскольку имеющийся у него токен дает ему доступ только к вашим фотографиям и общедоступному профилю.

OAuth никогда не передает ваше имя пользователя или пароль запрашивающему приложению, идея заключается в том, что сохранение вашего имени пользователя и пароля в секрете обеспечивает их безопасность. И чтобы запретить запрашивающему приложению или службе доступ к вашей учетной записи, все, что вам нужно сделать, это нажать «отозвать доступ» вместо изменения пароля.

Это безопасно?

Итак, процесс кажется довольно простым. Но насколько это безопасно? Должны ли мы беспокоиться о безопасности сайтов OAuth?

С точки зрения безопасности OAuth выглядит довольно хорошо. Наихудший сценарий по-прежнему не приводит к раскрытию ваших социальных паролей. А возможность мгновенного аннулирования доступа к любому приложению, имеющему токен, означает, что даже если сайт взломан и какой-то гнусный персонажи получают в свои руки все данные токена, вы можете просто нажать кнопку отзыва, и у них не будет доступа к вашей социальной сети. сайт.

Тот факт, что вы предоставляете доступ только к определенному подмножеству данных на своем социальном сайте, также довольно привлекательным - если кто-то взломает Snapfish и получит доступ к вашим фотографиям на Facebook, вам не стоит беспокоиться (вы находятся заботиться о фотографиях, которые вы публикуете, верно?).

Yale-сейф

Несмотря на недавний театрализованное обнаружение уязвимости в OAuthСистема довольно хорошая.

Однако безопасность онлайн - это не только шифрование и токены. Один из лучших способов убедиться, что вы в безопасности в Интернете, это использовать хорошая практика паролей Руководство по управлению паролямиНе чувствуйте себя перегруженными паролями или просто используйте один и тот же на каждом сайте, чтобы помнить их: разработайте свою собственную стратегию управления паролями. Подробнее . И OAuth очень помогает в этом. Как? Имея возможность войти в систему с помощью Twitter или Google, вам еще не нужно создавать другой пароль, который вы должны запомнить. Если у вас есть очень безопасный пароль Facebook, вы можете использовать его для доступа ко многим вещам, не используя тот же пароль для других сайтов.

Это явное преимущество OAuth, и тот факт, что вы ограничиваете количество веб-сайтов с паролями, является большим плюсом.

Также важно упомянуть, что сайты, имеющие доступ к вашим социальным профилям, не могут предпринимать каких-либо серьезных действий - они не могут удалить вашу учетную запись, изменить пароль или внести другие важные изменения. Что обнадеживает.

Какие риски вы принимаете?

К сожалению, нет ничего проще, когда дело доходит до онлайн-безопасности. Есть некоторые риски использования OAuth, в основном связанные с конфиденциальностью.

Например, как часто вы уделяете время тому, чтобы по-настоящему взглянуть на разрешения, которые вы предоставляете при использовании Facebook Connect? Хотя приложения должны запрашивать доступ только к той информации, которая им нужна для лучшего обслуживания, они часто просят гораздо больше - ваш график, информацию ваших друзей и возможность публиковать, пример.

Иногда это хорошо - вы можете захотеть интегрировать Twitter в приложение контактов или программу чтения новостей. Или вы можете опубликовать результаты тренировки от RunKeeper Следите за своими целями тренировок во время тренировки с RunKeeper [Android]Вокруг MakeUseOf мы любим находить приложения и другие онлайн-мотиваторы, чтобы оставаться в форме и быть здоровыми. После изучения этих фитнес-приложений раз за разом RunKeeper всегда оказывается одним из лучших. Это... Подробнее или MapMyFitness. Но в разрешениях нет ничего, что помешало бы приложению или службе публиковать то, что они хотят. Опция «только результаты опроса» отсутствует. Вы просто должны верить, что приложение будет публиковать только то, что вы хотите или сказать, а не рекламу.

цифровой ключ

И вы можете выдавать больше информации, чем рассчитывали. Кого волнует, видит ли ваш любимый магазин то, что вы публикуете на Facebook, верно? Ну, они могут получить больше информации, чем вы себе представляли.

Например, на конференции 2012 года японская каталожная компания говорил о том, как он использовал информацию в профиле пользователя Facebook, чтобы сделать вывод о «жизненном этапе» клиента (будь он женат или не женат, беременен, соблюдает диету, планирует вечеринку и т. д.) «Домашнее хозяйство» (если у них есть ребенок, пожилой родитель, домашнее животное, квартира и т. Д.) И «личность» (занимаются ли они волонтерством, гаданием, едой, путешествиями, спортом, работает и т.д.?)

Член маркетинговой команды заявил, что команда «может узнать историю жизни наших клиентов - их образ жизни и психологию. Затем мы можем настроить таргетинг на наши каталоги. И мы можем предсказать, когда кому-то понадобится продукт, основываясь на том, что они говорят в социальных сетях ».

Не думали ли вы, что вы выдавали столько информации, не так ли?

Конечно, вы имеете полный контроль над тем, что вы делитесь с компанией, используя социальные логины и как многое они могут опубликовать для вас - но только если вы потратите время, чтобы прочитать разрешения, которые они просят для. И не давать доступа к вещам, которые вы предпочитаете держать в секрете. Но это не всегда легко, потому что некоторые приложения и сервисы теперь используют вход только через Facebook или Twitter, что означает, что, если вы не согласны с их разрешениями, вы не сможете пользоваться сервисом.

Уроки на вынос: что делать?

Как и в большинстве случаев, у входа в систему с использованием социальных учетных записей есть две стороны. Как правило, это довольно безопасно, и вы на самом деле имеете немного контроля над тем, как много информации вы делитесь.

контроль ключ

С другой стороны, вы можете потерять много контроля, если не будете осторожны. Так что же с этим делать?

  • Прочитайте запросы на разрешение, прежде чем предоставлять их.

Это важный вопрос, и он станет еще важнее, поскольку веб-сервисы станут более интегрированными. Если вы не хотите, чтобы приложение собирало данные о ваших друзьях на Facebook, не разрешайте ему доступ к Facebook.

  • Регулярно просматривайте разрешения вашего приложения.

На Facebook перейдите на Вкладка приложений на экране настроек. В твиттере зайдите в Вкладка приложений в настройках, тоже. Google немного сложнее: перейдите на accounts.google.com, затем нажмите на Безопасность, затем Просмотреть все в разрешениях учетной записи. Посмотрите, какие приложения имеют доступ к вашим данным, и отзовите доступ для тех, которые вы больше не используете. И если вы видите приложение, которое имеет больше разрешений, чем должно, рассмотрите возможность отзыва доступа и посмотрите, сможете ли вы войти в эту службу с традиционными именем пользователя и паролем.

Чтобы ускорить процесс, вы можете использовать MyPermissions Слишком много приложений? Как отозвать разрешения приложений с нескольких сайтов за 2 минутыМир онлайн предлагает много проблем конфиденциальности. Мы все знаем, что не должны публиковать личные вещи в Facebook, мы не должны записывать наш адрес электронной почты в заметных местах, и мы действительно должны обратить внимание, как ... Подробнее , который помогает вам управлять своими разрешениями через Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox и многое другое.

  • Пропустить разрешения и установить допустимые аудитории для обмена.

Если приложение запрашивает разрешение на публикацию от вашего имени через социальную службу, у вас может быть возможность не давать это разрешение (вы увидите это на Facebook, когда увидите кнопку «Пропустить»). Если это вариант, используйте его! Вы также можете установить аудиторию для допустимого обмена - например, вы можете поделиться со всеми своими друзьями, пользовательской аудиторией или только с собой.

  • Относитесь к запросам разрешений по-разному в зависимости от учетных записей.

Что вы публикуете в Instagram? Что вы публикуете в Twitter? Запрос на чтение ваших сообщений в Foursquare может быть намного менее пугающим, чем предоставление привилегий «Составлять и отправлять новую почту» вашей учетной записи Gmail.

unrollme-запрос
  • Меняйте свои пароли на регулярной основе.

Когда вы меняете свои пароли, несколько токенов OAuth будут немедленно аннулированы, что потребует от вас повторной регистрации и повторного утверждения токенов. Насколько мне удалось выяснить, Gmail и Facebook аннулируют токены, когда вы меняете пароль, а Twitter и Google+ этого не делают. Для этих других служб вам необходимо отменить доступ, а затем повторно выдать разрешения.

Вывод: удобство за цену

Регистрация на сайтах и ​​в службах с вашими учетными данными в социальных сетях добавляет много удобства и даже немного безопасности. Но это могу быть рискованным как с точки зрения конфиденциальности, так и, в меньшей степени, с точки зрения безопасности. Но если вы будете практиковать пять приведенных выше советов по безопасности, вы должны давать только те разрешения, которые вы намереваетесь.

Как часто вы используете вашу социальную регистрационную информацию на другом сайте? Вы чувствуете себя в безопасности, делая это? Вы регулярно читаете и проверяете разрешения? Поделитесь своими мыслями ниже!

Кредиты изображений: Марк Фалардо через Flickr, Роб Понгсаджапан через Flickr, Иван Меленчон Серрано через MorgueFile

Данн - консультант по контент-стратегии и маркетингу, который помогает компаниям формировать спрос и вести. Он также ведет блог о стратегии и контент-маркетинге на dannalbright.com.