Hirdetés

Úgy érzi, hogy minden alkalommal, amikor feliratkozik egy új szolgáltatásra, választhat felhasználónevet és jelszót, vagy csak bejelentkezhet a Facebook vagy a Twitter segítségével. A Google-fiókkal történő bejelentkezés gyakran szintén lehetőség. Gyors és könnyű. De meg kellene csinálni?

Hogyan működik?

A szociális fiókkal történő bejelentkezéshez az OAuth nevű protokollt kell használni, amely (dióhéjban) lehetővé teszi egy alkalmazás vagy szolgáltatás (a kérelmező vagy szolgáltatást, amelyre feliratkozol), hogy csatlakozzon egy másikhoz (a szolgáltatóhoz vagy egy meglévő hálózathoz, amelyet feliratkozáshoz használsz), és cselekedjen a nevében. Ez úgy történik, hogy „tokeneket” ad ki a kérelmező alkalmazás számára. Ezek a tokenek ugyanúgy működnek, mint a felhasználóneved és a jelszavad, mivel hozzáférést biztosítanak a kérelmező alkalmazáshoz egy jelszóval védett szolgáltatáshoz (például a Facebookhoz).

A fontos dolog az, hogy a tényleges a felhasználónév és a jelszó soha nem kerülnek kommunikációra az alkalmazások között, és hogy a kérelmező alkalmazás csak jelszóval védett fiókjának korlátozott részére fér hozzá.

instagram viewer

fülszöveg-kérés

Nézzünk egy gyors példát. Mondja, hogy használ Elmosódik, ha Facebook-fotóit könyvévé szeretné változtatni Három egyszerű módszer a Facebook valódi könyvvé alakításához [Heti Facebook tipp]Szerette volna-e valódi nyomtatott könyvet készíteni a Facebook-on lévő dolgokról? Talán vannak rokonai, akik nincsenek a Facebookon, de szívesen látnák a képeket, amelyeket feltettek ... Olvass tovább . Elmész a Blurb-hoz (a kérelmezőhöz), és elmondja, hogy fotókat szeretne nyomtatni a Facebookból. A Blurb visszahívja Önt a Facebookra (a szolgáltatóra), ahol megadja a bejelentkezési adatait (közvetlenül a Facebook-ra küldi, nem a Blurb-ra), és mondja meg a Facebook-nak, hogy engedélyt ad a Blurb-nak a fotók. Most a Blurb letöltheti ezeket a fényképeket, így kinyomtathatók. Ha Blurb megpróbálja elérni az ütemtervét, akkor ezt megtagadják, mert a birtokában lévő token csak hozzáférést biztosít a képekhez és a nyilvános profilhoz.

Az OAuth soha nem osztja meg felhasználónevét vagy jelszavát a kérelmező alkalmazással, az a gondolat, hogy a felhasználóneved és jelszavad titokban tartása biztonságos. És ahhoz, hogy megakadályozzuk a kérelmező alkalmazás vagy szolgáltatás hozzáférését a fiókjához, csupán annyit kell tennie, hogy a jelszó megváltoztatása helyett kattintson a „Hozzáférés visszavonása” elemre.

Biztonságos?

Oké, tehát a folyamat eddig elég egyszerűnek tűnik. De mennyire biztonságos? Aggódnunk kellene az OAuth webhelyek biztonsága miatt?

Biztonsági szempontból az OAuth nagyon jól néz ki. A legrosszabb eset még mindig nem eredményezi társadalmi jelszavak feltárását. És az a képesség, hogy azonnal visszavonja a hozzáférést minden olyan alkalmazáshoz, amelynek van egy tokenje, azt is jelenti, hogy még akkor is, ha egy webhelyet feltörnek, és néhány rosszindulatú a karakterek megkapták az összes token adatot, akkor csak meg kell nyomni a hozzáférés visszavonása gombot, és nem férnek hozzá a közösségi webhely.

Az is igaz, hogy a közösségi oldalon csak egy adott adathalmazhoz fér hozzá vonzó - ha valaki feltöri a Snapfish-t, és hozzáférést kap a Facebook-fotóidhoz, akkor ne aggódjon (te vannak vigyázzon a közzétett fotókra, ugye?).

Yale-biztos

A közelmúlt ellenére egy biztonsági hiba dramatizált felfedezése az OAuth-ban, a rendszer nagyon jó.

Azonban az online biztonságon kívül más is, mint a titkosítás és a token. Az internet használat biztonságának egyik legjobb módja a használat jó jelszó gyakorlatok Jelszókezelési útmutatóNe nyúljon a jelszavakhoz, vagy használja minden webhelyen ugyanazt, csak hogy emlékezzen rájuk: dolgozzon ki saját jelszókezelési stratégiát. Olvass tovább . És OAuth sokat segít ebben. Hogyan? A Twitter vagy a Google segítségével történő bejelentkezéshez még nem kell létrehoznia egy másik jelszó, amelyet meg kell emlékezni. Ha nagyon biztonságos Facebook jelszavaddal rendelkezik, akkor számos elemhez hozzáférhet anélkül, hogy több webhelyen pontosan ugyanazt a jelszót használja.

Ez az OAuth egyértelmű előnye - és nagy plusz az a tény, hogy korlátozza a jelszavakkal rendelkező webhelyek számát.

Fontos megemlíteni azt is, hogy a közösségi profilokat elérő webhelyek nem végezhetnek nagyobb lépéseket - nem képesek törölni a fiókod, megváltoztatni a jelszavad, vagy bármilyen más nagy változtatást végrehajtani. Ami megnyugtató.

Milyen kockázatokat vállal?

Sajnos az online biztonság és védelem területén semmi sem egyszerű. Van néhány olyan kockázat, amely az OAuth használatával jár, elsősorban a magánélettel összefüggésben.

Például, milyen gyakran vesz időt arra, hogy ténylegesen megvizsgálja azokat az engedélyeket, amelyeket megad, amikor a Facebook Connect szolgáltatást használja? Míg az alkalmazásoknak csak azokhoz az információkhoz kell hozzáférniük, amelyek szükségesek az Ön jobb kiszolgálásához, ők gyakran sokkal többet kérnek - az ütemtervet, a barátok adatait és a küldés képességét példa.

Időnként ez jó dolog - érdemes integrálni a Twitter-et a kapcsolatok alkalmazásába vagy egy hírolvasóba. Vagy érdemes lehet közzétennie az edzés eredményeit RunKeeper Kövesse nyomon az edzési céljait edzés közben a RunKeeper [Android] segítségévelA MakeUseOf körül szeretünk alkalmazásokat és más online motivációkat találni, hogy megfelelőek és egészségesek maradjanak. Miután ezeket a fitnesz alkalmazásokat időről időre megvizsgálta, a RunKeeper mindig bebizonyítja, hogy a legjobbak közé tartozik. Ez ... Olvass tovább vagy MapMyFitness. De az engedélyekben nincs semmi, ami megakadályozná, hogy az alkalmazás vagy szolgáltatás bármit elküldhessen. Nincs „Csak a felmérés eredményei” opció. Csak bíznia kell abban, hogy az alkalmazás csak azokat a dolgokat közzéteszi, amelyeket akarsz, vagy elmond, és nem hirdetéseket.

digitális kulcs

És előfordulhat, hogy több információt ad el, mint amennyit bízott. Ki érdekli, ha a kedvenc üzlete látja, amit a Facebookon felad, ugye? Nos, talán több információt szereznek, mint gondolnád.

Például egy 2012-es konferencián egy japán katalóguscég beszélt arról, hogy hogyan használta fel az információkat a felhasználó Facebook profilján, hogy következtetéseket vonjon le az ügyfelek „életpályájáról” (házas vagy házas, terhes, étkezési, párttervező stb.) „Háztartás” (ha van gyermeke, öregedő szülő, háziállat, lakás stb.) És „személyiség” (önkéntesség, jóslás, étel, utazás, sport, futás stb.) ”

A marketing csapat tagja kijelentette, hogy a csapat „megismerheti ügyfeleink élettartamát - életmódjukat és pszichológiájukat. Ezután a katalógusainkat ennek megfelelően célzhatjuk. És előre jelezhetjük, hogy mikor van szüksége valamelyik termékre annak alapján, amit a közösségi médiában mondnak. ”

Nem gondolta, hogy ilyen sok információt ad el?

Természetesen teljes mértékben ellenőrizheti, hogy mit és hogyan oszt meg egy társasággal közösségi bejelentkezési adatokat használva, és hogyan sokat tudnak Önnek küldeni, de csak akkor, ha időt vesz igénybe az általuk kért engedélyek elolvasására A. És ne adjon hozzáférést olyan dolgokhoz, amelyeket inkább magántulajdonban tart. De ez nem mindig könnyű, mert egyes alkalmazások és szolgáltatások most már csak a Facebook vagy a Twitter általi bejelentkezést alkalmazzák, ami azt jelenti, hogy ha nem ért egyet az engedélyükkel, akkor nem fogja használni a szolgáltatást.

Elvihető órák: Mit kell tennie?

A legtöbb dologhoz hasonlóan a szociális fiókok használatával történő bejelentkezés történetének két oldala is van. Ez általában elég biztonságos, és valójában eléggé ellenőrizheti, hogy mennyi információt oszt meg.

ellenőrző-kulcs

Másrészt előfordulhat, hogy nagyon sok ellenőrzést ad el, ha nem vagy óvatos. Szóval mit kell tennie vele?

  • Olvassa el az engedélykérelmeket, mielőtt megadná őket.

Ez egy fontos, és csak akkor válik fontosabbá, ahogy a webszolgáltatások integrálódnak. Ha nem akarja, hogy az alkalmazás összegyűjtse a Facebook-barátaival kapcsolatos adatokat, ne engedje, hogy hozzáférjen a Facebook-hoz.

  • Az alkalmazás engedélyeit gyakran vizsgálja felül.

A Facebookon lépjen a Alkalmazások fül a Beállítások képernyőn. A Twitteren lépjen a Alkalmazások fül a Beállításokban, is. A Google kissé trükkösebb: menjen ide accounts.google.com, majd kattintson a Biztonság elemre, majd Az összes megtekintése a Fiókjogosultságok alatt. Nézze meg, mely alkalmazások férhetnek hozzá az Ön adataihoz, és vonja vissza az olyan hozzáférést, amelyet már nem használ. És ha olyan alkalmazást látsz, amelynek több engedélye van, mint amennyire kéne, fontolja meg a hozzáférés visszavonását, és ellenőrizze, hogy be tud-e jelentkezni a szolgáltatásba hagyományos felhasználónévvel és jelszóval.

A folyamat felgyorsítása érdekében megteheti használja a MyPermissions szolgáltatást Túl sok alkalmazás? Hogyan lehet visszavonni több webhelyről származó alkalmazási engedélyeket 2 perc alattAz online világ számos adatvédelmi aggályt kínál. Mindannyian tudjuk, hogy nem szabad magántulajdonokat közzétennünk a Facebookon, nem szabad e-mail címünket szembetűnő helyekre írni, és odafigyelnünk kell, mivel ... Olvass tovább , amely segít az engedélyek kezelésében a Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox és egyéb oldalakon.

  • Utasok átugrása és a megengedett közönség beállítása a megosztáshoz.

Ha egy alkalmazás engedélyt kér az Ön nevében való megosztáshoz egy szociális szolgáltatáson keresztül, akkor lehetősége van arra, hogy nem adja meg ezt az engedélyt (ezt a Facebookon láthatja, amikor egy „Ugrás” gombot lát). Ha ez egy lehetőség, akkor használja! Beállíthatja a közönséget is az engedélyezett megosztáshoz - például megoszthatja barátaival, egyéni közönséggel, vagy csak önmagával.

  • Kezelje az engedélykérelmeket a fiókok alapján eltérően.

Mit postázol az Instagram-on? Mit teszel a Twitteren? A Foursquare-hozzászólások elolvasására vonatkozó kérés sokkal kevésbé félelmetes lehet, mint az „Új levelek írása és küldése” jogosultságok megadása Gmail-fiókjába.

unrollme-kérés
  • Rendszeresen cserélje ki jelszavát.

A jelszavak megváltoztatásakor számos OAuth-token azonnal érvénytelenné válik, és újból be kell jelentkeznie, és újra jóvá kell hagynia a tokeneket. Amennyire tudtam, a Gmail és a Facebook érvényteleníti a tokeneket, amikor megváltoztatja a jelszavát, a Twitter és a Google+ azonban nem. Ezen egyéb szolgáltatások esetében vissza kell vonnia a hozzáférést, majd újra kiadnia kell az engedélyeket.

Következtetés: Kényelmi ár

A közösségi hitelesítő adatokkal történő bejelentkezés a webhelyekre és szolgáltatásokra sok kényelmet és még egy kis biztonságot nyújt. De tud kockázatos lehet, mind magánélet, mind - kisebb mértékben - biztonsági szempontból. De ha gyakorolja a fenti öt biztonsági tippet, akkor csak azokat a engedélyeket kell megadnia, amelyeket szándékozik.

Milyen gyakran használja a közösségi bejelentkezési adatait egy másik webhelyen? Biztonságban érzi magát csinálni? Rendszeresen elolvassa és újra ellenőrzi az engedélyeket? Ossza meg gondolatait alább!

Kép-jóváírások: Marc Falardeau a Flickr-en keresztül, Rob Pongsajapan a Flickr-en keresztül, Iván Melenchón Serrano a MorgueFile-n keresztül

A Dann tartalomstratégiai és marketing tanácsadó, aki segíti a vállalatokat a kereslet előteremtésében és vezet. Blogokat ír a stratégiai és tartalommarketingről a dannalbright.com webhelyen.