Подготовить Создать учетные записи Вручную затруднительно: мы просто хотим получить доступ к службам приложения, а не тратить пять минут на настройку адреса электронной почты, паролей и основной информации. Вот почему кнопки «Войти через Facebook» и «Войти через Google» стали настолько популярными в Интернете.
Пользователям нравится этот метод федеративного входа, поскольку он упрощает создание учетных записей, а веб-сайтам / приложениям также нравится этот метод, поскольку он позволяет им привлечь больше пользователей для регистрации учетных записей. Поскольку вы можете создавать учетные записи с помощью Google, Facebook, Twitter, Microsoft, LinkedIn, Github, WeChat, VKontakte, Weibo и других, скорее всего, вы использовали одну из этих служб, но задумывались ли вы, хорошая ли это идея. Вы правы, спрашивая: да, это удобно, но когда дело доходит до безопасности, есть компромиссы, и, по сути, это улица с односторонним движением, что касается конфиденциальности.
Как работают входы в социальные сети?
Не все системы работают одинаково, но основной процесс носит несколько глобальный характер. Большинство сторонних служб входа в систему используют комбинацию протоколов OpenID и OAuth. OpenID обрабатывает авторизацию пользователя (вход в Facebook подтверждает вашу личность на сайте, который вы пытаетесь использовать), а OAuth определяет, как другие сайты могут получить доступ к вашим данным (имя, возраст, интересы, друзья и т. Д.).
В процесс входа в социальную сеть вовлечены три основных игрока:
- Пользователь (вот и все!) Запрашивает доступ к приложению или веб-сайту
- Приложение или веб-сайт, к которому пользователь хочет получить доступ.
- Аутентификатор, который подтверждает вашу личность и контролирует доступ к вашим данным (Facebook, Google и т. Д.)
Типичный вход в социальную сеть происходит следующим образом:
- Пользователь нажимает кнопку «Войти с ____».
- Приложение открывает ссылку, по которой пользователю предлагается войти на веб-сайт инструмента авторизации. Ссылка содержит информацию, которая сообщает вам, что владелец сайта делает запрос.
- Пользователь вводит свое имя пользователя и пароль на сайте инструмента авторизации, это означает, что приложение никогда не видит вашу информацию.
- Авторизатор генерирует одноразовый код и отправляет его в приложение.
- Затем приложение отправляет этот код инструменту Authorizer с запросом на доступ к Authorizer API.
- Аутентификатор проверяет код, и приложение выдает токен (обычно с ограничением по времени), который позволяет приложению запросить сопутствующий запрос некоторой информации о пользователе.
Плюсы безопасности: вход в социальные сети может быть более безопасным, чем вход по паролю по электронной почте.
Вход в социальные сети так же безопасен, как и компании, которыми они управляют, что, учитывая, что они входят в число крупнейших технологических компаний мира, помещает их в категорию «очень хороших». Вы не увидите, чтобы Facebook и Google взламывали направо и налево, в основном потому, что они очень заботятся о своей онлайн-безопасности и вкладывают больше средств, чем в розничную сеть.
Если вы используете систему единого входа, сайт, для которого вы создаете учетную запись, не будет иметь доступа к вашему имени пользователя и паролю, что означает, что никто не сможет украсть вашу учетную запись (хотя они могут получить некоторую информацию, связанную с ней). .
Вы также не везде вводите свои пароли, и, поскольку мы часто используем наши пароли повторно, это хорошо. Мы, вероятно, в любом случае не следуем рекомендациям по использованию паролей, поэтому чем меньше будет плохая безопасность, тем лучше.
Минусы безопасности: если ваши учетные данные для входа в социальную сеть взломаны, ваши учетные записи тоже.
Что произойдет, если Facebook и Google будут взломаны или кто-то получит доступ к вашей учетной записи? У обеих компаний в прошлом были проблемы с данными (Cambridge Analytica, Google+), и именно LinkedIn был серьезно скомпрометирован, поэтому у крупных технологических компаний нет стопроцентной репутации.
Может ли кто-то, у кого есть данные для входа в социальную сеть, просто притвориться вами в каждом приложении и на сайте социальных сетей, в которые вы входили? В основном да. Будь то общесистемное нарушение безопасности, слабый пароль или вредоносное ПО на вашем компьютере, которое взломало ваши учетные данные для входа в Facebook, любой, у кого есть ваши учетные данные, может выдать себя за вас в другом приложении. Это превращает вход в социальные сети в единую точку отказа, создавая потенциальный эффект домино, если ваша учетная запись будет взломана с авторизацией.
Facebook, Google и Twitter прилагают все усилия, чтобы это произошло, но даже если они в конечном итоге сохранятся, они мало что могут сделать, если ваш пароль - 123456789 (ознакомьтесь с этими советами для надежного пароля), и вы сохраните свою учетную запись в общем доступе. или физически доступные устройства. Если вы используете социальный вход, вы должны рассматривать его как ключ к учетным записям, к которым у вас есть доступ.
Плюсы конфиденциальности
Это будет короткий ролик, потому что на самом деле нет никаких преимуществ в отношении конфиденциальности для пользователей. Социальные логины не только предоставят ваши данные тем, кто их запрашивает, что является минимумом, которого вы ожидаете, но вы также передадите гораздо больше личной информации, чем если бы вы использовали комбинацию электронной почты / пароля.
Минусы конфиденциальности: все узнают о вас больше
В зависимости от того, какой сервис вы используете, вы можете более или менее контролировать, какие приложения данных могут извлекать из социальных профилей. Легко дать больше, чем вы намерены, и приложения могут запрашивать то, что они хотят, зная, что большинство пользователей, скорее всего, потерпят неудачу при ответе «да». Друзья, местоположение, история сообщений, интересы и другая личная информация могут быть легко удалены без вашего полного информирования.
С другой стороны, помните, что большинство компаний, которые предоставляют вам услуги входа в систему, очень заботятся о сборе дополнительных данных о вас. Им нравится знать, какие приложения вы используете, как часто вы их используете, и даже более точную информацию о том, что вы с ними делаете, и использование этого метода входа в систему в основном дает эту информацию им напрямую. Неясно, сколько данных Facebook и Google получают от приложений, использующих службы входа в систему, но если вам неудобно работать с компанией, которая много знает о том, что вы делаете в приложении, лучше не связывать учетную запись с этой компанией. .
Стоит ли использовать вход в социальные сети?
Вход в социальные сети может быть более безопасным во многих случаях, особенно если вы хотите, чтобы ваши основные учетные записи были в значительной степени заблокированы, и не уверены, что приложение или сайт имеют лучшую безопасность в Интернете. На самом деле безопаснее войти в обфусцированное приложение или сайт с помощью социальной учетной записи, поскольку вы не выдадите пароль, который вы, вероятно, повторно используете на нескольких сайтах. Однако, если вы создаете учетную запись с потенциально конфиденциальной информацией на хорошо защищенном сервисе, вам пригодится мощная функция переписки по электронной почте / паролю.
Что касается конфиденциальности, это личное решение. Если вы не хотите, чтобы приложение знало о вас больше, чем необходимо, не входите в систему через Facebook. То же самое происходит и в другом направлении: не используйте сторонний инструмент авторизации, если вам не нравится, что эта третья сторона собирает некоторые дополнительные данные о вас.
