Det føles som hver gang du registrerer deg for en ny tjeneste, kan du velge å velge et brukernavn og passord eller bare logge inn med Facebook eller Twitter. Det er ofte et alternativ også å logge på med Google-kontoen din. Det er raskt og det er enkelt. Men bør du gjøre det?
Hvordan virker det?
Logg inn ved hjelp av din sosiale konto bruker en protokoll som heter OAuth, som (i et nøtteskall) tillater en app eller tjeneste (forespørselen eller tjenesten du logger deg på) for å koble til en annen (tjenesteleverandøren eller eksisterende nettverk du ' bruk igjen for å registrere deg) og handle på dine vegne. Dette gjøres ved å utstede "tokens" til den forespørrende appen. Disse tokenene virker litt som brukernavn og passord, da de gir den apperende appen tilgang til en passordbeskyttet tjeneste (f.eks. Facebook).
Det viktigste her er at ditt faktiske brukernavn og passord aldri blir kommunisert mellom appene, og at den forespørende appen bare får tilgang til en begrenset del av din passordbeskyttede konto.
![blurb-request](img/social-media/877/should-you-think-twice-before-logging-using-social-accounts.jpg")
La oss se på et raskt eksempel. Si at du bruker Blurb for å slå dine Facebook-bilder inn i en bok. Tre enkle måter å gjøre Facebook din på en ekte bok. [Ukentlig Facebook Tips] Tre enkle måter å slå din Facebook inn i en ekte bok. [Ukentlig Facebook Tips] Har du noen gang ønsket å lage en ekte kopi av de tingene du har på Facebook? Kanskje du har slektninger som ikke er på Facebook, men vil gjerne se bildene du har lagt inn ... Les mer. Du går til Blurb (forespørselen) og forteller at du vil skrive ut bilder fra Facebook. Blurb sender deg tilbake til Facebook (tjenesteleverandøren), der du oppgir påloggingsinformasjonen din (sendt direkte til Facebook, ikke Blurb) og forteller Facebook at du gir Blurb tillatelse til å få tilgang til bildene dine. Nå kan Blurb laste ned bildene slik at de kan skrives ut. Hvis Blurb prøver å få tilgang til tidslinjen, blir den nektet, fordi symbolet den bare har, gir den tilgang til bildene og den offentlige profilen.
OAuth deler aldri brukernavnet eller passordet ditt med den forespørgende appen, ideen er at å holde brukernavnet og passordet ditt en hemmelighet, holder dem trygge. Og for å stoppe en forespørselende app eller tjeneste fra å få tilgang til kontoen din, er alt du trenger å gjøre ved å klikke på "Tilbakekall tilgang", i stedet for å endre passordet ditt.
Er det trygt?
Ok, så prosessen virker ganske grei så langt. Men hvor trygt er det? Skal vi være bekymret for sikkerheten til OAuth-nettsteder?
Fra et sikkerhetsmessig synspunkt ser OAuth ganske bra ut. Et worst case scenario resulterer fortsatt ikke i åpenbaring av dine sosiale passord. Og muligheten til å øyeblikkelig tilbakekalle tilgangen til en hvilken som helst app som har et token betyr at selv om et nettsted blir hacket og noen falske tegn får hendene på alle token-dataene, kan du bare trykke på tilbakekallingsknappen, og de vil ikke ha tilgang til ditt sosiale nettsted.
Det faktum at du bare deler tilgang til en bestemt delmengde av dataene på ditt sosiale nettsted, er også ganske tiltalende. Hvis noen hacker Snapfish og får tilgang til Facebook-bildene dine, bør du ikke være for bekymret (du tar vare på bildene du legger inn, ikke sant?).
Til tross for den nylig dramatiserte oppdagelsen av en sikkerhetsfeil i OAuth, er systemet et ganske bra.
Det er imidlertid mer til nettverkssikkerhet enn bare kryptering og tokens. En av de beste måtene å sikre at du er trygg på Internett, er å bruke gode passordpraksis. Og OAuth hjelper mye med det. Hvordan? Ved å kunne logge på med Twitter eller Google, trenger du ikke å opprette enda et passord som du må huske. Hvis du har et veldig sikkert Facebook-passord, kan du bruke det for å få tilgang til en rekke ting uten å bruke nøyaktig samme passord for flere nettsteder.
Dette er en klar fordel ved OAuth, og det faktum at du begrenser antall nettsteder som har passordene dine er et stort pluss.
Det er også viktig å nevne at nettsteder som åpner dine sosiale profiler, ikke kan ta noen store handlinger, de kan ikke slette kontoen din, endre passordet ditt eller gjøre andre store endringer. Som er beroligende.
Hvilke risikoer tar du?
Dessverre er ingenting enkelt når det gjelder sikkerhet og sikkerhet på nettet. Det er noen risikoer for å bruke OAuth, for det meste relatert til personvern.
For eksempel, hvor ofte tar du deg tid til å se på tillatelsene du gir når du bruker Facebook Connect? Mens apper bare skal be om tilgang til informasjonen de trenger for å bedre deg, ber de ofte om mye mer - din tidslinje, vennens informasjon og muligheten til å legge inn, for eksempel.
Noen ganger er dette en god ting - du vil kanskje integrere Twitter i kontaktprogrammet eller en nyhetsleser. Eller du vil kanskje legge inn treningsresultater fra RunKeeper Hold styr på treningsmålene dine mens du trener med RunKeeper [Android] Hold styr på treningsmålene dine mens du trener med RunKeeper [Android] Rundt MakeUseOf, vi elsker å finne apps og andre onlinemotivatorer å holde seg i form og sunn. Etter å ha undersøkt disse treningsprogrammene gang etter gang, viser RunKeeper seg alltid å være en av de aller beste. Det er ... Les mer eller MapMyFitness. Men det er ingenting i tillatelsene som vil holde appen eller tjenesten fra å legge ut hva de vil. Det er ingen "kun post-undersøkelsesresultater". Du må bare stole på at appen bare vil legge inn ting du vil eller fortelle det til, og ikke annonser.
Og du kan gi bort mer informasjon enn du forhandlet for. Hvem bryr seg om favorittbutikken din ser hva du legger ut på Facebook, ikke sant? Vel, de kan få mer informasjon enn du trodde.
For eksempel, på en konferanse i 2012, snakket et japansk katalogfirma om hvordan det brukte informasjon om en brukers Facebook-profil for å utlede ting "om en kundes" livsstil "(enten de er gift eller ugift, gravid, slanking, planlegger en fest, osv.) "husholdning" (hvis de har barn, eldrende foreldre, kjæledyr, leilighet osv.) og "personlighet" (er de til frivillig, fortune-telling, mat, reiser, sport, løp osv ?).”
Et medlem av markedsføringsgruppen uttalte at laget "kan lære livsgrunnlaget til våre kunder - deres livsstil og psykologi. Vi kan da målrette våre kataloger tilsvarende. Og vi kan forutsi når noen trenger et produkt basert på hva de sier om sosiale medier. "
Trodde ikke du ga bort så mye informasjon, gjorde du?
Selvfølgelig har du full kontroll over hva du deler med et selskap som bruker sosiale pålogginger og hvor mye de kan legge ut for deg - men bare hvis du tar deg tid til å lese tillatelsene de ber om. Og ikke gi tilgang til ting du helst vil beholde privat. Men det er ikke alltid lett, for enkelte apper og tjenester bruker nå bare Facebook eller Twitter-pålogging, noe som betyr at hvis du ikke godtar deres tillatelser, får du ikke bruke tjenesten.
Takeaway Lessons: Hva skal du gjøre?
Som med de fleste ting, er det to sider i historien om å logge inn ved bruk av sosiale kontoer. Det er generelt ganske trygt, og du har faktisk litt kontroll over hvor mye informasjon du deler.
På den annen side kan du gi bort mye kontroll hvis du ikke er forsiktig. Så hva skal du gjøre med det?
- Les tillatelsesanmodninger før du gir dem.
Dette er en viktig, og det kommer bare til å bli viktigere da webtjenester blir mer integrert. Hvis du ikke vil ha en app som henter data om Facebook-vennene dine, ikke la den få tilgang til Facebook.
- Gå gjennom apptillatelsene dine ofte.
På Facebook, gå til fanen Apps på Innstillinger-skjermen. På Twitter, gå til fanen Apps i Innstillinger også. Google er litt vanskeligere: gå til accounts.google.com, klikk deretter på Sikkerhet og deretter Vis alle under Kontotillatelser. Se på hvilke apper som har tilgang til dataene dine, og tilbakekall tilgangen til det du ikke bruker lenger. Og hvis du ser en app som har flere tillatelser enn det burde, bør du vurdere å tilbakekalle tilgang og se om du kan logge deg på den tjenesten med et tradisjonelt brukernavn og passord.
For å øke hastigheten på prosessen, kan du bruke MyPermissions for mange apper? Slik Tilbakekaller App Tillatelser Fra Flere Nettsteder I 2 Minutter For Mange Apps? Slik Tilbakekaller App Tillatelser Fra Flere Nettsteder I 2 Minutter Den elektroniske verden tilbyr mange personvern bekymringer. Vi vet alle at vi ikke bør poste private ting på Facebook, vi må ikke skrive ned e-postadressen vår i påfallende steder, og vi bør virkelig være oppmerksom på, som ... Les mer, som hjelper deg med å administrere dine tillatelser på Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox og mer.
- Hopp over tillatelser og sett inn tillatte målgrupper for deling.
Hvis en app ber om tillatelse til å dele på dine vegne via en sosial tjeneste, kan du kanskje ikke gi den tillatelsen (du vil se dette på Facebook når du ser en "Hopp" -knapp). Hvis det er et alternativ, bruk det! Du kan også angi målgruppen for den tillatte delingen, for eksempel, du kan dele til alle dine venner, et egendefinert målgruppe eller bare deg selv.
- Behandle tillatelser forespørsler annerledes basert på kontoer.
Hva legger du inn på Instagram? Hva legger du inn på Twitter? En forespørsel om å lese dine Foursquare-innlegg kan være mye mindre skummelt enn å gi "Komponere og sende ny e-post" -rettigheter til Gmail-kontoen din.
- Endre passordene dine med jevne mellomrom.
Når du endrer passordene dine, blir en rekke OAuth-tokens umiddelbart ugyldiggjort, og du må pålogge og godkjenne tokens på nytt. Så langt jeg har funnet ut, kan Gmail og Facebook ugyldiggjøre tokens når du endrer passordet ditt, men Twitter og Google+ gjør det ikke. For disse andre tjenestene må du tilbakekalle tilgang og deretter gi ut autorisasjonene på nytt.
Konklusjon: Convenience For A Price
Ved å logge deg på nettsteder og tjenester med dine sosiale legitimasjon, legger du til mye bekvemmelighet, og til og med litt sikkerhet. Men det kan være risikabelt, både fra et privatliv og til en mindre grad-sikkerhetssynspunkt. Men hvis du trener de fem sikkerhetstipsene ovenfor, bør du bare gi de tillatelsene du har til hensikt å.
Hvor ofte bruker du dine sosiale påloggingsinformasjon på et annet nettsted? Har du det trygt å gjøre det? Leser du og re-kontrollerer tillatelser med jevne mellomrom? Del dine tanker nedenfor!
Bildekreditter: Marc Falardeau via Flickr, Rob Pongsajapan via Flickr, Iván Melenchón Serrano via MorgueFile