Annuncio pubblicitario

Sembra che ogni volta che ti iscrivi a un nuovo servizio, puoi scegliere di scegliere un nome utente e una password o semplicemente accedere con Facebook o Twitter. Anche l'accesso con il tuo account Google è spesso un'opzione. È veloce ed è facile. Ma dovresti farlo?

Come funziona?

L'accesso utilizzando l'account social utilizza un protocollo chiamato OAuth, che (in poche parole) consente un'app o un servizio (il richiedente, o servizio a cui ti stai iscrivendo) per connetterti a un altro (il fornitore di servizi o la rete esistente che stai utilizzando per registrarti) e agire sul tuo per conto. Questo viene fatto emettendo "token" all'app richiedente. Questi token funzionano in modo un po 'come il tuo nome utente e password, in quanto forniscono all'app richiedente l'accesso a un servizio protetto da password (ad esempio Facebook).

La cosa importante qui è che il tuo effettivo nome utente e password non vengono mai comunicati tra le app e che l'app richiedente ha accesso solo a una parte limitata dell'account protetto da password.

instagram viewer
Blurb-request

Vediamo un breve esempio. Di 'che stai usando Sfuma per trasformare le tue foto di Facebook in un libro Tre semplici modi per trasformare Facebook in un vero libro [Suggerimento settimanale di Facebook]Hai mai desiderato creare un vero libro cartaceo delle cose che hai su Facebook? Forse hai parenti che non sono su Facebook ma vorrebbero vedere le foto che hai inserito ... Leggi di più . Vai su Blurb (il richiedente) e gli dici che vuoi stampare foto da Facebook. Blurb ti reindirizza su Facebook (il fornitore di servizi), dove inserisci le tue credenziali di accesso (inviato direttamente a Facebook, non a Blurb) e comunica a Facebook che dai a Blurb il permesso di accedere al tuo fotografie. Ora Blurb può scaricare quelle foto in modo che possano essere stampate. Se Blurb tenta di accedere alla tua sequenza temporale, verrà negato, perché il token che ha gli dà solo accesso alle tue foto e al tuo profilo pubblico.

OAuth non condivide mai il tuo nome utente o la tua password con l'app richiedente, l'idea è che mantenere segreti il ​​tuo nome utente e la password li mantenga al sicuro. E per impedire a un'app o un servizio richiedente di accedere al tuo account, tutto ciò che devi fare è fare clic su "revoca accesso", invece di modificare la password.

È sicuro?

Va bene, quindi il processo sembra abbastanza semplice finora. Ma quanto è sicuro? Dovremmo essere preoccupati per la sicurezza dei siti OAuth?

Dal punto di vista della sicurezza, OAuth sembra piuttosto buono. Uno scenario peggiore non porta ancora alla rivelazione delle tue password social. E la possibilità di revocare istantaneamente l'accesso a qualsiasi app che ha un token significa che anche se un sito Web viene violato e un po 'nefasto i personaggi mettono le mani su tutti i dati dei token, puoi semplicemente premere il pulsante di revoca dell'accesso e non avranno accesso ai tuoi social luogo.

Anche il fatto che tu condividi solo l'accesso a un sottoinsieme specifico dei dati sul tuo sito social è abbastanza accattivante: se qualcuno hackera Snapfish e ottiene l'accesso alle tue foto di Facebook, non dovresti essere troppo preoccupato (tu siamo prendersi cura delle foto che pubblichi, giusto?).

Yale-safe

Nonostante il recente scoperta drammatizzata di un difetto di sicurezza in OAuth, il sistema è abbastanza buono.

Tuttavia, c'è molto di più nella sicurezza online oltre alla crittografia e ai token. Uno dei modi migliori per assicurarsi che tu sia al sicuro online è l'utilizzo buone pratiche di password Guida alla gestione delle passwordNon sentirti sopraffatto dalle password o usa semplicemente la stessa su ogni sito solo per ricordartele: progetta la tua strategia di gestione delle password. Leggi di più . E OAuth aiuta molto in questo. Come? Potendo accedere utilizzando Twitter o Google, non è ancora necessario creare un altro password che devi ricordare. Se hai una password Facebook molto sicura, puoi usarla per accedere a una serie di cose senza usare la stessa password esatta per più siti.

Questo è un netto vantaggio di OAuth e il fatto che tu limiti il ​​numero di siti Web che hanno le tue password è un grande vantaggio.

È anche importante ricordare che i siti che accedono ai tuoi profili social non possono intraprendere azioni importanti, non sono in grado di eliminare il tuo account, cambiare la password o apportare altre grandi modifiche. Il che è rassicurante.

Quali rischi stai correndo?

Sfortunatamente, nulla è semplice quando si tratta di sicurezza online. Esistono alcuni rischi legati all'uso di OAuth, principalmente legati alla privacy.

Ad esempio, con quale frequenza prendi il tempo di esaminare davvero le autorizzazioni che stai concedendo quando utilizzi Facebook Connect? Mentre le app dovrebbero solo richiedere l'accesso alle informazioni di cui hanno bisogno per offrirti un servizio migliore, loro spesso chiedono molto di più: la cronologia, le informazioni dei tuoi amici e la possibilità di pubblicare post per esempio.

A volte questa è una buona cosa: potresti voler integrare Twitter nell'app dei tuoi contatti o in un lettore di notizie. Oppure potresti voler pubblicare i risultati del tuo allenamento da RunKeeper Tieni traccia dei tuoi obiettivi di allenamento mentre ti alleni con RunKeeper [Android]Intorno a MakeUseOf, amiamo trovare app e altri motivatori online per rimanere in forma e in salute. Dopo aver esaminato queste app di fitness di volta in volta, RunKeeper si dimostra sempre uno dei migliori. Suo... Leggi di più o MapMyFitness. Ma non c'è nulla nelle autorizzazioni che impedirà all'app o al servizio di pubblicare ciò che vogliono. Non esiste un'opzione "solo risultati del sondaggio". Devi solo fidarti che l'app pubblicherà solo le cose che desideri o le dirai e non le pubblicità.

digital-chiave

E potresti darti più informazioni di quelle che ti aspettavi. A chi importa se il tuo negozio preferito vede quello che stai pubblicando su Facebook, giusto? Bene, potrebbero ottenere più informazioni di quanto immagini.

Ad esempio, in una conferenza del 2012, una società di cataloghi giapponese parlato di come utilizzavano le informazioni sul profilo Facebook di un utente per dedurre cose "sulla" fase di vita "di un cliente (se sono sposati o non sposati, in gravidanza, a dieta, organizzando una festa, ecc.) "Famiglia" (se hanno un figlio, un genitore anziano, un animale domestico, un condominio, ecc.) E "personalità" (si dedicano al volontariato, alla predizione, al cibo, ai viaggi, allo sport, in esecuzione, ecc?). "

Un membro del team di marketing ha affermato che il team “può imparare il background di vita dei nostri clienti, il loro stile di vita e la loro psicologia. Possiamo quindi indirizzare i nostri cataloghi di conseguenza. E possiamo prevedere quando qualcuno ha bisogno di un prodotto in base a ciò che dicono sui social media. "

Non pensavi che stessi dando così tante informazioni, vero?

Ovviamente, hai il pieno controllo su ciò che condividi con un'azienda utilizzando i social login e come possono pubblicare post per te, ma solo se hai il tempo di leggere le autorizzazioni che ti stanno chiedendo per. E non dare accesso a cose che preferiresti mantenere private. Ma non è sempre facile, perché alcune app e servizi ora utilizzano l'accesso solo su Facebook o Twitter, il che significa che se non accetti le loro autorizzazioni, non potrai utilizzare il servizio.

Lezioni da asporto: cosa dovresti fare?

Come per la maggior parte delle cose, ci sono due lati della storia dell'accesso usando gli account social. In genere è abbastanza sicuro e in realtà hai un po 'di controllo su quante informazioni condividi.

chiave di controllo

D'altra parte, potresti non dare molto controllo se non stai attento. Quindi cosa dovresti fare al riguardo?

  • Leggere le richieste di autorizzazione prima di concederle.

Questo è importante e diventerà sempre più importante man mano che i servizi web diventeranno più integrati. Se non desideri che un'app raccolga dati sui tuoi amici di Facebook, non consentirgli di accedere a Facebook.

  • Controlla frequentemente le autorizzazioni della tua app.

Su Facebook, vai al Scheda App nella schermata Impostazioni. Su Twitter, vai su Scheda App in Impostazioni, pure. Google è un po 'più complicato: vai a accounts.google.com, quindi fare clic su Sicurezza, quindi Visualizza tutto in Autorizzazioni account. Guarda quali app hanno accesso ai tuoi dati e revoca l'accesso per quelli che non usi più. E se vedi un'app che ha più autorizzazioni di quanto dovrebbe, prendi in considerazione la revoca dell'accesso e vedi se riesci ad accedere a quel servizio con un nome utente e una password tradizionali.

Per accelerare il processo, puoi usa MyPermissions Troppe app? Come revocare le autorizzazioni delle app da più siti Web in 2 minutiIl mondo online offre molti problemi di privacy. Sappiamo tutti che non dovremmo pubblicare cose private su Facebook, non dobbiamo scrivere il nostro indirizzo e-mail in luoghi ben visibili e dovremmo davvero prestare attenzione, poiché ... Leggi di più , che ti aiuta a gestire le tue autorizzazioni su Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox e altro.

  • Ignora le autorizzazioni e imposta il pubblico consentito per la condivisione.

Se un'app chiede l'autorizzazione a condividere per tuo conto tramite un servizio sociale, potresti avere l'opportunità di non concedere tale autorizzazione (la vedrai su Facebook quando vedi un pulsante "Salta"). Se questa è un'opzione, usala! Puoi anche impostare il pubblico per la condivisione consentita, ad esempio puoi condividere con tutti i tuoi amici, un pubblico personalizzato o solo te stesso.

  • Trattare le richieste di autorizzazione in modo diverso in base agli account.

Cosa pubblichi su Instagram? Cosa pubblichi su Twitter? Una richiesta di lettura dei tuoi post su Foursquare potrebbe essere molto meno spaventosa rispetto alla concessione dei privilegi di "Componi e invia nuova posta" al tuo account Gmail.

unrollme-request
  • Cambia le tue password su base regolare.

Quando si modificano le password, un certo numero di token OAuth verrà immediatamente invalidato, richiedendo di ripetere l'accesso e approvare nuovamente i token. Per quanto ho potuto capire, Gmail e Facebook invalidano i token quando cambiate la password, ma Twitter e Google+ non lo fanno. Per questi altri servizi, dovrai revocare l'accesso e quindi riemettere le autorizzazioni.

Conclusione: convenienza per un prezzo

Accedere a siti e servizi con le tue credenziali social aggiunge molta comodità e persino un po 'di sicurezza. Ma ciò può essere rischioso, sia dal punto di vista della privacy che, in misura minore, della sicurezza. Ma se pratichi i cinque suggerimenti di sicurezza sopra, dovresti dare solo le autorizzazioni che intendi fare.

Con quale frequenza utilizzi le tue informazioni di accesso social su un altro sito? Ti senti al sicuro nel farlo? Leggete e ricontrollate le autorizzazioni su base regolare? Condividi i tuoi pensieri qui sotto!

Crediti immagine: Marc Falardeau via Flickr, Rob Pongsajapan via Flickr, Iván Melenchón Serrano via MorgueFile

Dann è un consulente di marketing e strategia dei contenuti che aiuta le aziende a generare domanda e lead. Inoltre blog su strategia e content marketing su dannalbright.com.