感觉就像每次您注册一项新服务时,您都可以选择选择用户名和密码,或者只是使用Facebook或Twitter登录。通常也可以使用您的Google帐户登录。快速,简单。但是,您应该这样做吗?
它如何工作?
使用您的社交帐户登录时会使用一种称为OAuth的协议,该协议(简而言之)允许一个应用程序或服务(请求方或您要为其注册的服务)以连接到另一个(服务方或您正在用于注册的现有网络)并代表您行事。这是通过向请求的应用程序发布“令牌"来完成的。这些令牌的功能有点像您的用户名和密码,因为它们使请求的应用程序可以访问受密码保护的服务(例如Facebook)。
这里重要的是,您的实际用户名和密码永远不会在应用程序之间进行通信,并且发出请求的应用程序只能访问您受密码保护的帐户的有限部分。
让我们来看一个简单的示例。假设您正在使用Blurb将您的Facebook照片变成一本书。您转到Blurb(请求者),告诉它您要从Facebook打印照片。 Blurb会将您引回到Facebook(服务提供商),在其中输入登录凭据(直接发送给Facebook,而不是Blurb),并告诉Facebook您授予Blurb访问照片的权限。现在,Blurb可以下载这些照片,以便进行打印。如果Blurb尝试访问您的时间轴,则该时间轴将被拒绝,因为它拥有的令牌仅使它可以访问您的照片和公开个人资料。
OAuth永远不会与发出请求的应用共享您的用户名或密码。想法是将您的用户名和密码保密可以确保它们的安全。而且,要阻止请求的应用程序或服务访问您的帐户,只需单击“撤消访问权限",而不是更改密码。
安全吗?
好,因此到目前为止,该过程似乎非常简单。但是它有多安全?我们应该担心OAuth网站的安全性吗?
从安全角度来看,OAuth看起来还不错。最坏的情况仍然不会导致您的社交密码泄露。能够立即撤消对具有令牌的任何应用程序的访问权限的能力意味着,即使网站被黑客入侵并且某些邪恶的人物也可以使用所有令牌数据,您只需按一下“撤消访问"按钮,他们就不会
您只共享对社交网站上数据的特定子集的访问权限这一事实也很吸引人-如果有人黑客喀Snap鱼并访问了您的Facebook照片,则您不应该不必太担心(您正在小心所发布的照片,对吗?)。
尽管最近在OAuth中发现了一个严重的安全漏洞,但该系统还是
但是,在线安全不仅限于加密和令牌。确保您安全上网的最佳方法之一就是使用良好的密码习惯。 OAuth在这方面有很大帮助。怎么样?通过能够使用Twitter或Google进行登录,您不必创建必须记住的另一个密码。如果您有一个非常安全的Facebook密码,则可以使用该密码来访问许多内容,而无需在更多网站上使用完全相同的密码。
这是OAuth的明显优势-而且您可以限制拥有密码的网站数量是一大优势。
还要提一提的是,访问您的社交资料的网站不能采取任何重大措施-他们无法删除您的帐户,更改您的密码,或进行其他任何重大更改。
您要承担什么风险?
不幸的是,当涉及在线安全性时,没有什么是简单的。使用OAuth存在一些风险,主要与隐私有关。
例如,使用Facebook Connect时,您多长时间花一次时间仔细查看所授予的权限?虽然应用程序只应请求访问他们需要的信息才能更好地为您提供服务,但它们通常会要求更多信息,例如您的时间表,朋友的信息以及发布功能。
有时这是一件好事-您可能希望将Twitter集成到联系人应用程序或新闻阅读器中。或者,您可能希望通过RunKeeper或MapMyFitness发布锻炼结果。但是权限中没有任何内容可以阻止应用或服务发布所需的内容。没有“仅调查后结果"选项。您只需要相信应用程序只会发布您想要或告诉您的内容,而不发布广告。
您可能会提供比讨价还价更多的信息。谁在乎您最喜欢的商店是否看到您在Facebook上发布的内容,对吗?嗯,他们可能会得到比您想象的更多的信息。
例如,在2012年的一次会议上,一家日本目录公司谈论了它如何使用用户的Facebook个人资料中的信息来推断“有关客户的“人生阶段"(无论他们是否已婚,怀孕,饮食,计划聚会等)“家庭"(如果他们有孩子,父母老龄,宠物,公寓等)和“个性" (他们从事志愿服务,算命,吃饭,旅行,运动,跑步等吗?)。
营销团队的一名成员表示,该团队“可以了解客户的生活背景,他们的生活方式和心理。然后,我们可以相应地定位目录。我们可以根据他们在社交媒体上所说的来预测某人何时需要产品。"
难道您不认为您会提供那么多信息吗?
当然,您可以完全控制使用社交登录信息与公司共享的内容以及它们可以为您发布的信息数量-但前提是您需要花时间阅读他们要求的权限。也不要访问您希望保密的内容。但这并不总是那么容易,因为某些应用程序和服务现在正在使用仅Facebook或Twitter的登录方式,这意味着,如果您不同意他们的许可,您将无法使用该服务。
外带课程:您应该怎么做?
与大多数事情一样,使用社交帐户登录的故事有两个方面。通常来说,这是相当安全的,实际上,您确实可以控制共享的信息量。
另一方面,如果您不小心,可能会放弃很多控制权。 。那么,您应该怎么做呢?
这是一个重要的问题,随着Web服务集成度的提高,它只会变得越来越重要。如果您不希望应用程序收集有关Facebook朋友的数据,请不要允许其访问Facebook。
在Facebook上,转到设置屏幕上的应用标签。在Twitter上,也请转到“设置"中的“应用程序"标签。 Google有点棘手:访问account.google.com,然后依次单击“安全性"和“帐户权限"下的“查看全部"。查看哪些应用有权访问您的数据,并撤消对您不再使用的所有数据的访问。而且,如果看到某个应用程序具有的权限超出了应有的权限,请考虑撤消访问权限,并查看是否可以使用传统的用户名和密码登录该服务。
要加快该过程,可以使用MyPermissions ,它可以帮助您管理Facebook,Twitter,Google,Yahoo,LinkedIn,Foursquare,Instagram,Dropbox等的权限。
如果某个应用程序请求通过社交服务代表您共享的权限,则您可能有机会不给予该权限(当您看到“跳过"按钮时,会在Facebook上看到此权限)。如果可以的话,请使用它!您还可以为允许的共享设置听众,例如,可以与所有朋友,自定义听众或仅与自己共享。
您在Instagram上发布了什么?您在Twitter上发布了什么?阅读您的Foursquare帖子的请求可能比向您的Gmail帐户授予“撰写和发送新邮件"特权要容易得多。
When you change your passwords, a number of OAuth tokens will be immediately invalidated, requiring you to re-sign in and re-approve the tokens. As far as I’ve been able to figure out, Gmail and Facebook invalidate tokens when you change your password, but Twitter and Google+ don’t. For these other services, you’ll need to revoke access and then re-issue the permissions.
使用您的社交凭据登录站点和服务可以带来很多便利,甚至还可以提高安全性。但是,从隐私和(在较小程度上)安全的角度来看,这都是有风险的。但是,如果您实践上述五个安全提示,则应该只授予想要的权限。
您多久在另一个站点上使用一次社交登录信息?您这样做安全吗?您是否定期阅读并重新检查权限?在下面分享您的想法!
图片来源:通过Flickr的Marc Falardeau,通过Flickr的Rob Pongsajapan,通过MorgueFile的IvánMelenchónSerrano
