Annonse

Det føles som hver gang du melder deg på en ny tjeneste, du kan velge å velge et brukernavn og passord eller bare logge inn med Facebook eller Twitter. Det er ofte også et alternativ å logge på med Google-kontoen din. Det er raskt og enkelt. Men skal du gjøre det?

Hvordan virker det?

Pålogging ved å bruke den sosiale kontoen din bruker en protokoll som heter OAuth, som (i et nøtteskall) lar en app eller tjeneste (rekvirenten, eller tjenesten du registrerer deg for) for å koble deg til en annen (tjenesteleverandøren eller eksisterende nettverk du bruker for å registrere deg) og handle på vegne. Dette gjøres ved å utstede “tokens” til den forespurte appen. Disse kodene fungerer litt som brukernavnet og passordet ditt, ettersom de gir den forespurte appen tilgang til en passordbeskyttet tjeneste (f.eks. Facebook).

Det viktige her er at din faktiske brukernavn og passord blir aldri kommunisert mellom appene, og at den forespurte appen bare får tilgang til en begrenset del av den passordbeskyttede kontoen din.

blurb-forespørsel

La oss se på et raskt eksempel. Si at du bruker Blurb for å gjøre Facebook-bildene dine til en bok Tre enkle måter å gjøre Facebook om til en ekte bok [Ukens Facebook-tips]Har du noen gang ønsket å lage en skikkelig papirkopi av de tingene du har på Facebook? Kanskje har du pårørende som ikke er på Facebook, men vil gjerne se bildene du har lagt inn ... Les mer . Du går til Blurb (rekvirenten) og forteller det at du vil skrive ut bilder fra Facebook. Blurb leder deg tilbake til Facebook (tjenesteleverandøren), der du oppgir påloggingsinformasjon (sendt direkte til Facebook, ikke Blurb) og fortell Facebook at du gir Blurb tillatelse til å få tilgang til din bilder. Nå kan Blurb laste ned bildene slik at de kan skrives ut. Hvis Blurb prøver å få tilgang til tidslinjen din, blir den nektet, fordi symbolet som den bare gir tilgang til bildene og den offentlige profilen din.

OAuth deler aldri brukernavnet eller passordet ditt med den forespurte appen. Ideen er at det å holde brukernavnet og passordet ditt hemmelig holder dem sikre. Og for å forhindre at en app eller tjeneste som ber om, får tilgang til kontoen din, er alt du trenger å gjøre å klikke på "tilbakekalle tilgang" i stedet for å endre passordet ditt.

Er det trygt?

OK, så prosessen virker ganske grei så langt. Men hvor trygt er det? Bør vi være bekymret for sikkerheten til OAuth-nettsteder?

Fra et sikkerhetsmessig synspunkt ser OAuth ganske bra ut. Et verste scenario resulterer fremdeles ikke i avsløringen av de sosiale passordene dine. Og muligheten til å øyeblikkelig tilbakekalle tilgang til alle apper som har et symbol, betyr at selv om et nettsted blir hacket og noe ondskapsfullt tegn får hendene på alle token-dataene, du kan bare trykke på tilbakekallingsknappen og de har ikke tilgang til sosiale nettstedet.

At du bare deler tilgang til et spesifikt underett av dataene på det sosiale nettstedet ditt, er også ganske tiltalende - hvis noen hacker Snapfish og får tilgang til Facebook-bildene dine, bør du ikke være for bekymret (du er tar vare på bildene du legger ut, ikke sant?).

yale sikker

Til tross for det siste dramatisert oppdagelse av en sikkerhetsfeil i OAuth, er systemet ganske bra.

Det er imidlertid mer enn online sikkerhet enn bare kryptering og symboler. En av de beste måtene å sikre at du er trygg på nettet, er å bruke god passordpraksis PassordhåndbokIkke føl deg overveldet av passord, eller bruk den samme på hvert nettsted, så du husker dem: utform din egen passordstyringsstrategi. Les mer . Og OAuth hjelper mye med det. Hvordan? Ved å kunne logge deg på med Twitter eller Google, trenger du ikke opprette enda en annen passord som du må huske. Hvis du har et veldig sikkert Facebook-passord, kan du bruke det til å få tilgang til en rekke ting uten å bruke nøyaktig samme passord for flere nettsteder.

Dette er en tydelig fordel med OAuth - og det faktum at du begrenser antall nettsteder som har passordene dine, er et stort pluss.

Det er også viktig å nevne at nettsteder som får tilgang til sosiale profiler ikke kan utføre noen større tiltak - de kan ikke slette kontoen din, endre passordet ditt eller gjøre andre store endringer. Noe som er betryggende.

Hvilke risikoer tar du?

Ingenting er dessverre enkelt når det gjelder online sikkerhet og sikkerhet. Det er noen risikoer ved å bruke OAuth, for det meste knyttet til personvern.

Hvor ofte tar du deg tid til å virkelig se på tillatelsene du gir når du bruker Facebook Connect? Selv om apper bare skal be om tilgang til informasjonen de trenger for å tjene deg bedre, gjør de det spør ofte om mye mer - tidslinjen, vennenes informasjon og muligheten til å poste for eksempel.

Noen ganger er dette en god ting - det kan være lurt å integrere Twitter i kontaktappen eller en nyhetsleser. Eller det kan være lurt å legge ut treningsresultatene dine fra RunKeeper Hold rede på treningsmålene dine mens du trener med RunKeeper [Android]Rundt MakeUseOf elsker vi å finne apper og andre online motivatorer for å holde deg i form og sunn. Etter å ha undersøkt disse treningsappene gang på gang, viser RunKeeper seg alltid å være en av de aller beste. Det er... Les mer eller MapMyFitness. Men det er ingenting i tillatelsene som vil forhindre at appen eller tjenesten fra å legge ut hva de vil. Det er ingen alternativ for “bare postundersøkelsesresultater”. Du må bare stole på at appen bare vil legge ut ting du ønsker eller fortelle den til, og ikke annonser.

digital-nøkkel

Og du vil kanskje gi bort mer informasjon enn du forhandlet for. Hvem bryr seg om favorittbutikken din ser hva du legger ut på Facebook, ikke sant? De kan få mer informasjon enn du hadde forestilt deg.

For eksempel på en konferanse i 2012, et japansk katalogfirma snakket om hvordan den brukte informasjon på brukerens Facebook-profil for å utlede ting "om kundens" livsfase "(enten de er gift eller ugift, gravid, slanking, planlegger en fest osv.) "Husholdning" (hvis de har et barn, en aldrende forelder, et kjæledyr, en leilighet osv.) Og "personlighet" (er de i frivillighet, spåkonkurranse, mat, reiser, sport, løper osv?). ”

Et medlem av markedsføringsteamet uttalte at teamet “kan lære livsbakgrunnen til våre kunder - deres livsstil og psykologi. Vi kan deretter målrette katalogene våre deretter. Og vi kan forutsi når noen trenger et produkt basert på hva de sier på sosiale medier. ”

Trodde ikke du ga bort så mye informasjon, gjorde du?

Selvfølgelig har du full kontroll over hva du deler med et selskap som bruker sosiale pålogginger og hvordan mye de kan legge ut for deg - men bare hvis du tar deg tid til å lese tillatelsene de ber om til. Og ikke gi tilgang til ting du heller vil holde privat. Men det er ikke alltid like enkelt, fordi noen apper og tjenester nå bruker Facebook-eller-Twitter-bare pålogging, noe som betyr at hvis du ikke godtar tillatelsene deres, ikke får du bruke tjenesten.

Takeaway Lessons: Hva bør du gjøre?

Som med de fleste ting, er det to sider ved historien om innlogging ved å bruke sosiale kontoer. Det er generelt ganske trygt, og du har faktisk ganske god kontroll over hvor mye informasjon du deler.

kontroll-nøkkel

På den annen side vil du kanskje gi bort mye kontroll hvis du ikke er forsiktig. Så hva bør du gjøre med det?

  • Les tillatelsesforespørsler før du gir dem tillatelse.

Dette er viktig, og det kommer bare til å bli viktigere etter hvert som webtjenester blir mer integrerte. Hvis du ikke vil ha en app som høster data om Facebook-vennene dine, ikke la den få tilgang til Facebook.

  • Gå gjennom apptillatelsene dine ofte.

Gå til Facebook på Facebook Apps-fanen på Innstillinger-skjermen. Gå til Twitter på Twitter Apps-fanen i Innstillingerogså. Google er litt vanskeligere: gå til accounts.google.com, klikk deretter på Sikkerhet Vis alle under kontotillatelser. Se på hvilke apper som har tilgang til dataene dine, og tilbakekall tilgangen til alt du ikke bruker lenger. Og hvis du ser en app som har flere tillatelser enn den burde, kan du vurdere å tilbakekalle tilgang og se om du kan logge deg på den tjenesten med et tradisjonelt brukernavn og passord.

For å få fart på prosessen kan du gjøre det bruk MyPermissions For mange apper? Hvordan tilbakekalle apptillatelser fra flere nettsteder på 2 minutterDen elektroniske verdenen byr på mange personvernproblemer. Vi vet alle at vi ikke skal legge ut private ting på Facebook, vi må ikke skrive ned e-postadressen vår på iøynefallende steder, og vi burde virkelig ta hensyn, som ... Les mer , som hjelper deg med å administrere tillatelsene dine på Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox og mer.

  • Hopp over tillatelser og angi tillatte målgrupper for deling.

Hvis en app ber om tillatelse til å dele på dine vegne via en sosial tjeneste, kan du ha muligheten til å ikke gi den tillatelsen (du ser dette på Facebook når du ser en "Hopp over" -knappen). Hvis det er et alternativ, bruk det! Du kan også stille inn publikum for den tillatte delingen - for eksempel kan du dele med alle vennene dine, et tilpasset publikum eller bare deg selv.

  • Behandle tillatelsesforespørsler annerledes basert på kontoer.

Hva legger du ut på Instagram? Hva legger du ut på Twitter? En forespørsel om å lese dine Foursquare-innlegg kan være mye mindre skummel enn å gi "Komponer og send ny e-post" -privilegier til Gmail-kontoen din.

unrollme-forespørsel
  • Endre passordene dine regelmessig.

Når du endrer passord, blir et antall OAuth-symboler umiddelbart ugyldig, noe som krever at du må logge på på nytt og godkjenne kodene på nytt. Så langt jeg har klart å gjøre ugyldig, ugyldiggjør Gmail og Facebook symboler når du endrer passord, men Twitter og Google+ gjør det ikke. For disse andre tjenestene må du oppheve tilgangen og deretter gi ut tillatelsene på nytt.

Konklusjon: Convenience For A Price

Pålogging på nettsteder og tjenester med dine sosiale legitimasjonsbeskrivelser gir mye komfort og til og med litt sikkerhet. Men det kan være risikabelt, både fra et privatliv og - i mindre grad - sikkerhetsmessig synspunkt. Men hvis du praktiserer de fem sikkerhetstipsene ovenfor, bør du bare gi tillatelsene du har til hensikt.

Hvor ofte bruker du informasjonen din om sosial innlogging på et annet nettsted? Føler du deg trygg? Leser og sjekker du tillatelser regelmessig? Del tankene dine nedenfor!

Bildepoeng: Marc Falardeau via Flickr, Rob Pongsajapan via Flickr, Iván Melenchón Serrano via MorgueFile

Dann er en innholdsstrategi og markedskonsulent som hjelper bedrifter med å generere etterspørsel og potensielle kunder. Han blogger også om strategi og innholdsmarkedsføring på dannalbright.com.