Moet u twee keer nadenken voordat u zich aanmeldt met behulp van sociale accounts?

Advertentie

Advertentie
Advertentie

Het voelt alsof elke keer dat u zich aanmeldt voor een nieuwe service, u kunt kiezen om een ​​gebruikersnaam en wachtwoord te kiezen of gewoon in te loggen met Facebook of Twitter. Het is vaak ook mogelijk om in te loggen met uw Google-account. Het is snel en het is gemakkelijk. Maar zou je het moeten doen?

Hoe werkt het?

Aanmelden met uw sociale account maakt gebruik van een protocol met de naam OAuth, waarmee (in een notendop) één app of service (de aanvrager of service waarvoor u zich aanmeldt) verbinding maakt met een andere (de serviceprovider of het bestaande netwerk dat u gebruikt). gebruiken om u aan te melden) en handelen namens u. Dit wordt gedaan door 'tokens' aan de app te verstrekken. Deze tokens functioneren een beetje zoals uw gebruikersnaam en wachtwoord, omdat ze de app toegang geven tot een wachtwoordbeveiligde service (bijv. Facebook).

Het belangrijkste is dat uw echte gebruikersnaam en wachtwoord nooit tussen de apps worden gecommuniceerd en dat de app die de aanvraag indient, alleen toegang krijgt tot een beperkt deel van uw wachtwoordbeveiligde account.

blurb-request

Laten we een snel voorbeeld bekijken. Stel dat je Blurb gebruikt om van je Facebook-foto's een boek te maken Drie eenvoudige manieren om van je Facebook een echt boek te maken [Wekelijkse Facebook-tip] Drie eenvoudige manieren om van je Facebook een echt boek te maken [Wekelijkse Facebook-tip] Heb je ooit gewild om een ​​echt papieren boek te maken van de dingen die je op Facebook hebt staan? Misschien heb je familieleden die niet op Facebook zijn maar graag de foto's willen zien die je hebt geplaatst ... Lees meer. Je gaat naar Blurb (de aanvrager) en geeft aan dat je foto's van Facebook wilt afdrukken. Blurb stuurt u terug naar Facebook (de serviceprovider), waar u uw inlogreferenties invoert (rechtstreeks naar Facebook, niet Blurb) en vertel Facebook dat u Blurb toestemming geeft om toegang te krijgen tot uw foto's. Nu kan Blurb die foto's downloaden zodat ze kunnen worden afgedrukt. Als Blurb probeert toegang tot uw tijdlijn te krijgen, wordt deze geweigerd, omdat het token dat het alleen toegang heeft tot uw foto's en openbaar profiel.

OAuth deelt nooit uw gebruikersnaam of wachtwoord met de verzoekende app. Het idee is dat het geheim houden van uw gebruikersnaam en wachtwoord hen beveiligt. En om te voorkomen dat een verzoekende app of service toegang krijgt tot uw account, hoeft u alleen maar op 'Toegang intrekken' te klikken in plaats van uw wachtwoord te wijzigen.

Is het veilig?

Oké, dus het proces lijkt tot nu toe vrij eenvoudig. Maar hoe veilig is het? Moeten we ons zorgen maken over de veiligheid van OAuth-sites?

Vanuit beveiligingsoogpunt ziet OAuth er best goed uit. Een worst-case scenario resulteert nog steeds niet in de openbaring van uw sociale wachtwoorden. En de mogelijkheid om de toegang tot elke app met een token onmiddellijk in te trekken, betekent dat zelfs als een website wordt gehackt en sommige snode personages alle tokengegevens in handen krijgen, je gewoon op de knop voor intrekkingstoegang kunt drukken en ze geen toegang meer hebben toegang tot uw sociale site.

Het feit dat je alleen toegang tot een specifieke subset van de gegevens op je sociale site deelt, is ook heel aantrekkelijk: als iemand Snapfish hackt en toegang krijgt tot je Facebook-foto's, zou je je niet te veel zorgen moeten maken (je zorgt voor de foto's post je, toch?).

Yale-safe

Ondanks de recente gedramatiseerde ontdekking van een beveiligingsfout in OAuth, is het systeem behoorlijk goed.

Er is echter meer aan online veiligheid dan alleen codering en tokens. Een van de beste manieren om ervoor te zorgen dat u veilig online bent, is door goede wachtwoordpraktijken toe te passen. En OAuth helpt daar veel mee. Hoe? Als u zich kunt aanmelden met Twitter of Google, hoeft u niet nog een wachtwoord te maken dat u moet onthouden. Als u een zeer veilig Facebook-wachtwoord hebt, kunt u dat gebruiken om toegang te krijgen tot een aantal dingen zonder exact hetzelfde wachtwoord te gebruiken voor meer sites.

Dit is een duidelijk voordeel van OAuth en het feit dat u het aantal websites met uw wachtwoorden beperkt, is een groot pluspunt.

Het is ook belangrijk om te vermelden dat sites die toegang hebben tot uw sociale profielen geen belangrijke acties kunnen ondernemen: ze kunnen uw account niet verwijderen, uw wachtwoord wijzigen of andere grote wijzigingen aanbrengen. Dat is geruststellend.

Welke risico's neemt u?

Helaas is niets eenvoudig als het gaat om online veiligheid en beveiliging. Er zijn enkele risico's verbonden aan het gebruik van OAuth, meestal met betrekking tot privacy.

Hoe vaak neem je bijvoorbeeld de tijd om echt te kijken naar de rechten die je geeft wanneer je Facebook Connect gebruikt? Hoewel apps alleen toegang moeten vragen tot de informatie die ze nodig hebben om u beter van dienst te zijn, vragen ze vaak om nog veel meer: ​​uw tijdlijn, de gegevens van uw vrienden en de mogelijkheid om berichten te plaatsen, bijvoorbeeld.

Soms is dit een goede zaak, misschien wilt u Twitter integreren in uw contacten-app of een nieuwslezer. Of u wilt uw trainingsresultaten van RunKeeper posten Blijf op de hoogte van uw trainingsdoelstellingen terwijl u traint met RunKeeper [Android] Houd uw trainingsdoelen bij terwijl u traint met RunKeeper [Android] Rond MakeUseOf houden we graag van het vinden van apps en andere online motivators om fit en gezond te blijven. Na onderzoek van deze fitness-apps keer op keer, bewijst RunKeeper altijd dat hij een van de allerbeste is. Het is ... Lees meer of MapMyFitness. Maar er is niets in de machtigingen dat ervoor zorgt dat de app of service niet kan posten wat ze willen. Er is alleen geen optie 'resultaten na enquête uitvoeren'. Je moet er gewoon op vertrouwen dat de app alleen dingen plaatst die je wilt of vertelt, en geen advertenties.

digital-key

En misschien geeft u meer informatie weg dan waar u op had gerekend. Het maakt je niet uit of je favoriete winkel ziet wat je op Facebook plaatst, toch? Misschien krijgen ze meer informatie dan je had gedacht.

Op een conferentie in 2012 bijvoorbeeld, vertelde een Japans catalogusbedrijf over hoe het informatie op het Facebook-profiel van een gebruiker gebruikte om dingen af ​​te leiden "over de levensfase van een klant" (of ze nu getrouwd of ongehuwd zijn, zwanger, op dieet, een feest plannen), enz.) "huishouden" (als ze een kind hebben, een ouder wordende ouder, een huisdier, een condo, enz.) en "persoonlijkheid" (zijn ze in vrijwilligerswerk, waarzeggerij, eten, reizen, sporten, hardlopen, enz. ?).”

Een lid van het marketingteam verklaarde dat het team "de levensachtergrond van onze klanten kan leren kennen-hun levensstijl en psychologie. Vervolgens kunnen we onze catalogi dienovereenkomstig targeten. En we kunnen voorspellen wanneer iemand een product nodig heeft op basis van wat ze op sociale media zeggen. "

Dacht niet dat je zoveel informatie weggaf, of wel?

Natuurlijk hebt u volledige controle over wat u deelt met een bedrijf dat sociale aanmeldingen gebruikt en hoeveel ze voor u kunnen posten, maar alleen als u de tijd neemt om de machtigingen te lezen die ze vragen. En geef geen toegang tot dingen die je liever privé houdt. Maar dat is niet altijd gemakkelijk, omdat sommige apps en services nu alleen inloggen via Facebook of Twitter gebruiken, wat betekent dat als u niet akkoord gaat met hun machtigingen, u de service niet kunt gebruiken.

Afhaallessen: wat moet je doen?

Zoals met de meeste dingen, zijn er twee kanten aan het verhaal van inloggen met sociale accounts. Het is over het algemeen vrij veilig en je hebt eigenlijk behoorlijk wat controle over hoeveel informatie je deelt.

controle sleutel

Aan de andere kant geef je misschien veel controle weg als je niet voorzichtig bent. Dus wat moet je eraan doen?

  • Lees toestemmingsverzoeken voordat je ze toestaat.

Dit is een belangrijke en het zal alleen maar belangrijker worden naarmate webservices meer geïntegreerd worden. Als je niet wilt dat een app gegevens verzamelt over je Facebook-vrienden, sta dit dan niet toe aan Facebook.

  • Controleer uw app-machtigingen regelmatig.

Ga op Facebook naar het tabblad Apps op het scherm Instellingen. Ga ook op Twitter naar het tabblad Apps in Instellingen. Google is een beetje lastiger: ga naar accounts.google.com, klik vervolgens op Beveiliging en vervolgens Alles bekijken onder Accountmachtigingen. Kijk welke apps toegang hebben tot uw gegevens en herroep de toegang voor apps die u niet meer gebruikt. En als u een app ziet die meer rechten heeft dan zou moeten, overweeg dan toegang en zien te herroepen als u zich bij die dienst kunt aanmelden met een traditionele gebruikersnaam en wachtwoord.

Om het proces te versnellen, gebruikt u MyPermissions Too Many Apps? Hoe app-autorisaties te herroepen van meerdere websites in 2 minuten te veel apps? App-machtigingen intrekken van meerdere websites in 2 minuten De online wereld biedt veel privacyproblemen. We weten allemaal dat we geen privédingen op Facebook moeten plaatsen, we moeten ons e-mailadres niet op opvallende plaatsen opschrijven, en we moeten echt opletten, als ... Lees meer, waarmee je je rechten op Facebook kunt beheren, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox en meer.

  • Sla machtigingen over en stel toegestane doelgroepen in om te delen.

Als een app toestemming vraagt ​​om namens jou te delen via een sociale service, heb je misschien de mogelijkheid om die toestemming niet te geven (je ziet dit op Facebook wanneer je een knop 'Overslaan' ziet). Als dat een optie is, gebruik het dan! U kunt ook de doelgroep instellen voor het toegestane delen. U kunt deze bijvoorbeeld delen met al uw vrienden, een aangepaste doelgroep of alleen uzelf.

  • Behandel permissieverzoeken anders op basis van accounts.

Wat publiceer je op Instagram? Wat publiceer je op Twitter? Een verzoek om uw Foursquare-berichten te lezen, kan een stuk minder eng zijn dan het verlenen van rechten voor 'Stel in en verstuur nieuwe e-mail' naar uw Gmail-account.

unrollme-verzoek

  • Wijzig uw wachtwoorden regelmatig.

Wanneer u uw wachtwoorden wijzigt, worden een aantal OAuth-tokens onmiddellijk ongeldig, waardoor u opnieuw moet aanmelden en de tokens opnieuw moet goedkeuren. Voor zover ik heb kunnen achterhalen, maken Gmail en Facebook tegenspelers ongeldig als je je wachtwoord wijzigt, maar Twitter en Google+ niet. Voor deze andere services moet u de toegang intrekken en de machtigingen opnieuw uitvoeren.

Conclusie: gemak voor een prijs

Aanmelden bij sites en services met uw sociale referenties voegt veel gemak en zelfs een beetje beveiliging toe. Maar het kan riskant zijn, zowel vanuit het oogpunt van privacy als - in mindere mate - veiligheid. Maar als u de vijf bovenstaande veiligheidstips toepast, zou u alleen de rechten moeten geven die u van plan bent.

Hoe vaak gebruikt u uw sociale login-informatie op een andere site? Voel je je veilig om het te doen? Leest u de machtigingen regelmatig opnieuw en controleert u deze opnieuw? Deel je gedachten hieronder!

Afbeelding credits: Marc Falardeau via Flickr, Rob Pongsajapan via Flickr, Iván Melenchón Serrano via MorgueFile

In this article