Reklame

Det føles som hver gang du tilmelder dig en ny tjeneste, du kan vælge at vælge et brugernavn og en adgangskode eller bare logge ind med Facebook eller Twitter. Logning med din Google-konto er ofte også en mulighed. Det er hurtigt, og det er let. Men skal du gøre det?

Hvordan virker det?

Log ind ved hjælp af din sociale konto bruger en protokol, der kaldes OAuth, som (i et nøddeskal) tillader en app eller tjeneste (rekvirenten, eller service, du tilmelder dig) for at oprette forbindelse til en anden (tjenesteudbyderen eller det eksisterende netværk, du bruger til at tilmelde dig) og handle på din vegne. Dette gøres ved at udstede “tokens” til den anmodende app. Disse tokens fungerer lidt som dit brugernavn og din adgangskode, da de giver den anmodende app adgang til en adgangskodebeskyttet service (f.eks. Facebook).

Den vigtige ting her er, at din faktiske brugernavn og adgangskode kommunikeres aldrig mellem apps, og at den anmodende app kun får adgang til en begrænset del af din adgangskodebeskyttede konto.

bagsidetekst-anmodning

Lad os se på et hurtigt eksempel. Sig, at du bruger Blurb for at gøre dine Facebook-fotos til en bog Tre nemme måder at forvandle din Facebook til en rigtig bog [Ugentlig Facebook-tip]Har du nogensinde ønsket at lave en ægte papirkopi af de ting, du har i Facebook? Måske har du slægtninge, der ikke er på Facebook, men som meget gerne vil se de billeder, du har lagt i ... Læs mere . Du går til Blurb (rekvirenten) og fortæller det, at du vil udskrive fotos fra Facebook. Blurb leder dig tilbage til Facebook (tjenesteudbyderen), hvor du indtaster dine login-legitimationsoplysninger (sendt direkte til Facebook, ikke Blurb) og fortæl Facebook, at du giver Blurb tilladelse til at få adgang til din fotos. Nu kan Blurb downloade disse fotos, så de kan udskrives. Hvis Blurb forsøger at få adgang til din tidslinje, nægtes den, fordi symbolet, den har, kun giver den adgang til dine fotos og den offentlige profil.

OAuth deler aldrig dit brugernavn eller din adgangskode med den anmodende app, idet ideen er, at det at holde dit brugernavn og din adgangskode hemmelig holder dem sikre. Og for at forhindre en anmodende app eller tjeneste i at få adgang til din konto, er alt hvad du skal gøre at klikke på "tilbagekald adgang" i stedet for at ændre din adgangskode.

Er det sikkert?

Okay, så processen forekommer temmelig ligetil indtil videre. Men hvor sikker er det? Bør vi være bekymrede for sikkerheden på OAuth-websteder?

Fra et sikkerhedsmæssigt synspunkt ser OAuth temmelig godt ud. Et værste tilfælde resulterer stadig ikke i åbenbaringen af ​​dine sociale adgangskoder. Og muligheden for øjeblikkeligt at tilbagekalde adgang til enhver app, der har et token, betyder, at selv hvis et websted bliver hacket og noget uærligt karakterer får deres hånd på alle token-data, du kan bare trykke på tilbagekaldelse af adgangsknappen, og de har ikke adgang til din sociale websted.

Det faktum, at du kun deler adgang til en bestemt undergruppe af dataene på dit sociale site er også helt tiltalende - hvis nogen hacks Snapfish og får adgang til dine Facebook-fotos, skal du ikke være for bekymret (du er passe på de fotos, du lægger, ikke?).

Yale-safe

På trods af den nylige dramatiseret opdagelse af en sikkerhedsfejl i OAuth, er systemet ret godt.

Der er dog mere ved online sikkerhed end kun kryptering og tokens. En af de bedste måder at sikre dig, at du er sikker på, er at bruge god adgangskode praksis Guide til adgangskodestyringFøl dig ikke overvældet af adgangskoder, eller brug bare den samme på hvert websted, så du husker dem: design din egen adgangskodestyringsstrategi. Læs mere . Og OAuth hjælper meget med det. Hvordan? Ved at kunne logge ind via Twitter eller Google, behøver du ikke oprette endnu en anden adgangskode, som du skal huske. Hvis du har en meget sikker Facebook-adgangskode, kan du bruge den til at få adgang til et antal ting uden at bruge den nøjagtige samme adgangskode til flere sider.

Dette er en tydelig fordel ved OAuth - og det faktum, at du begrænser antallet af websteder, der har dine adgangskoder, er et stort plus.

Det er også vigtigt at nævne, at websteder, der får adgang til dine sociale profiler, ikke kan udføre større handlinger - de kan ikke slette din konto, ændre din adgangskode eller foretage andre store ændringer. Hvilket er betryggende.

Hvilke risici tager du?

Desværre er intet enkelt, når det kommer til online sikkerhed og sikkerhed. Der er nogle risici ved at bruge OAuth, mest relateret til privatlivets fred.

Hvor ofte tager du dig tid til virkelig at se på de tilladelser, du giver, når du bruger Facebook Connect? Mens apps kun skal anmode om adgang til de oplysninger, de har brug for for at tjene dig bedre, gør de det bede ofte om meget mere - din tidslinje, dine venners oplysninger og evnen til at sende, for eksempel.

Nogle gange er dette en god ting - du ønsker måske at integrere Twitter i din kontakter-app eller en nyhedslæser. Eller du vil måske sende dine træningsresultater fra RunKeeper Hold styr på dine træningsmål, mens du træner med RunKeeper [Android]Omkring MakeUseOf elsker vi at finde apps og andre online motivatorer for at forblive i form og sund. Efter at have undersøgt disse fitness-apps gang på gang, viser RunKeeper sig altid at være en af ​​de bedste. Det er ... Læs mere eller MapMyFitness. Men der er intet i tilladelserne, der forhindrer appen eller tjenesten i at indsende, hvad de vil. Der er ingen mulighed for kun "post survey-resultater". Du er bare nødt til at stole på, at appen kun lægger ting, du vil have eller fortæller det, og ikke annoncer.

digital-key

Og du giver måske mere information væk, end du havde forhandlet for. Hvem er ligeglad med, hvis din yndlingsbutik ser, hvad du lægger ud på Facebook, ikke? Nå, de får muligvis mere information, end du forestillede dig.

For eksempel på en konference i 2012, et japansk katalogfirma talte om, hvordan det brugte information på en brugers Facebook-profil for at udlede ting "om en kundes" livsfase "(uanset om de er gift eller ugift, gravid, slankekure, planlægger en fest osv.) "Husstand" (hvis de har et barn, en aldrende forælder, et kæledyr, en ejerlejlighed osv.) Og "personlighed" (skal de være frivilligt arbejde, formue, mad, rejse, sport, kører osv?). ”

Et medlem af marketingteamet oplyste, at teamet “kan lære vores kunders livsbaggrund - deres livsstil og psykologi. Vi kan derefter målrette vores kataloger i overensstemmelse hermed. Og vi kan forudsige, hvornår nogen har brug for et produkt, baseret på hvad de siger på sociale medier. ”

Troede du ikke, at du gav bort så meget information, gjorde du det?

Selvfølgelig har du fuld kontrol over, hvad du deler med et firma, der bruger sociale logins, og hvordan meget de kan sende for dig - men kun hvis du tager dig tid til at læse de tilladelser, de beder om til. Og ikke give adgang til ting, som du hellere vil holde privat. Men det er ikke altid let, fordi nogle apps og tjenester nu bruger Facebook-eller-Twitter-kun login, hvilket betyder, at hvis du ikke accepterer deres tilladelser, får du ikke brug af tjenesten.

Takeaway-lektioner: Hvad skal du gøre?

Som med de fleste ting er der to sider ved historien om at logge ind ved hjælp af sociale konti. Det er generelt ganske sikkert, og du har faktisk ganske lidt kontrol over, hvor meget information du deler.

kontrol-key

På den anden side giver du muligvis en masse kontrol, hvis du ikke er forsigtig. Så hvad skal du gøre ved det?

  • Læs tilladelsesanmodninger, før du tildeler dem.

Dette er vigtigt, og det bliver kun vigtigere, når webservices bliver mere integrerede. Hvis du ikke ønsker en app, der høster data om dine Facebook-venner, skal du ikke give den adgang til Facebook.

  • Gennemgå dine apptilladelser ofte.

Gå til Facebook på Facebook Fanen Apps på skærmen Indstillinger. Gå til Twitter på Twitter Fanen Apps i Indstillinger, også. Google er lidt vanskeligere: gå til accounts.google.com, klik derefter på Sikkerhed Vis alle under Kontotilladelser. Se på, hvilke apps der har adgang til dine data, og tilbagekald adgangen for alt det, du ikke bruger mere. Og hvis du ser en app, der har flere tilladelser end den burde, kan du overveje at tilbagekalde adgang og se, om du kan logge ind på denne tjeneste med et traditionelt brugernavn og adgangskode.

For at fremskynde processen kan du gøre det Brug MyPermissions For mange apps? Sådan tilbagekaldes apptilladelser fra flere websteder på 2 minutterOnlineverdenen tilbyder mange bekymringer om privatlivets fred. Vi ved alle, at vi ikke bør sende private ting på Facebook, vi må ikke nedskrive vores e-mail-adresse på iøjnefaldende steder, og vi skal virkelig være opmærksomme, da ... Læs mere , som hjælper dig med at administrere dine tilladelser på tværs af Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox og mere.

  • Spring over tilladelser, og indstil tilladte målgrupper til deling.

Hvis en app beder tilladelse til at dele på dine vegne via en social service, har du muligvis mulighed for ikke at give den tilladelse (du ser dette på Facebook, når du ser en "Spring over" -knap). Hvis det er en mulighed, så brug den! Du kan også indstille publikum til den tilladte deling - for eksempel kan du dele med alle dine venner, et brugerdefineret publikum eller kun dig selv.

  • Behandle tilladelsesanmodninger forskelligt baseret på konti.

Hvad poster du på Instagram? Hvad poster du på Twitter? En anmodning om at læse dine Foursquare-indlæg er måske meget mindre skræmmende end at give "Komponer og send ny mail" -rettigheder til din Gmail-konto.

unrollme-anmodning
  • Skift dine adgangskoder regelmæssigt.

Når du ændrer dine adgangskoder, bliver et antal OAuth-tokens øjeblikkeligt ugyldige, hvilket kræver, at du logger ind igen og godkender tokenerne igen. Så vidt jeg har kunnet finde ud, ugyldiggør Gmail og Facebook symboler, når du ændrer din adgangskode, men Twitter og Google+ gør det ikke. For disse andre tjenester skal du ophæve adgangen og derefter udstede tilladelserne igen.

Konklusion: Bekvemmelighed til en pris

Ved at logge ind på websteder og tjenester med dine sociale legitimationsoplysninger tilføjes det meget bekvemmelighed og endda en smule sikkerhed. Men det kan være risikabelt, både ud fra et privatliv og i mindre grad sikkerhedsmæssigt synspunkt. Men hvis du praktiserer de fem sikkerhedstips ovenfor, skal du kun give de tilladelser, du har til hensigt.

Hvor ofte bruger du dine sociale login-oplysninger på et andet sted? Føler du dig sikker ved at gøre det? Læser og kontrollerer du tilladelser regelmæssigt? Del dine tanker nedenfor!

Billedkreditter: Marc Falardeau via Flickr, Rob Pongsajapan via Flickr, Iván Melenchón Serrano via MorgueFile

Dann er en indholdsstrategi og marketingkonsulent, der hjælper virksomheder med at skabe efterspørgsel og kundeemner. Han blogger også om strategi og indholdsmarkedsføring på dannalbright.com.