Каждый раз, когда вы подписываетесь на новую услугу, вы можете создать имя пользователя и пароль или просто войти в систему через Facebook или Twitter . Обычно также можно войти в свою учетную запись Google. Это очень быстро и легко. Но стоит ли вам это делать?
Как работает вход с помощью учетной записи социальной сети?
Для входа в учетную запись социальной сети используется протокол OAuth, который позволяет приложению или службе (приложению, которое запрашивает или услуге, на которую вы подписываетесь) подключаться к приложению или услуге. в) и действовать от вашего имени. Это делается путем выдачи «токенов» запрашивающему приложению. Эти токены действуют как ваше имя пользователя и пароль, поскольку они предоставляют запрашивающему приложению доступ к службе, защищенной паролем (например, Facebook).
Здесь важно то, что ваше настоящее имя пользователя и пароль никогда не передаются между приложениями, и приложение запрашивает доступ только к ограниченной части вашей учетной записи, защищенной паролем.
Давайте рассмотрим небольшой пример: допустим, вы используете Blurb для печати фотографии с Facebook. Вы получаете доступ к Blurb (запрашивающему приложению) и сообщаете ему, что хотите распечатать фотографии из Facebook. Blurb вернет вас на Facebook (поставщик услуг), где вы введете свои данные для входа (отправленные непосредственно в Facebook, а не в Blurb) и попросите вас сообщить Facebook, что вы разрешаете доступ к Blurb. Перейдите в раздел своих фотографий. Теперь Blurb может загрузить эти фотографии и распечатать их. Если Blurb попытается получить доступ к вашей ленте, ему будет отказано, поскольку токен разрешает доступ только к вашему общедоступному профилю и фотографиям.
OAuth никогда не передает ваше имя пользователя или пароль запрашивающему приложению, поскольку сохранение вашего имени пользователя и пароля в секрете помогает обеспечить их безопасность. А чтобы приложение или служба не запрашивали доступ к вашей учетной записи, все, что вам нужно сделать, это нажать « отменить доступ », чтобы отозвать доступ, вместо того, чтобы менять пароль.
Безопасен ли вход в систему через учетную запись социальной сети?
Этот процесс кажется довольно простым. Но насколько это безопасно? Стоит ли нам беспокоиться о безопасности сайтов OAuth?
С точки зрения безопасности OAuth выглядит вполне безопасным. Наихудший сценарий все равно не приведет к раскрытию паролей ваших учетных записей в социальных сетях. А возможность мгновенно отозвать доступ к любому приложению с помощью токена означает, что даже если сайт взломан или с токеном возникли проблемы, вы можете просто нажать кнопку отозвать доступ, и они больше не смогут получить доступ к вашим сайтам социальных сетей.
Реальность такова, что вы предоставляете доступ только к определенному набору данных на своем сайте в социальной сети. Если кто-то взломал Snapfish и хочет получить доступ к вашим фотографиям в Facebook, вам не следует слишком беспокоиться.
Несмотря на недавнее обнаружение уязвимости в безопасности OAuth, система по-прежнему остается довольно хорошей.
Однако онлайн-безопасность — это нечто большее, чем просто шифрование и токены. Один из лучших способов обеспечить свою безопасность в Интернете — использовать надежный пароль . И OAuth в этом очень помогает: вы входите в систему с той же учетной записью Twitter или Google, и вам не нужно создавать еще один пароль и запоминать его. Если у вас очень надежный пароль Facebook, вы можете использовать его для доступа к ряду вещей, не используя один и тот же пароль для разных веб-сайтов.
Это особое преимущество OAuth, и на самом деле имеет смысл ограничить количество сайтов с одним и тем же паролем.
Следует отметить, что веб-сайты, получающие доступ к вашему профилю в социальных сетях, не могут выполнять какие-либо важные действия, например, удалять вашу учетную запись, менять пароль или вносить какие-либо другие важные действия, поэтому вы можете быть уверены.
С какими рисками вы рискуете столкнуться?
К сожалению, нет ничего простого, когда речь идет о безопасности и безопасности в Интернете. Использование OAuth сопряжено с некоторыми рисками, в основном связанными с конфиденциальностью.
Например, как часто вы тратите время на проверку разрешений, которые вы предоставляете при использовании Facebook Connect ? Хотя приложения должны запрашивать доступ только к той информации, которая им нужна для лучшего обслуживания вас, они часто запрашивают больше. Например, этим приложениям часто нужен доступ к вашей ленте, информации о друзьях и возможностям публикации сообщений.
Иногда это хорошо, например, когда вы хотите интегрировать Twitter в свои контакты или приложение для чтения новостей. Или вы можете опубликовать результаты тренировок из RunKeeper или MapMyFitness. Но никакие разрешения не помешают приложениям или сервисам публиковать все, что они захотят. Опции «Только результаты опроса» не существует. И вы можете быть уверены, что приложение опубликует только то, что вы хотите.
И вы можете потерять больше информации, чем думаете. Кого волнует, увидит ли ваш любимый магазин то, что вы публикуете на Facebook, верно? Они могут получить больше информации, чем вы думаете.
Например, на конференции 2012 года японская компания рассказала о том, как использовать информацию в профилях пользователей Facebook, чтобы определить их «жизненный этап» (состоят ли они в браке или нет): беременность, диета, планирование вечеринки и т. д. .), «бытовое» (если у них есть дети, пожилые родители, домашние животные, квартира и т. д.) и «личность» (занимаются ли волонтерством, гаданием, питанием, путешествиями, спортом и т. д.) заказчика.
Член маркетинговой команды говорит, что команда "может понять жизненный опыт клиента - его образ жизни и психологию. Затем мы можем ориентировать компанию на каждый тип аудитории". Демографию клиента. И мы можем предсказать, насколько кому-то нужен продукт". основываясь на том, что они говорят в социальных сетях».
Вы не думали, что выдадите столько информации, не так ли?
Конечно, вы имеете полный контроль над тем, чем вы делитесь с компанией, которая использует ваши учетные данные в социальных сетях, и над тем, какой объем информации они могут получить от вас, но только если вы потратите время на то, чтобы прочитать права, которые они запрашивают. И не давайте доступ к вещам, которые вы хотите сохранить в тайне. Но это не всегда легко, поскольку некоторые приложения и службы теперь используют логины только для Facebook или Twitter, а это означает, что если вы не согласны с их условиями, вы не сможете войти в систему. Вы можете использовать предоставляемые ими услуги.
Итак, что нужно делать?
Как и в большинстве случаев, проблема входа в систему с помощью учетной записи социальной сети имеет двоякое значение. В целом, это довольно безопасно, и вы действительно имеете достаточно контроля над тем, каким объемом информации вы делитесь.
С другой стороны, вы можете выдать много информации, если не будете тщательно ее контролировать. Так что же делать в этом случае?
Прежде чем предоставить разрешение, прочтите запрос на разрешение:
Это важно, и это станет еще более важным по мере того, как веб-сервисы станут более интегрированными. Если вы не хотите, чтобы данные о ваших друзьях в Facebook собирались, закройте доступ к Facebook.
Регулярно проверяйте разрешения используемого вами приложения:
В Facebook перейдите на вкладку «Приложения» на экране «Настройки» . В Твиттере вы делаете то же самое. Google немного сложнее. Вам нужно перейти на account.google.com , затем нажать «Безопасность», затем нажать «Просмотреть все» в разделе «Разрешения учетной записи» . Посмотрите, какие приложения имеют доступ к вашим данным, и заблокируйте доступ для всех приложений, которые вы больше не используете. Если вы видите приложение с большим количеством прав доступа, вам следует рассмотреть возможность отзыва доступа и посмотреть, сможете ли вы войти в эту службу, используя традиционное имя пользователя и пароль.
Чтобы ускорить процесс, вы можете использовать MyPermissions, инструмент, который помогает вам управлять разрешениями в Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram , Dropbox и других.
Запретить разрешения и установить общие объекты.
Если приложение запрашивает разрешение поделиться от вашего имени через социальную сеть, вы не можете его предоставить (вы увидите это на Facebook, когда увидите кнопку «Пропустить»). Если у вас есть вариант, используйте его! Вы также можете установить объекты, к которым разрешено совместное использование. Например, вы можете поделиться со всеми своими друзьями, определенной аудиторией или только с вами.
Предоставьте разные права доступа для каждой учетной записи:
Что вы публикуете в Instagram? Что вы публикуете в Твиттере? Просьба прочитать ваши сообщения в Foursquare может быть менее пугающей, чем предоставление привилегий « Создавать и отправлять новые письма » в вашей учетной записи Gmail.
Регулярно меняйте пароль:
Когда вы измените свой пароль, некоторые токены OAuth будут немедленно аннулированы, и вам потребуется повторно войти в систему и повторно одобрить токен. Gmail и Facebook аннулируют токены при смене пароля, а Twitter и Google+ этого не делают. Для таких сервисов вам необходимо отозвать доступ, а затем предоставить его повторно.
Вход на сайты и в сервисы с использованием учетных данных социальных сетей повышает удобство и даже немного повышает безопасность. Но это может представлять угрозу конфиденциальности. Но вы можете решить эту проблему с помощью 5 советов выше.
Как часто вы используете свои данные для входа в социальные сети на другом веб-сайте? Чувствуете ли вы себя в безопасности, делая это? Регулярно ли вы читаете и перепроверяете права доступа? Поделитесь своими мыслями в разделе комментариев ниже!
Узнать больше:
VPNBook — бесплатный провайдер VPN с неограниченной пропускной способностью, идеален для доступа к заблокированным сайтам. Узнайте, как настроить VPN на Windows за считанные минуты.
Windows 10 предоставляет <strong>меню параметров загрузки</strong>, позволяющее исправлять проблемы и перенастраивать систему. Узнайте, как получить доступ к этому меню.
Кнопка «Удобство доступа» на экране входа в Windows 10 дает возможность пользователям запускать приложения, такие как диспетчер задач и командную строку, для улучшения доступа и функциональности.
Узнайте, как быстро и удобно открыть Блокнот в Windows 11 различными способами. Bлокнот — это незаменимое текстовое приложение, которое всегда под рукой.
Используйте это руководство, чтобы исправить проблему с неработающей игровой панелью в Windows 10. Ознакомьтесь с последними методами восстановления функций Game Bar.
Приложение XPS Viewer позволяет читать, копировать, печатать, подписывать и устанавливать разрешения для документов XPS. В этом руководстве показано, как добавить (установить) или удалить (удалить) приложение XPS Viewer для всех пользователей в Windows 10.
Вы видите уведомление об активации Windows 10 в правом углу экрана? В этой статье вы узнаете, как удалить уведомление о запросе на авторские права в Windows 10.
Недавно Microsoft выпустила последнее накопительное обновление для пользователей ПК с Windows 10 под названием Build 14393.222. Это обновление, выпущенное для Windows 10, в основном исправляет ошибки на основе отзывов пользователей и повышает производительность операционной системы.
Есть ли в вашей локальной сети компьютеры, которым требуется внешний доступ? Использование хоста-бастиона в качестве привратника для вашей сети может быть хорошим решением.
Если вы предпочитаете использовать старую классическую клавиатуру, например IBM Model M, на которой нет физической клавиши Windows, есть простой способ добавить ее, позаимствовав клавишу, которую вы не часто используете.
