Dovresti pensare due volte prima di accedere utilizzando gli account social?
Ogni volta che ti iscrivi a un nuovo servizio, puoi scegliere di scegliere un nome utente e una password o semplicemente accedere con Facebook o Twitter. Anche l'accesso al tuo account Google è spesso un'opzione. È veloce ed è facile. Ma dovresti farlo?
Come funziona?
L'accesso utilizzando il tuo account social utilizza un protocollo chiamato OAuth, che (in poche parole) consente a un'app o un servizio (il richiedente o il servizio per cui ti stai registrando) di connettersi a un altro (il fornitore di servizi o la rete esistente tu » re utilizzando per iscriversi) e agire per vostro conto. Questo viene fatto emettendo “gettoni” all'app richiedente. Questi token funzionano un po 'come il nome utente e la password, in quanto consentono all'app richiedente di accedere a un servizio protetto da password (ad esempio, Facebook).
La cosa importante qui è quella tua effettivo nome utente e password non vengono mai comunicati tra le app e l'app richiedente accede solo a una parte limitata del tuo account protetto da password.
Diamo un'occhiata ad un rapido esempio. Supponiamo che tu stia usando Blurb per trasformare le tue foto di Facebook in un libro Tre semplici modi per trasformare il tuo Facebook in un vero libro [Suggerimento settimanale di Facebook] Tre semplici modi per trasformare il tuo Facebook in un vero libro [Suggerimento di Facebook settimanale] Hai mai desiderato creare un vero e proprio libro cartaceo delle cose che hai su Facebook? Forse hai parenti che non sono su Facebook, ma ti piacerebbe vedere le foto che hai inserito ... Leggi altro. Vai a Blurb (il richiedente) e dì che vuoi stampare le foto da Facebook. Blurb ti indirizza a Facebook (il fornitore di servizi), dove inserisci le credenziali di accesso (inviate direttamente a Facebook, non a Blurb) e comunica a Facebook che autorizzi Blurb ad accedere alle tue foto. Ora Blurb può scaricare quelle foto in modo che possano essere stampate. Se Blurb tenta di accedere alla tua timeline, verrà negato, perché il token che gli ha dato solo l'accesso alle tue foto e al tuo profilo pubblico.
OAuth non condivide mai il nome utente o la password con l'app richiedente, l'idea è che mantenere il proprio nome utente e password segreti li mantiene al sicuro. E per impedire a un'app o un servizio richiedente di accedere al tuo account, tutto ciò che devi fare è fare clic “revocare l'accesso,” invece di cambiare la password.
È sicuro?
Ok, quindi il processo sembra abbastanza semplice finora. Ma quanto è sicuro? Dovremmo essere preoccupati per la sicurezza dei siti OAuth?
Dal punto di vista della sicurezza, OAuth sembra piuttosto buono. Uno scenario peggiore non porta ancora alla rivelazione delle tue password social. E la possibilità di revocare istantaneamente l'accesso a qualsiasi app che ha un token significa che anche se un sito web viene violato e alcuni personaggi malvagi mettono le mani su tutti i dati dei token, puoi semplicemente premere il pulsante di accesso revoca e non avranno accesso al tuo sito social.
Il fatto che tu abbia solo accesso ad un sottoinsieme specifico di dati sul tuo sito sociale è anche molto allettante: se qualcuno hackerizza Snapfish e ottiene l'accesso alle tue foto di Facebook, non dovresti essere troppo preoccupato (tu siamo stai attento con le foto che pubblichi, vero?).
Nonostante la recente scoperta drammatizzata di un difetto di sicurezza in OAuth, il sistema è piuttosto buono.
Tuttavia, c'è più sicurezza online che solo crittografia e token. Uno dei modi migliori per assicurarsi che tu sia al sicuro online consiste nell'utilizzare buone pratiche per le password. E OAuth aiuta molto in questo. Come? Se riesci ad accedere utilizzando Twitter o Google, non devi ancora creare un altro password che devi ricordare. Se hai una password di Facebook molto sicura, puoi usarla per accedere a una serie di cose senza usare la stessa identica password per più siti.
Questo è un netto vantaggio di OAuth e il fatto che limiti il numero di siti Web con le tue password è un grande vantaggio.
È anche importante ricordare che i siti che accedono ai tuoi profili social non possono intraprendere alcuna azione importante: non sono in grado di eliminare il tuo account, cambiare la password o apportare altre grandi modifiche. Che è rassicurante.
Quali rischi stai prendendo?
Sfortunatamente, nulla è semplice quando si tratta di sicurezza e sicurezza online. Ci sono alcuni rischi nell'utilizzo di OAuth, principalmente legati alla privacy.
Ad esempio, quanto spesso ti prendi il tempo di guardare veramente le autorizzazioni che stai dando quando usi Facebook Connect? Mentre le app devono solo richiedere l'accesso alle informazioni di cui hanno bisogno per servirti meglio, spesso chiedono molto di più: la tua cronologia, le informazioni dei tuoi amici e la possibilità di pubblicare, ad esempio.
A volte questa è una buona cosa: potresti voler integrare Twitter nell'app dei tuoi contatti o in un lettore di notizie. Oppure potresti pubblicare i tuoi risultati di allenamento da RunKeeper Tieni traccia dei tuoi obiettivi di allenamento mentre lavori con RunKeeper [Android] Tieni traccia dei tuoi obiettivi di allenamento mentre lavori con RunKeeper [Android] Intorno a MakeUseOf, amiamo trovare app e altri motivatori online per rimanere in forma e in salute. Dopo aver esaminato di tanto in tanto queste app di fitness, RunKeeper si dimostra sempre uno dei migliori. È ... Leggi di più o MapMyFitness. Ma non c'è nulla nelle autorizzazioni che impediranno all'app o al servizio di pubblicare ciò che vogliono. Non c'è “pubblicare solo i risultati del sondaggio” opzione. Devi solo avere fiducia che l'app pubblicherà solo le cose che vuoi o le comunicherai, e non le pubblicità.
E potresti dare via più informazioni di quelle per cui ti aspettavi. A chi importa se il tuo negozio preferito vede ciò che stai postando su Facebook, giusto? Beh, potrebbero avere più informazioni di quante tu avessi immaginato.
Ad esempio, in una conferenza del 2012, un'azienda di un catalogo giapponese ha parlato di come ha utilizzato le informazioni sul profilo Facebook di un utente per inferire le cose “di un cliente “fase di vita” (che siano sposati o non sposati, in stato di gravidanza, a dieta, a pianificare una festa, ecc.) “domestico” (se hanno un figlio, un genitore anziano, un animale domestico, un condominio, ecc.) e “personalità” (stanno facendo volontariato, cartomanzia, cibo, viaggi, sport, corsa, ecc?).”
Un membro del team di marketing ha dichiarato che la squadra “può imparare lo sfondo della vita dei nostri clienti, il loro stile di vita e la loro psicologia. Possiamo quindi indirizzare i nostri cataloghi di conseguenza. E possiamo prevedere quando qualcuno ha bisogno di un prodotto basato su ciò che dicono sui social media.”
Non pensavi che stavi dando via tante informazioni, vero??
Naturalmente, hai il pieno controllo su ciò che stai condividendo con un'azienda che utilizza gli accessi social e quanto possono pubblicare per te, ma solo se ti prendi il tempo di leggere le autorizzazioni che stanno richiedendo. E non dare accesso a cose che preferiresti mantenere private. Ma non è sempre facile, perché alcune app e servizi utilizzano ora solo l'accesso a Facebook o Twitter, il che significa che se non accetti le loro autorizzazioni, non usi il servizio.
Lezioni da asporto: cosa dovresti fare?
Come con la maggior parte delle cose, ci sono due lati della storia di accesso usando gli account social. In genere è abbastanza sicuro e in effetti hai un certo controllo sulla quantità di informazioni che condividi.
D'altra parte, potresti dare un sacco di controllo se non stai attento. Quindi cosa dovresti fare al riguardo?
- Leggi le richieste di autorizzazione prima di concederle.
Questo è un aspetto importante e diventerà sempre più importante con l'integrazione dei servizi web. Se non si desidera un'app che raccolga dati sui propri amici di Facebook, non consentire l'accesso a Facebook.
- Controlla frequentemente le autorizzazioni dell'app.
Su Facebook, vai alla scheda App nella schermata Impostazioni. Su Twitter, vai anche alla scheda App in Impostazioni. Google è un po 'più complicato: vai su accounts.google.com, quindi fai clic su Sicurezza, quindi Visualizza tutto sotto Autorizzazioni account. Guarda quali app hanno accesso ai tuoi dati e revocano l'accesso per quelli che non usi più. E se vedi un'app con più autorizzazioni di quanto dovrebbe, prendi in considerazione la possibilità di revocare l'accesso e vedere se puoi accedere a quel servizio con un nome utente e una password tradizionali.
Per velocizzare il processo, puoi utilizzare MyPermissions Too Many Apps? Come revocare le autorizzazioni delle app da più siti web in 2 minuti troppe app? Come revocare le autorizzazioni delle app da più siti web in 2 minuti Il mondo online offre molti problemi di privacy. Sappiamo tutti che non dovremmo pubblicare cose private su Facebook, non dobbiamo scrivere il nostro indirizzo e-mail in luoghi ben visibili, e dovremmo davvero prestare attenzione, come ... Read More, che ti aiuta a gestire le tue autorizzazioni su Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox e altro.
- Ignora le autorizzazioni e imposta i segmenti di pubblico consentiti per la condivisione.
Se un'app chiede il permesso di condividere per tuo conto tramite un servizio sociale, potresti avere l'opportunità di non dare tale autorizzazione (lo vedrai su Facebook quando vedrai un “Salta” pulsante). Se questa è un'opzione, usala! Puoi anche impostare il pubblico per la condivisione consentita, ad esempio puoi condividere con tutti i tuoi amici, un pubblico personalizzato o solo te stesso.
- Tratta le richieste di autorizzazione in modo diverso in base agli account.
Cosa postate su Instagram? Cosa postate su Twitter? Una richiesta di leggere i tuoi post di Foursquare potrebbe essere molto meno spaventosa della concessione “Componi e invia nuova posta” privilegi per il tuo account Gmail.
- Cambia le tue password regolarmente.
Quando si modificano le password, un numero di token OAuth verrà immediatamente invalidato, richiedendo di re-accedere e riapprovare i token. Per quanto ho potuto capire, Gmail e Facebook invalideranno i token quando cambi la password, ma Twitter e Google+ no. Per questi altri servizi, dovrai revocare l'accesso e quindi emettere nuovamente le autorizzazioni.
Conclusione: convenienza per un prezzo
L'accesso a siti e servizi con le tue credenziali social aggiunge molta convenienza e anche un po 'di sicurezza. Ma ciò può essere rischioso, sia dal punto di vista della privacy che, in misura minore, della sicurezza. Ma se si esercitano i cinque suggerimenti di sicurezza sopra, si dovrebbe solo dare le autorizzazioni che si intende.
Con che frequenza usi le tue informazioni di accesso social su un altro sito? Ti senti sicuro farlo? Leggi e ricontrollare le autorizzazioni su base regolare? Condividi i tuoi pensieri qui sotto!
Crediti immagine: Marc Falardeau via Flickr, Rob Pongsajapan via Flickr, Iván Melenchón Serrano via MorgueFile
Scopri di più su: Facebook, Sicurezza online.