Solltest du zweimal überlegen, bevor du dich mit Social Accounts anmeldest?

Werbung

Werbung
Werbung

Es fühlt sich so an, als würden Sie jedes Mal, wenn Sie sich für einen neuen Service anmelden, einen Benutzernamen und ein Passwort auswählen oder sich einfach mit Facebook oder Twitter einloggen. Auch die Anmeldung mit Ihrem Google-Konto ist oft eine Option. Es ist schnell und einfach. Aber solltest du es tun?

Wie funktioniert es?

Wenn Sie sich mit Ihrem sozialen Konto anmelden, wird das Protokoll OAuth verwendet, mit dem (kurz gesagt) eine App oder ein Dienst (der Anforderer oder Dienst, für den Sie sich anmelden) eine Verbindung zu einem anderen herstellen kann (Dienstanbieter oder bestehendes Netzwerk). Verwenden Sie um sich anzumelden) und handeln Sie in Ihrem Namen. Dies geschieht durch Ausgeben von "Tokens" an die anfordernde App. Diese Tokens funktionieren ein wenig wie Ihr Benutzername und Ihr Passwort, da sie der anfragenden App Zugriff auf einen passwortgeschützten Dienst (z. B. Facebook) gewähren.

Wichtig dabei ist, dass Ihr tatsächlicher Benutzername und Ihr Passwort nie zwischen den Apps kommuniziert werden und dass die anfordernde App nur Zugriff auf einen eingeschränkten Teil Ihres passwortgeschützten Kontos erhält.

blurb-request

Schauen wir uns ein kurzes Beispiel an. Angenommen, Sie verwenden Blurb, um Ihre Facebook-Fotos in ein Buch zu verwandeln Drei einfache Möglichkeiten, Ihr Facebook zu einem echten Buch zu machen [Wöchentlicher Facebook-Tipp] Drei einfache Möglichkeiten, Ihr Facebook zu einem echten Buch zu machen [Wöchentlicher Facebook-Tipp] Haben Sie schon immer gewollt um ein echtes Buch von den Dingen zu machen, die du in Facebook hast? Vielleicht haben Sie Verwandte, die nicht auf Facebook sind, aber gerne die Bilder sehen würden, die Sie eingefügt haben ... Lesen Sie mehr. Sie gehen zu Blurb (dem Anfragenden) und sagen, dass Sie Fotos von Facebook drucken möchten. Blurb leitet Sie zurück zu Facebook (dem Dienstanbieter), wo Sie Ihre Anmeldeinformationen eingeben (direkt an Facebook und nicht an Blurb gesendet) und Facebook mitteilen, dass Sie Blurb die Berechtigung zum Zugriff auf Ihre Fotos erteilen. Jetzt kann Blurb diese Fotos herunterladen, damit sie gedruckt werden können. Wenn Blurb versucht, auf Ihre Zeitleiste zuzugreifen, wird dies verweigert, da das Token, über das es verfügt, nur auf Ihre Fotos und Ihr öffentliches Profil zugreifen kann.

OAuth teilt Ihren Nutzernamen oder Ihr Passwort niemals mit der anfordernden App. Die Idee besteht darin, dass Sie Ihren Benutzernamen und Ihr Passwort geheim halten müssen, um sie zu schützen. Um zu verhindern, dass eine anfordernde App oder ein Dienst auf Ihr Konto zugreift, müssen Sie lediglich auf "Zugriff widerrufen" klicken, anstatt Ihr Passwort zu ändern.

Ist es sicher?

Okay, der Prozess scheint also ziemlich einfach zu sein. Aber wie sicher ist es? Sollten wir uns Sorgen um die Sicherheit von OAuth-Sites machen?

Aus Sicherheitsgründen sieht OAuth ziemlich gut aus. Ein Worst-Case-Szenario führt immer noch nicht zur Enthüllung Ihrer sozialen Passwörter. Und die Möglichkeit, den Zugriff auf jede App mit einem Token sofort zu widerrufen, bedeutet, dass selbst wenn eine Website gehackt wird und einige schändliche Charaktere alle Token-Daten in die Hände bekommen, Sie einfach die Zugriffssperre-Taste drücken und nicht haben Zugang zu Ihrer sozialen Website.

Die Tatsache, dass Sie nur den Zugriff auf eine bestimmte Teilmenge der Daten auf Ihrer sozialen Website freigeben, ist ebenfalls sehr ansprechend - wenn jemand Snapfish hackt und Zugriff auf Ihre Facebook-Fotos erhält, sollten Sie sich keine Sorgen machen (Sie kümmern sich um die Fotos) du postest, richtig?).

Yale-Safe

Trotz der dramatisierten Entdeckung einer Sicherheitslücke in OAuth ist das System ziemlich gut.

Allerdings gibt es mehr Sicherheit im Internet als nur Verschlüsselung und Token. Eine der besten Möglichkeiten, um sicherzustellen, dass Sie online sicher sind, ist die Verwendung von guten Passwortpraktiken. Und OAuth hilft dabei sehr. Wie? Wenn Sie sich über Twitter oder Google anmelden können, müssen Sie kein weiteres Passwort erstellen, das Sie sich merken müssen. Wenn Sie ein sehr sicheres Facebook-Passwort haben, können Sie damit auf eine Reihe von Dingen zugreifen, ohne das gleiche Passwort für weitere Websites zu verwenden.

Dies ist ein klarer Vorteil von OAuth - und die Tatsache, dass Sie die Anzahl der Websites begrenzen, die Ihre Kennwörter haben, ist ein großes Plus.

Es ist auch wichtig zu erwähnen, dass Websites, die auf Ihre sozialen Profile zugreifen, keine wichtigen Aktionen durchführen können - sie können Ihr Konto nicht löschen, Ihr Passwort nicht ändern oder andere wichtige Änderungen vornehmen. Was beruhigend ist.

Welche Risiken nehmen Sie ein?

Leider ist nichts einfach, wenn es um Online-Sicherheit geht. Es gibt einige Risiken bei der Verwendung von OAuth, hauptsächlich im Zusammenhang mit dem Datenschutz.

Wie oft nehmen Sie sich beispielsweise die Zeit, um sich die Berechtigungen anzusehen, die Sie bei der Verwendung von Facebook Connect erhalten? Während Apps nur Zugriff auf die Informationen anfordern sollten, die sie benötigen, um sie besser bedienen zu können, fragen sie oft nach viel mehr - beispielsweise nach Ihrer Zeitleiste, den Informationen Ihrer Freunde und der Möglichkeit zum Posten.

Manchmal ist das eine gute Sache - vielleicht möchten Sie Twitter in Ihre Kontakte-App oder einen Newsreader integrieren. Oder du möchtest deine Trainingsergebnisse von RunKeeper posten. Behalte deine Trainingsziele im Auge, während du mit RunKeeper trainierst [Android] Behalte deine Trainingsziele im Auge, während du mit RunKeeper trainierst. [Android] Um MakeUseOf finden wir Apps und andere Online-Motivatoren um fit und gesund zu bleiben. Nach der regelmäßigen Untersuchung dieser Fitness-Apps erweist sich RunKeeper immer als eines der Besten. Es ist ... Lesen Sie mehr oder MapMyFitness. Aber es gibt nichts in den Berechtigungen, das die App oder den Dienst davon abhält, zu posten, was sie wollen. Es gibt keine Option "nur Umfrageergebnisse". Sie müssen nur darauf vertrauen, dass die App nur Dinge veröffentlicht, die Sie möchten, und nicht Anzeigen.

Digitalschlüssel

Und Sie geben vielleicht mehr Informationen preis, als Sie erwartet haben. Wen kümmert es, wenn dein Lieblingsgeschäft sieht, was du auf Facebook postest, oder? Nun, vielleicht bekommen sie mehr Informationen, als du dir vorgestellt hast.

Auf einer Konferenz im Jahr 2012 sprach eine japanische Kataloggesellschaft beispielsweise darüber, wie sie Informationen über das Facebook-Profil eines Nutzers dazu benutzte, "über die Lebensphase eines Kunden" zu entscheiden (ob verheiratet oder unverheiratet, schwanger, Diäten, Party planen) usw.) "Haushalt" (wenn sie ein Kind haben, ein alternder Elternteil, ein Haustier, eine Wohnung usw.) und "Persönlichkeit" (sind sie in Freiwilligenarbeit, Wahrsagen, Essen, Reisen, Sport, Laufen, etc ?). "

Ein Mitglied des Marketingteams erklärte, dass das Team "den Lebenshintergrund unserer Kunden - ihren Lebensstil und ihre Psychologie kennenlernen kann". Wir können dann unsere Kataloge entsprechend ausrichten. Und wir können voraussagen, wann jemand ein Produkt braucht, das auf dem basiert, was er in sozialen Medien sagt. "

Glaubst du nicht, dass du so viele Informationen verschenkt hast, oder?

Natürlich haben Sie die volle Kontrolle darüber, was Sie mit einer Firma teilen, die soziale Logins verwendet und wie viel sie für Sie posten können - aber nur, wenn Sie sich die Zeit nehmen, die angeforderten Berechtigungen zu lesen. Und keinen Zugang zu Dingen geben, die du lieber privat halten möchtest. Aber das ist nicht immer einfach, weil einige Apps und Dienste jetzt Facebook- oder Twitter-Only-Sign-in verwenden, was bedeutet, dass Sie den Service nicht nutzen können, wenn Sie ihren Berechtigungen nicht zustimmen.

Takeaway Lessons: Was sollten Sie tun?

Wie bei den meisten Dingen gibt es zwei Seiten in der Geschichte der Anmeldung mit sozialen Accounts. Es ist im Allgemeinen ziemlich sicher, und Sie haben tatsächlich ziemlich viel Kontrolle darüber, wie viele Informationen Sie teilen.

Steuerschlüssel

Auf der anderen Seite geben Sie möglicherweise viel Kontrolle ab, wenn Sie nicht vorsichtig sind. Was sollten Sie dagegen tun?

  • Lesen Sie Berechtigungsanforderungen, bevor Sie sie erteilen.

Dies ist ein wichtiger Aspekt, und er wird nur noch wichtiger werden, wenn Web-Services stärker integriert werden. Wenn Sie nicht möchten, dass eine App Daten über Ihre Facebook-Freunde sammelt, erlauben Sie keinen Zugriff auf Facebook.

  • Überprüfen Sie häufig Ihre App-Berechtigungen.

Wechseln Sie auf Facebook zur Registerkarte Apps auf dem Bildschirm Einstellungen. Auf Twitter, gehen Sie auch auf die Registerkarte Apps in den Einstellungen. Google ist etwas kniffliger: Gehen Sie zu accounts.google.com, klicken Sie dann auf Sicherheit und dann auf Alle anzeigen unter Kontoberechtigungen. Sehen Sie sich an, welche Apps Zugriff auf Ihre Daten haben, und widerrufen Sie den Zugriff für alle, die Sie nicht mehr verwenden. Wenn Sie eine App mit mehr Berechtigungen sehen, als sie sollte, ziehen Sie in Betracht, den Zugriff zu widerrufen und zu prüfen, ob Sie sich mit einem herkömmlichen Nutzernamen und Passwort bei diesem Dienst anmelden können.

Um den Prozess zu beschleunigen, können Sie MyPermissions Too Many Apps verwenden? Wie man App-Berechtigungen von mehreren Websites in 2 Minuten zu vielen Apps widerruft? Wie man App-Berechtigungen von mehreren Websites in 2 Minuten widerruft Die Online-Welt bietet viele Bedenken hinsichtlich der Privatsphäre. Wir alle wissen, dass wir private Dinge nicht auf Facebook posten dürfen, wir dürfen unsere E-Mail-Adresse nicht auffällig aufschreiben, und wir sollten wirklich darauf achten, wie ... Read More, mit dem Sie Ihre Berechtigungen auf Facebook verwalten können, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox und mehr.

  • Überspringen Sie Berechtigungen und legen Sie zulässige Zielgruppen für die Freigabe fest.

Wenn eine App die Erlaubnis zur Freigabe in Ihrem Namen über einen sozialen Dienst anfordert, haben Sie möglicherweise die Möglichkeit, diese Erlaubnis nicht zu erteilen (Sie sehen dies auf Facebook, wenn Sie die Schaltfläche "Überspringen" sehen). Wenn das eine Option ist, benutze sie! Sie können die Zielgruppe auch für die zulässige Freigabe festlegen. Sie können sie beispielsweise für alle Ihre Freunde, für eine benutzerdefinierte Zielgruppe oder nur für sich selbst freigeben.

  • Behandeln Sie Berechtigungsanforderungen basierend auf Konten unterschiedlich.

Was postest du auf Instagram? Was postest du auf Twitter? Eine Anfrage zum Lesen Ihrer Foursquare-Posts ist möglicherweise viel weniger beängstigend als das Erteilen der Berechtigung "Verfassen und Senden neuer E-Mails" für Ihr Google Mail-Konto.

Anfrage abwickeln

  • Ändern Sie Ihre Passwörter regelmäßig.

Wenn Sie Ihre Kennwörter ändern, wird eine Reihe von OAuth-Token sofort ungültig, sodass Sie sich erneut anmelden und die Token erneut genehmigen müssen. Soweit ich in der Lage war herauszufinden, Google Mail und Facebook ungültig Token, wenn Sie Ihr Passwort ändern, aber Twitter und Google+ nicht. Bei diesen anderen Diensten müssen Sie den Zugriff widerrufen und die Berechtigungen erneut erteilen.

Fazit: Bequemlichkeit für einen Preis

Das Anmelden bei Websites und Diensten mit Ihren sozialen Anmeldeinformationen bietet eine Menge Komfort und sogar ein wenig Sicherheit. Aber es kann riskant sein, sowohl aus Sicht der Privatsphäre als auch - in geringerem Maße - aus Gründen der Sicherheit. Aber wenn Sie die fünf oben genannten Sicherheitstipps anwenden, sollten Sie nur die Berechtigungen erteilen, die Sie beabsichtigen.

Wie oft verwenden Sie Ihre sozialen Login-Informationen auf einer anderen Website? Fühlst du dich sicher dabei? Lesen und überprüfen Sie Berechtigungen regelmäßig? Teile deine Gedanken unten!

Bildnachweis: Marc Falardeau über Flickr, Rob Pongsajapan über Flickr, Iván Melenchón Serrano über MorgueFile

In this article