¿Debe pensar dos veces antes de iniciar sesión con cuentas sociales?
Parece que cada vez que te registras en un nuevo servicio, puedes elegir elegir un nombre de usuario y contraseña o simplemente iniciar sesión con Facebook o Twitter. Iniciar sesión con tu cuenta de Google también suele ser una opción. Es rápido y es fácil. Pero si lo haces?
Como funciona?
El inicio de sesión utilizando su cuenta social utiliza un protocolo llamado OAuth, que (en pocas palabras) permite que una aplicación o servicio (el solicitante o servicio que está suscribiendo) se conecte a otra (el proveedor de servicios o la red existente que usted utiliza). reutilizando para inscribirse) y actuar en su nombre. Esto se hace emitiendo “tokens” a la aplicación solicitante. Estos tokens funcionan un poco como su nombre de usuario y contraseña, ya que dan acceso a la aplicación solicitada a un servicio protegido por contraseña (por ejemplo, Facebook).
Lo importante aquí es que tu real el nombre de usuario y la contraseña nunca se comunican entre las aplicaciones, y la aplicación solicitante solo obtiene acceso a una parte limitada de su cuenta protegida por contraseña.
Veamos un ejemplo rápido. Digamos que estás utilizando Blurb para convertir tus fotos de Facebook en un libro Tres maneras fáciles de convertir tu Facebook en un libro real [Consejo semanal de Facebook] Tres maneras fáciles de convertir tu Facebook en un libro real [Consejo semanal de Facebook] ¿Alguna vez has querido ¿Para hacer un libro real de las cosas que tienes en Facebook? Tal vez tenga parientes que no están en Facebook pero les encantaría ver las fotos que pusieron en ... Leer más. Ve a Blurb (el solicitante) y dile que quieres imprimir fotos de Facebook. Blurb lo dirige de vuelta a Facebook (el proveedor de servicios), donde ingresa sus credenciales de inicio de sesión (enviadas directamente a Facebook, no a Blurb) y le dice a Facebook que le da permiso a Blurb para acceder a sus fotos. Ahora Blurb puede descargar esas fotos para que puedan ser impresas. Si Blurb intenta acceder a su línea de tiempo, será denegado, porque el token que tiene solo le da acceso a sus fotos y perfil público..
OAuth nunca comparte su nombre de usuario o contraseña con la aplicación solicitante, la idea es que mantener su nombre de usuario y contraseña en secreto los mantiene seguros. Y para evitar que una aplicación o servicio solicitante acceda a su cuenta, todo lo que tiene que hacer es hacer clic en “revocar el acceso,” en lugar de cambiar tu contraseña.
Es seguro?
Bien, entonces el proceso parece bastante sencillo hasta ahora. ¿Pero qué tan seguro es? ¿Deberíamos preocuparnos por la seguridad de los sitios de OAuth??
Desde un punto de vista de seguridad, OAuth se ve bastante bien. Un peor escenario aún no resulta en la revelación de sus contraseñas sociales. Y la capacidad de revocar instantáneamente el acceso a cualquier aplicación que tenga un token significa que incluso si un sitio web es pirateado y algunos personajes nefastos obtienen todos los datos del token, simplemente puede presionar el botón de acceso revocar y no tendrán Acceso a tu sitio social..
El hecho de que solo compartas el acceso a un subconjunto específico de los datos en tu sitio social también es muy atractivo. Si alguien hackea Snapfish y obtiene acceso a tus fotos de Facebook, no deberías estar demasiado preocupado ( son Cuidando las fotos que publiques, ¿verdad?).
A pesar del reciente descubrimiento dramatizado de una falla de seguridad en OAuth, el sistema es bastante bueno.
Sin embargo, la seguridad en línea es más que solo cifrado y tokens. Una de las mejores maneras de asegurarse de que está seguro en línea es usar buenas prácticas de contraseña. Y OAuth ayuda mucho con eso. ¿Cómo? Al poder iniciar sesión con Twitter o Google, no tiene que crear aún otro Contraseña que tienes que recordar. Si tiene una contraseña de Facebook muy segura, puede usarla para acceder a varias cosas sin usar la misma contraseña para más sitios.
Esta es una clara ventaja de OAuth, y el hecho de que limite la cantidad de sitios web que tienen sus contraseñas es una gran ventaja..
También es importante mencionar que los sitios que acceden a sus perfiles sociales no pueden realizar ninguna acción importante: no pueden eliminar su cuenta, cambiar su contraseña o realizar otros cambios importantes. Que es tranquilizador.
Que riesgos estas tomando?
Desafortunadamente, nada es simple cuando se trata de la seguridad en línea. Existen algunos riesgos de usar OAuth, principalmente relacionados con la privacidad.
Por ejemplo, ¿con qué frecuencia se toma el tiempo para mirar realmente los permisos que está dando cuando usa Facebook Connect? Si bien las aplicaciones solo deben solicitar acceso a la información que necesitan para brindarle un mejor servicio, a menudo piden mucho más: su cronograma, la información de sus amigos y la posibilidad de publicar, por ejemplo..
A veces esto es algo bueno, es posible que desee integrar Twitter en su aplicación de contactos o en un lector de noticias. O tal vez desee publicar los resultados de sus ejercicios en RunKeeper. Mantenga un registro de sus metas de entrenamiento mientras entrena con RunKeeper [Android] Mantenga un seguimiento de sus metas de entrenamiento mientras entrena con RunKeeper [Android] En MakeUseOf, nos encanta encontrar aplicaciones y otros motivadores en línea. para mantenerse en forma y saludable. Después de investigar estas aplicaciones de ejercicios una y otra vez, RunKeeper siempre demuestra ser uno de los mejores. Es ... Leer más o MapMyFitness. Pero no hay nada en los permisos que impida que la aplicación o el servicio publiquen lo que quieran. No hay “publicar solo los resultados de la encuesta” opción. Solo tiene que confiar en que la aplicación solo publicará las cosas que quiere o le dice, y no los anuncios..
Y podría estar dando más información de la que esperaba. ¿A quién le importa si tu tienda favorita ve lo que estás publicando en Facebook, verdad? Bueno, podrían estar obteniendo más información de la que imaginaste..
Por ejemplo, en una conferencia de 2012, una compañía de catálogos japonesa habló sobre cómo usaba la información en el perfil de Facebook de un usuario para inferir cosas. “sobre un cliente “etapa de la vida” (ya sea casado o soltero, embarazada, haciendo dieta, planeando una fiesta, etc.) “casa” (si tienen un hijo, un padre anciano, una mascota, un condominio, etc.) y “personalidad” (¿Son voluntarios, adivinación, comida, viajes, deportes, correr, etc.?).”
Un miembro del equipo de marketing declaró que el equipo “Puede aprender los antecedentes de vida de nuestros clientes: su estilo de vida y su psicología. Entonces podemos orientar nuestros catálogos en consecuencia. Y podemos predecir cuándo alguien necesita un producto basado en lo que dicen en las redes sociales.”
No pensaste que estabas dando tanta información, ¿verdad??
Por supuesto, usted tiene control total sobre lo que está compartiendo con una empresa que usa los inicios de sesión sociales y cuánto pueden publicar para usted, pero solo si se toma el tiempo de leer los permisos que están solicitando. Y no le dé acceso a cosas que preferiría mantener en privado. Pero eso no siempre es fácil, ya que algunas aplicaciones y servicios ahora emplean el inicio de sesión solo en Facebook o Twitter, lo que significa que si no está de acuerdo con sus permisos, no podrá utilizar el servicio..
Lecciones para llevar: ¿Qué debes hacer??
Al igual que con la mayoría de las cosas, hay dos caras en la historia de iniciar sesión usando cuentas sociales. En general, es bastante seguro, y realmente tiene bastante control sobre la cantidad de información que comparte.
Por otro lado, es posible que esté dando mucho control si no tiene cuidado. Entonces, ¿qué debes hacer al respecto??
- Lea las solicitudes de permiso antes de otorgarlas..
Este es importante, y solo se volverá más importante a medida que los servicios web se integren más. Si no quieres que una aplicación recopile datos sobre tus amigos de Facebook, no permitas que acceda a Facebook.
- Revise sus permisos de aplicación con frecuencia.
En Facebook, vaya a la pestaña Aplicaciones en la pantalla Configuración. En Twitter, ve a la pestaña de Aplicaciones en Configuración, también. Google es un poco más complicado: vaya a accounts.google.com, luego haga clic en Seguridad, luego en Ver todos en Permisos de cuenta. Observe qué aplicaciones tienen acceso a sus datos y revoque el acceso para cualquiera que ya no use. Y si ve una aplicación que tiene más permisos de los que debería, considere la posibilidad de revocar el acceso y ver si puede iniciar sesión en ese servicio con un nombre de usuario y contraseña tradicionales..
Para acelerar el proceso, puede usar MyPermissions Too Many Apps? ¿Cómo revocar permisos de aplicaciones de varios sitios web en 2 minutos Demasiadas aplicaciones? Cómo revocar permisos de aplicaciones de varios sitios web en 2 minutos El mundo en línea ofrece muchas preocupaciones sobre la privacidad. Todos sabemos que no debemos publicar cosas privadas en Facebook, no debemos escribir nuestra dirección de correo electrónico en lugares visibles, y realmente debemos prestar atención, ya que ... Leer más, que le ayuda a administrar sus permisos en Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox y más.
- Omitir permisos y establecer audiencias permitidas para compartir.
Si una aplicación solicita permiso para compartir en su nombre a través de un servicio social, es posible que tenga la oportunidad de no dar ese permiso (verá esto en Facebook cuando vea un “Omitir” botón). Si esa es una opción, ¡úsala! También puede configurar la audiencia para el intercambio permitido; por ejemplo, puede compartirla con todos sus amigos, una audiencia personalizada o solo usted mismo.
- Tratar solicitudes de permisos de manera diferente en función de las cuentas.
¿Qué publicas en Instagram? ¿Qué publicas en Twitter? Una solicitud para leer tus publicaciones de Foursquare puede ser mucho menos aterradora que otorgar “Redactar y enviar correo nuevo” privilegios para su cuenta de Gmail.
- Cambia tus contraseñas regularmente.
Cuando cambie sus contraseñas, una cantidad de tokens de OAuth se invalidarán de inmediato, lo que requerirá que vuelva a iniciar sesión y volver a aprobar los tokens. Por lo que he podido averiguar, Gmail y Facebook invalidan tokens cuando cambias tu contraseña, pero Twitter y Google+ no. Para estos otros servicios, deberá revocar el acceso y luego volver a emitir los permisos..
Conclusión: la conveniencia por un precio
Iniciar sesión en sitios y servicios con sus credenciales sociales agrega mucha conveniencia, e incluso un poco de seguridad. Pero puede Ser arriesgado, tanto desde el punto de vista de la privacidad como, en menor grado, de la seguridad. Pero si practica los cinco consejos de seguridad anteriores, solo debe otorgar los permisos que pretende.
¿Con qué frecuencia utiliza su información de inicio de sesión social en otro sitio? ¿Te sientes seguro haciéndolo? ¿Lee y vuelve a verificar los permisos de forma regular? Comparte tus pensamientos a continuación!
Créditos de la imagen: Marc Falardeau a través de Flickr, Rob Pongsajapan a través de Flickr, Iván Melenchón Serrano a través de MorgueFile
Explorar más sobre: Facebook, Seguridad en línea.