Moet u twee keer nadenken voordat u zich aanmeldt met behulp van sociale accounts?

Moet u twee keer nadenken voordat u zich aanmeldt met behulp van sociale accounts? / Sociale media

Het voelt alsof elke keer dat u zich aanmeldt voor een nieuwe service, u kunt kiezen om een ​​gebruikersnaam en wachtwoord te kiezen of gewoon in te loggen met Facebook of Twitter. Het is vaak ook mogelijk om in te loggen met uw Google-account. Het is snel en het is gemakkelijk. Maar zou je het moeten doen?

Hoe werkt het?

Aanmelden met uw sociale account maakt gebruik van een protocol met de naam OAuth, waarmee (in een notendop) één app of service (de aanvrager of service waarvoor u zich aanmeldt) verbinding maakt met een andere (de serviceprovider of het bestaande netwerk dat u gebruikt). gebruiken om u aan te melden) en handelen namens u. Dit gebeurt door uit te geven “tokens” naar de verzoekende app. Deze tokens functioneren een beetje zoals uw gebruikersnaam en wachtwoord, omdat ze de app toegang geven tot een wachtwoordbeveiligde service (bijv. Facebook).

Het belangrijkste hier is dat je werkelijk gebruikersnaam en wachtwoord worden nooit tussen de apps gecommuniceerd en dat de aanvragende app alleen toegang krijgt tot een beperkt deel van uw wachtwoordbeveiligde account.

Laten we een snel voorbeeld bekijken. Stel dat je Blurb gebruikt om van je Facebook-foto's een boek te maken Drie eenvoudige manieren om van je Facebook een echt boek te maken [Wekelijkse Facebook-tip] Drie eenvoudige manieren om van je Facebook een echt boek te maken [Wekelijkse Facebook-tip] Heb je ooit gewild om een ​​echt papieren boek te maken van de dingen die je op Facebook hebt staan? Misschien heb je familieleden die niet op Facebook zijn maar graag de foto's willen zien die je hebt geplaatst ... Lees meer. Je gaat naar Blurb (de aanvrager) en geeft aan dat je foto's van Facebook wilt afdrukken. Blurb stuurt u terug naar Facebook (de serviceprovider), waar u uw inlogreferenties invoert (rechtstreeks naar Facebook, niet Blurb) en vertel Facebook dat u Blurb toestemming geeft voor toegang tot uw foto's. Nu kan Blurb die foto's downloaden zodat ze kunnen worden afgedrukt. Als Blurb probeert toegang tot uw tijdlijn te krijgen, wordt deze geweigerd, omdat het token dat het alleen toegang heeft tot uw foto's en openbaar profiel.

OAuth deelt nooit uw gebruikersnaam of wachtwoord met de verzoekende app. Het idee is dat het geheim houden van uw gebruikersnaam en wachtwoord hen beveiligt. En om te voorkomen dat een verzoekende app of service toegang krijgt tot uw account, hoeft u alleen maar op te klikken “toegang intrekken,” in plaats van je wachtwoord te wijzigen.

Is het veilig?

Oké, dus het proces lijkt tot nu toe vrij eenvoudig. Maar hoe veilig is het? Moeten we ons zorgen maken over de veiligheid van OAuth-sites?

Vanuit beveiligingsoogpunt ziet OAuth er best goed uit. Een worst-case scenario resulteert nog steeds niet in de openbaring van uw sociale wachtwoorden. En de mogelijkheid om de toegang tot elke app met een token onmiddellijk in te trekken, betekent dat zelfs als een website wordt gehackt en sommige snode personages alle tokengegevens in handen krijgen, je gewoon op de knop voor intrekkingstoegang kunt drukken en ze niet zullen hebben toegang tot uw sociale site.

Het feit dat je alleen toegang tot een specifieke subset van de gegevens op je sociale site deelt, is ook heel aantrekkelijk: als iemand Snapfish hackt en toegang krijgt tot je Facebook-foto's, zou je je niet te veel zorgen moeten maken (jij zijn voorzichtig zijn met de foto's die je plaatst, toch?).

Ondanks de recente gedramatiseerde ontdekking van een beveiligingsfout in OAuth, is het systeem behoorlijk goed.

Er is echter meer aan online veiligheid dan alleen codering en tokens. Een van de beste manieren om ervoor te zorgen dat u veilig online bent, is door goede wachtwoordpraktijken toe te passen. En OAuth helpt daar veel mee. Hoe? Door u aan te melden met Twitter of Google hoeft u nog niet te maken een ander wachtwoord dat u moet onthouden. Als u een zeer veilig Facebook-wachtwoord hebt, kunt u dat gebruiken om toegang te krijgen tot een aantal dingen zonder exact hetzelfde wachtwoord te gebruiken voor meer sites.

Dit is een duidelijk voordeel van OAuth en het feit dat u het aantal websites met uw wachtwoorden beperkt, is een groot pluspunt.

Het is ook belangrijk om te vermelden dat sites die toegang hebben tot uw sociale profielen geen belangrijke acties kunnen ondernemen: ze kunnen uw account niet verwijderen, uw wachtwoord wijzigen of andere grote wijzigingen aanbrengen. Dat is geruststellend.

Welke risico's neemt u??

Helaas is niets eenvoudig als het gaat om online veiligheid en beveiliging. Er zijn enkele risico's verbonden aan het gebruik van OAuth, meestal met betrekking tot privacy.

Hoe vaak neem je bijvoorbeeld de tijd om echt te kijken naar de rechten die je geeft wanneer je Facebook Connect gebruikt? Hoewel apps alleen toegang moeten vragen tot de informatie die ze nodig hebben om u beter van dienst te zijn, vragen ze vaak om veel meer: ​​uw tijdlijn, informatie van uw vrienden en de mogelijkheid om berichten te plaatsen, bijvoorbeeld.

Soms is dit een goede zaak, misschien wilt u Twitter integreren in uw contacten-app of een nieuwslezer. Of u wilt uw trainingsresultaten van RunKeeper posten Blijf op de hoogte van uw trainingsdoelstellingen terwijl u traint met RunKeeper [Android] Houd uw trainingsdoelen bij terwijl u traint met RunKeeper [Android] Rond MakeUseOf houden we graag van het vinden van apps en andere online motivators om fit en gezond te blijven. Na onderzoek van deze fitness-apps keer op keer, bewijst RunKeeper altijd dat hij een van de allerbeste is. Het is ... Lees meer of MapMyFitness. Maar er is niets in de machtigingen dat ervoor zorgt dat de app of service niet kan posten wat ze willen. Er is geen “alleen enquêteresultaten plaatsen” keuze. Je moet er gewoon op vertrouwen dat de app alleen dingen plaatst die je wilt of vertelt, en geen advertenties.

En misschien geeft u meer informatie weg dan waar u op had gerekend. Het maakt je niet uit of je favoriete winkel ziet wat je op Facebook plaatst, toch? Misschien krijgen ze meer informatie dan je had gedacht.

Op een conferentie in 2012 bijvoorbeeld, vertelde een Japans catalogusbedrijf over hoe het informatie op het Facebook-profiel van een gebruiker gebruikte om dingen af ​​te leiden “over een klant “levensfase” (of ze nu getrouwd of ongehuwd zijn, zwanger zijn, een dieet volgen, een feestje plannen, etc.) “huishouden” (als ze een kind hebben, een ouder wordende ouder, een huisdier, een condo, enz.) en “persoonlijkheid” (zijn ze in vrijwilligerswerk, waarzeggerij, eten, reizen, sporten, hardlopen, enz?).”

Een lid van het marketingteam verklaarde dat het team “kan de levensachtergrond van onze klanten leren kennen - hun levensstijl en psychologie. Vervolgens kunnen we onze catalogi dienovereenkomstig targeten. En we kunnen voorspellen wanneer iemand een product nodig heeft op basis van wat ze op sociale media zeggen.”

Dacht niet dat je zoveel informatie weggaf, wel??

Natuurlijk hebt u volledige controle over wat u deelt met een bedrijf dat sociale aanmeldingen gebruikt en hoeveel ze voor u kunnen posten, maar alleen als u de tijd neemt om de machtigingen te lezen die ze vragen. En geef geen toegang tot dingen die je liever privé houdt. Maar dat is niet altijd gemakkelijk, want sommige apps en services maken nu gebruik van aanmelden via Facebook of Twitter. Dit betekent dat als u niet akkoord gaat met hun rechten, u de service niet kunt gebruiken.

Afhaal lessen: wat moet je doen?

Zoals met de meeste dingen, zijn er twee kanten aan het verhaal van inloggen met sociale accounts. Het is over het algemeen vrij veilig, en je hebt eigenlijk behoorlijk wat controle over hoeveel informatie je deelt.

Aan de andere kant geef je misschien veel controle weg als je niet voorzichtig bent. Dus wat moet je eraan doen??

  • Lees toestemmingsverzoeken voordat je ze toestaat.

Dit is een belangrijke en het zal alleen maar belangrijker worden naarmate webservices meer geïntegreerd worden. Als je niet wilt dat een app gegevens verzamelt over je Facebook-vrienden, sta dit dan niet toe aan Facebook.

  • Controleer uw app-machtigingen regelmatig.

Ga op Facebook naar het tabblad Apps op het scherm Instellingen. Ga ook op Twitter naar het tabblad Apps in Instellingen. Google is een beetje lastiger: ga naar accounts.google.com, klik vervolgens op Beveiliging en vervolgens Alles bekijken onder Accountmachtigingen. Kijk welke apps toegang hebben tot uw gegevens en herroep de toegang voor apps die u niet meer gebruikt. En als u een app ziet die meer rechten heeft dan zou moeten, overweeg dan om toegang en bezoek in te trekken als u zich bij die dienst kunt aanmelden met een traditionele gebruikersnaam en wachtwoord.

Om het proces te versnellen, gebruikt u MyPermissions Too Many Apps? Hoe app-autorisaties te herroepen van meerdere websites in 2 minuten te veel apps? App-machtigingen intrekken van meerdere websites in 2 minuten De online wereld biedt veel privacyproblemen. We weten allemaal dat we geen privédingen op Facebook moeten plaatsen, we moeten ons e-mailadres niet op opvallende plaatsen opschrijven, en we moeten echt opletten, als ... Lees meer, waarmee je je rechten op Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox en meer.

  • Sla machtigingen over en stel toegestane doelgroepen in om te delen.

Als een app toestemming vraagt ​​om namens jou te delen via een sociale service, heb je misschien de mogelijkheid om die toestemming niet te geven (je ziet dit op Facebook wanneer je een bericht ziet “Overspringen” knop). Als dat een optie is, gebruik het dan! U kunt ook de doelgroep instellen voor toegestaan ​​delen, die u bijvoorbeeld kunt delen met al uw vrienden, een aangepast publiek of alleen uzelf.

  • Behandel permissieverzoeken anders op basis van accounts.

Wat publiceer je op Instagram? Wat publiceer je op Twitter? Een verzoek om uw Foursquare-berichten te lezen, kan een stuk minder eng zijn dan een verloning “Stel en verzend nieuwe e-mail” privileges voor uw Gmail-account.

  • Wijzig uw wachtwoorden regelmatig.

Wanneer u uw wachtwoorden wijzigt, worden een aantal OAuth-tokens onmiddellijk ongeldig, waardoor u opnieuw moet aanmelden en de tokens opnieuw moet goedkeuren. Voor zover ik heb kunnen achterhalen, maken Gmail en Facebook tegenspelers ongeldig als je je wachtwoord wijzigt, maar Twitter en Google+ niet. Voor deze andere services moet u de toegang intrekken en de machtigingen opnieuw uitvoeren.

Conclusie: gemak voor een prijs

Aanmelden bij sites en services met uw sociale referenties voegt veel gemak en zelfs een beetje beveiliging toe. Maar het kan riskant zijn, zowel vanuit privacyoogpunt als - in mindere mate - beveiligingsstandpunt. Maar als u de vijf bovenstaande veiligheidstips toepast, zou u alleen de rechten moeten geven die u van plan bent.

Hoe vaak gebruikt u uw sociale login-informatie op een andere site? Voel je je veilig om het te doen? Leest u de machtigingen regelmatig opnieuw en controleert u deze opnieuw? Deel je gedachten hieronder!

Afbeelding credits: Marc Falardeau via Flickr, Rob Pongsajapan via Flickr, Iván Melenchón Serrano via MorgueFile

Ontdek meer over: Facebook, online beveiliging.