Propaganda

Parece que toda vez que você se inscreve em um novo serviço, pode escolher escolher um nome de usuário e senha ou simplesmente fazer login no Facebook ou Twitter. Fazer login com sua conta do Google também costuma ser uma opção. É rápido e fácil. Mas você deveria fazer isso?

Como funciona?

O login usando sua conta social usa um protocolo chamado OAuth, que (em poucas palavras) permite um aplicativo ou serviço (o solicitante ou serviço para o qual você está se inscrevendo) para se conectar a outro (provedor de serviços ou rede existente que você está usando para se inscrever) e agir de acordo com sua lado. Isso é feito emitindo "tokens" para o aplicativo solicitante. Esses tokens funcionam um pouco como seu nome de usuário e senha, pois dão ao aplicativo solicitante acesso a um serviço protegido por senha (por exemplo, Facebook).

O importante aqui é que seu real o nome de usuário e a senha nunca são comunicados entre os aplicativos e o aplicativo solicitante obtém acesso apenas a uma parte limitada da sua conta protegida por senha.

instagram viewer
pedido de publicidade

Vamos ver um exemplo rápido. Digamos que você esteja usando Destaque para transformar suas fotos do Facebook em um livro Três maneiras fáceis de transformar seu Facebook em um livro real [Dica semanal do Facebook]Alguma vez você já quis fazer um livro impresso das coisas que você tem no Facebook? Talvez você tenha parentes que não estão no Facebook, mas gostariam de ver as fotos que você colocou ... consulte Mais informação . Você vai ao Blurb (o solicitante) e diz que deseja imprimir fotos do Facebook. O Blurb direciona você de volta ao Facebook (o provedor de serviços), onde você insere suas credenciais de login (enviado diretamente ao Facebook, não ao Blurb) e informe ao Facebook que você dá permissão ao Blurb para acessar seu fotos. Agora, o Blurb pode fazer o download dessas fotos para que possam ser impressas. Se o Blurb tentar acessar sua linha do tempo, ela será negada, porque o token que ela possui apenas concede acesso às suas fotos e perfil público.

O OAuth nunca compartilha seu nome de usuário ou senha com o aplicativo solicitante, com a idéia de manter um nome de usuário e senha em segredo para mantê-los em segurança. E para impedir que um aplicativo ou serviço solicitante acesse sua conta, tudo o que você precisa fazer é clicar em "revogar acesso", em vez de alterar sua senha.

É seguro?

Ok, então o processo parece bem simples até agora. Mas como é seguro? Deveríamos nos preocupar com a segurança dos sites OAuth?

Do ponto de vista da segurança, o OAuth parece muito bom. Um cenário de pior caso ainda não resulta na revelação de suas senhas sociais. E a capacidade de revogar instantaneamente o acesso a qualquer aplicativo que tenha um token significa que, mesmo que um site seja hackeado e alguns sejam nefastos caracteres colocarem as mãos em todos os dados do token, basta clicar no botão revogar acesso e eles não terão acesso ao seu canal social local.

O fato de você compartilhar apenas o acesso a um subconjunto específico de dados em seu site social também é bastante atraente - se alguém hackeia o Snapfish e obtém acesso às suas fotos do Facebook, você não deve estar muito preocupado (vocês estamos cuidando das fotos que você postar, certo?).

seguro para yale

Apesar da recente descoberta dramatizada de uma falha de segurança no OAuth, o sistema é muito bom.

No entanto, há mais segurança online do que apenas criptografia e tokens. Uma das melhores maneiras de garantir sua segurança on-line é usar boas práticas de senha Guia de Gerenciamento de SenhasNão se sinta sobrecarregado por senhas ou simplesmente use a mesma em todos os sites, para que você se lembre delas: crie sua própria estratégia de gerenciamento de senhas. consulte Mais informação . E o OAuth ajuda muito nisso. Quão? Ao conseguir fazer login usando o Twitter ou o Google, você não precisa criar ainda outro senha que você precisa lembrar. Se você possui uma senha do Facebook muito segura, pode usá-la para acessar várias coisas sem usar a mesma senha exata para mais sites.

Essa é uma vantagem distinta do OAuth - e o fato de você limitar o número de sites que possuem suas senhas é uma grande vantagem.

Também é importante mencionar que os sites que acessam seus perfis sociais não podem realizar nenhuma ação importante - eles não podem excluir sua conta, alterar sua senha ou fazer outras grandes alterações. O que é tranquilizador.

Que riscos você está correndo?

Infelizmente, nada é simples quando se trata de segurança e proteção on-line. Existem alguns riscos de usar o OAuth, principalmente relacionados à privacidade.

Por exemplo, com que frequência você analisa as permissões concedidas ao usar o Facebook Connect? Embora os aplicativos devam solicitar apenas acesso às informações necessárias para melhor atendê-lo, eles muitas vezes pedem muito mais: sua linha do tempo, as informações de seus amigos e a capacidade de postar, por exemplo.

Às vezes, isso é uma coisa boa - convém integrar o Twitter ao seu aplicativo de contatos ou a um leitor de notícias. Ou você pode postar os resultados do seu treino em RunKeeper Acompanhe seus objetivos de treinamento enquanto treina com o RunKeeper [Android]Na MakeUseOf, adoramos encontrar aplicativos e outros motivadores on-line para manter a forma e a saúde. Depois de investigar esses aplicativos de fitness repetidamente, o RunKeeper sempre se mostra um dos melhores. Está... consulte Mais informação ou MapMyFitness. Mas não há nada nas permissões que impeçam o aplicativo ou serviço de postar o que quiserem. Não há opção "somente resultados pós-pesquisa". Você só precisa confiar que o aplicativo publicará apenas as coisas que você deseja ou manda, e não anúncios.

chave digital

E você pode estar dando mais informações do que esperava. Quem se importa se sua loja favorita vê o que você está postando no Facebook, certo? Bem, eles podem estar obtendo mais informações do que você imaginou.

Por exemplo, em uma conferência de 2012, uma empresa de catálogos japonesa falou sobre como ele usou informações no perfil do Facebook de um usuário para inferir coisas "sobre a" fase da vida "de um cliente (sejam eles casados ​​ou não, grávidas, fazendo dieta, planejando uma festa etc.) “Família” (se eles têm um filho, um pai idoso, um animal de estimação, um condomínio etc.) e “personalidade” (eles são voluntários, adivinhadores, comida, viagens, esportes, correndo, etc?). "

Um membro da equipe de marketing afirmou que “pode aprender o histórico de vida de nossos clientes - seu estilo de vida e psicologia. Podemos então segmentar nossos catálogos de acordo. E podemos prever quando alguém precisa de um produto com base no que diz nas mídias sociais. ”

Você não achou que estava dando tanta informação?

Obviamente, você tem controle total sobre o que está compartilhando com uma empresa usando logins sociais e como quanto eles podem postar para você - mas somente se você reservar um tempo para ler as permissões que eles estão pedindo para. E não dê acesso a coisas que você prefere manter em sigilo. Mas isso nem sempre é fácil, porque alguns aplicativos e serviços agora estão fazendo login apenas no Facebook ou no Twitter, o que significa que, se você não concorda com as permissões deles, não pode usar o serviço.

Lições para viagem: O que você deve fazer?

Como na maioria das coisas, há dois lados na história do logon usando contas sociais. Geralmente é bastante seguro, e você realmente tem um pouco de controle sobre a quantidade de informações que compartilha.

chave de controle

Por outro lado, você pode estar dando muito controle se não tomar cuidado. Então, o que você deve fazer sobre isso?

  • Leia os pedidos de permissão antes de concedê-los.

Isso é importante e só será mais importante à medida que os serviços da Web se tornarem mais integrados. Se você não deseja que um aplicativo colete dados sobre seus amigos do Facebook, não permita que ele acesse o Facebook.

  • Revise as permissões do seu aplicativo com frequência.

No Facebook, vá para o Guia Aplicativos na tela Configurações. No Twitter, vá para o Guia Aplicativos em Configurações, também. O Google é um pouco mais complicado: vá para accounts.google.com, clique em Segurança e, em seguida, Ver tudo em Permissões da conta. Veja quais aplicativos têm acesso aos seus dados e revogue o acesso aos que você não usa mais. E se você vir um aplicativo com mais permissões do que deveria, considere revogar o acesso e verificar se é possível fazer login nesse serviço com um nome de usuário e senha tradicionais.

Para acelerar o processo, você pode use MyPermissions Muitos aplicativos? Como revogar permissões de aplicativos de vários sites em 2 minutosO mundo online oferece muitas preocupações com a privacidade. Todos sabemos que não devemos postar itens particulares no Facebook, não devemos anotar nosso endereço de e-mail em locais de destaque e devemos prestar muita atenção, pois ... consulte Mais informação , que ajuda a gerenciar suas permissões no Facebook, Twitter, Google, Yahoo, LinkedIn, Quadrangular, Instagram, Dropbox e muito mais.

  • Ignore as permissões e defina públicos-alvo permitidos para compartilhamento.

Se um aplicativo solicitar permissão para compartilhar em seu nome por meio de um serviço social, você poderá não conceder essa permissão (você verá isso no Facebook quando visualizar o botão "Ignorar"). Se for uma opção, use-a! Você também pode definir o público para o compartilhamento permitido - por exemplo, você pode compartilhar com todos os seus amigos, um público personalizado ou apenas você mesmo.

  • Trate as solicitações de permissões de maneira diferente, com base nas contas.

O que você publica no Instagram? O que você publica no Twitter? Uma solicitação para ler suas postagens no Foursquare pode ser bem menos assustadora do que conceder privilégios de "redigir e enviar novos e-mails" para sua conta do Gmail.

unrollme-request
  • Mude suas senhas regularmente.

Quando você altera suas senhas, vários tokens do OAuth serão imediatamente invalidados, exigindo que você entre novamente e aprove novamente os tokens. Tanto quanto pude descobrir, o Gmail e o Facebook invalidam os tokens quando você altera sua senha, mas o Twitter e o Google+ não. Para esses outros serviços, você precisará revogar o acesso e emitir novamente as permissões.

Conclusão: Conveniência por um preço

O login em sites e serviços com suas credenciais sociais adiciona muita conveniência e até um pouco de segurança. Mas isso posso arriscar, tanto do ponto de vista da privacidade quanto, em menor grau, da segurança. Mas se você praticar as cinco dicas de segurança acima, deverá conceder apenas as permissões que pretende.

Com que frequência você usa suas informações de login social em outro site? Você se sente seguro fazendo isso? Você lê e verifica novamente as permissões regularmente? Compartilhe seus pensamentos abaixo!

Créditos de imagem: Marc Falardeau via Flickr, Rob Pongsajapan via Flickr, Iván Melenchón Serrano via MorgueFile

Dann é consultor de estratégia e marketing de conteúdo que ajuda as empresas a gerar demanda e leads. Ele também bloga sobre estratégia e marketing de conteúdo em dannalbright.com.