Ska du tänka två gånger innan du loggar in med sociala konton?

Annons

Annons
Annons

Det känns som varje gång du registrerar dig för en ny tjänst, kan du välja att välja ett användarnamn och lösenord eller bara logga in med Facebook eller Twitter. Logga in med ditt Google-konto är ofta ett alternativ också. Det är snabbt och det är enkelt. Men ska du göra det?

Hur fungerar det?

Logga in med ditt sociala konto använder ett protokoll som heter OAuth, vilket (i ett nötskal) tillåter en app eller tjänst (den som söker eller tjänsten du loggar på) för att ansluta till en annan (tjänsteleverantören eller befintligt nätverk du " använd igen för att anmäla dig) och agera på dina vägnar. Detta görs genom att utfärda "tokens" till den begärande appen. Dessa tokens fungerar lite som ditt användarnamn och lösenord, eftersom de ger den begärande appen tillgång till en lösenordsskyddad tjänst (t.ex. Facebook).

Det viktiga här är att ditt faktiska användarnamn och lösenord aldrig kommuniceras mellan appar och att den begärande appen bara får tillgång till en begränsad del av ditt lösenordsskyddade konto.

blurb-request

Låt oss titta på ett snabbt exempel. Säg att du använder Blurb för att göra dina Facebook-bilder till en bok Tre enkla sätt att göra din Facebook till en riktig bok [Weekly Facebook Tips] Tre enkla sätt att göra din Facebook till en riktig bok [Weekly Facebook Tip] Har du någonsin velat att göra en riktig kopia av de saker du har på Facebook? Kanske har du släktingar som inte är på Facebook men skulle älska att se de bilder du har lagt i ... Läs mer. Du går till Blurb (beställaren) och berättar att du vill skriva ut foton från Facebook. Blurb leder dig tillbaka till Facebook (tjänsteleverantören), där du anger inloggningsuppgifter (skickas direkt till Facebook, inte Blurb) och berättar för Facebook att du ger Blurb tillåtelse att komma åt dina foton. Nu kan Blurb ladda ner dessa bilder så att de kan skrivas ut. Om Blurb försöker komma åt din tidslinje kommer den att nekas, eftersom den token som den bara har ger tillgång till dina foton och den offentliga profilen.

OAuth delar aldrig ditt användarnamn eller lösenord med den begärande appen, tanken att att hålla ditt användarnamn och lösenord en hemlighet håller dem säkra. Och för att stoppa en ansökande app eller tjänst från att komma åt ditt konto är allt du behöver göra genom att klicka på "återkalla åtkomst", istället för att ändra ditt lösenord.

Är det säkert?

Okej, så verkar processen ganska enkelt hittills. Men hur säker är det? Ska vi vara oroliga för säkerheten på OAuth-webbplatser?

Ur säkerhetssynpunkt ser OAuth ganska bra ut. Ett worst case scenario resulterar fortfarande inte i uppenbarelsen av dina sociala lösenord. Och möjligheten att omedelbart återkalla åtkomst till någon app som har en token innebär att även om en webbplats blir hackad och några skrämmande tecken får händerna på alla token-data, kan du bara trycka på återkalla åtkomstknappen och de kommer inte ha tillgång till din sociala webbplats.

Att du bara delar tillgång till en viss delmängd av data på din sociala webbplats är också ganska tilltalande. Om någon hackar Snapfish och får tillgång till dina Facebook-bilder, borde du inte vara orolig (du tar hand om bilderna du postar, eller hur?).

Yale-safe

Trots den senaste dramatiserade upptäckten av säkerhetsfel i OAuth är systemet ett ganska bra.

Det finns dock mer till online-säkerhet än bara kryptering och tokens. Ett av de bästa sätten att se till att du är säker på nätet är att använda bra lösenordspraxis. Och OAuth hjälper mycket med det. Hur? Genom att kunna logga in med Twitter eller Google behöver du inte skapa ytterligare ett lösenord som du måste komma ihåg. Om du har ett mycket säkert Facebook-lösenord kan du använda det för att komma åt ett antal saker utan att använda exakt samma lösenord för fler webbplatser.

Detta är en tydlig fördel med OAuth - och det faktum att du begränsar antalet webbplatser som har dina lösenord är ett stort plus.

Det är också viktigt att nämna att webbplatser som använder dina sociala profiler inte kan göra några viktiga åtgärder. De kan inte ta bort ditt konto, ändra ditt lösenord eller göra andra stora förändringar. Vilket är lugnande.

Vilka risker tar du?

Tyvärr är ingenting enkelt när det gäller säkerhet och säkerhet på nätet. Det finns vissa risker med att använda OAuth, mestadels relaterad till integritet.

Till exempel, hur ofta tar du dig tid att verkligen titta på de behörigheter du ger när du använder Facebook Connect? Medan appar bara bör begära tillgång till den information som de behöver för att hjälpa dig bättre, frågar de ofta mycket mer - din tidslinje, dina vänner information och möjligheten att lägga till, till exempel.

Ibland är det bra - du kanske vill integrera Twitter i din kontaktapp eller en nyhetsläsare. Eller om du kanske vill lägga ut dina träningsresultat från RunKeeper håller reda på dina träningsmål medan du tränar med RunKeeper [Android] Håll dig uppdaterad med dina träningsmål medan du tränar med RunKeeper [Android] Om MakeUseOf, vi älskar att hitta appar och andra online-motivatorer att hålla sig frisk och frisk. Efter att ha undersökt dessa fitnessapplikationer gång på gång visar RunKeeper sig alltid att vara en av de allra bästa. Det är ... Läs mer eller MapMyFitness. Men det finns inget i behörigheterna som kommer att hålla appen eller tjänsten från att lägga ut vad de vill. Det finns inga "bara post-mätresultat". Du måste bara lita på att appen bara skickar saker du vill eller berätta för det, och inte annonser.

digital-nyckel

Och du kan ge bort mer information än vad du förhandlade om. Vem bryr sig om din favoritbutik ser vad du skickar på Facebook, eller hur? Tja, kanske de får mer information än du trodde.

Till exempel på en konferens 2012 pratade ett japansk katalogföretag om hur det använde information om en användares Facebook-profil för att påverka saker "om en kunds" livsstadium "(oavsett om de är gift eller ogift, gravid, dieting, planerar en fest etc.) "hushåll" (om de har ett barn, en åldrande förälder, ett husdjur, en lägenhet, etc.) och "personlighet" (är de till volontärarbete, förmögenhet, mat, resor, sport, löpning osv ?).”

En medlem av marknadsföringsgruppen uppgav att laget "kan lära sig våra kunders livsbakgrund - deras livsstil och psykologi. Vi kan då rikta in våra kataloger i enlighet med detta. Och vi kan förutsäga när någon behöver en produkt baserat på vad de säger om sociala medier. "

Trodde inte att du gav bort så mycket information, eller hur?

Självklart har du full kontroll över vad du delar med ett företag som använder sociala inloggningar och hur mycket de kan skicka för dig - men bara om du tar dig tid att läsa de behörigheter som de ber om. Och ge inte tillgång till saker som du hellre skulle hålla privat. Men det är inte alltid lätt, eftersom vissa appar och tjänster nu använder Facebook eller Twitter-bara inloggning, vilket betyder att om du inte godkänner sina behörigheter, får du inte använda tjänsten.

Takeaway Lessons: Vad ska du göra?

Som med de flesta saker finns det två sidor på historien om att logga in med sociala konton. Det är i allmänhet ganska säkert, och du har faktiskt en hel del kontroll över hur mycket information du delar.

kontroll-nyckel

Å andra sidan kan du ge bort mycket kontroll om du inte är försiktig. Så vad ska du göra åt det?

  • Läs tillståndsförfrågningar innan de beviljas dem.

Detta är viktigt, och det kommer bara att bli viktigare eftersom webbtjänster blir mer integrerade. Om du inte vill ha en app som skördar data om dina Facebook-vänner, tillåter du inte tillgång till Facebook.

  • Granska dina appbehörigheter ofta.

På Facebook, gå till fliken Appar på skärmen Inställningar. På Twitter, gå till fliken Appar i Inställningar också. Google är lite knepigare: gå till accounts.google.com, klicka sedan på Säkerhet och sedan Visa alla under Kontotillstånd. Titta på vilka appar som har åtkomst till dina data och återkalla åtkomst till alla som du inte använder längre. Och om du ser en app som har fler behörigheter än det borde, överväga att återkalla åtkomst och se om du kan logga in på den tjänsten med ett traditionellt användarnamn och lösenord.

För att påskynda processen kan du använda MyPermissions för många appar? Hur återkallar appbehörigheter från flera webbplatser om 2 minuter för många applikationer? Hur återkallar Appbehörigheter från flera webbplatser om 2 minuter Onlinevärlden erbjuder många privata frågor. Vi vet alla att vi inte borde posta privata saker på Facebook, vi får inte skriva ner vår e-postadress på påfallande platser, och vi bör verkligen uppmärksamma, som ... Läs mer, vilket hjälper dig att hantera dina behörigheter över Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox och mycket mer.

  • Hoppa över behörigheter och ange tillåtna publikgrupper för delning.

Om en app begär tillstånd att dela på din räkning via en socialtjänst, kan du få möjlighet att inte ge det tillståndet (det kommer du att se på Facebook när du ser en "Hopp" -knapp). Om det är ett alternativ, använd det! Du kan också ställa in publiken för tillåtlig delning, till exempel kan du dela till alla dina vänner, en anpassad målgrupp eller bara dig själv.

  • Behandla tillståndsförfrågningar annorlunda baserat på konton.

Vad lägger du in på Instagram? Vad postar du på Twitter? En begäran om att läsa dina Foursquare-inlägg kan vara mycket mindre skrämmande än att bevilja "Komponera och skicka nytt mail" -behörigheter till ditt Gmail-konto.

unrollme-begäran

  • Byt lösenord regelbundet.

När du ändrar dina lösenord, kommer ett antal OAuth-tokens omedelbart att ogiltigförklaras, vilket kräver att du loggar in och godkänner tokenarna igen. Såvitt jag har kunnat ta reda på, Gmail och Facebook invaliderar tokens när du ändrar ditt lösenord, men Twitter och Google+ gör det inte. För dessa andra tjänster måste du återkalla åtkomst och sedan utfärda behörigheterna igen.

Slutsats: Bekvämlighet för ett pris

Logga in på webbplatser och tjänster med dina sociala uppgifter lägger till mycket bekvämlighet och till och med lite säkerhet. Men det kan vara riskabelt, både från en integritet och till en mindre grad-säkerhetssynpunkt. Men om du övar de fem säkerhetsanvisningarna ovan bör du bara ge de behörigheter du tänker göra.

Hur ofta använder du din sociala inloggningsinformation på en annan webbplats? Är du säker på att du gör det? Läsar du och omprövar behörigheterna regelbundet? Dela dina tankar nedan!

Bildkrediter: Marc Falardeau via Flickr, Rob Pongsajapan via Flickr, Iván Melenchón Serrano via MorgueFile

In this article