Preparar Criar contas Manualmente é uma dor: queremos apenas acesso aos serviços do aplicativo, não gastar cinco minutos configurando endereço de e-mail, senhas e informações básicas. Esta é a razão pela qual os botões "Login com Facebook" e "Sign in with Google" se tornaram tão populares online.
Os usuários adoram esse método de logon federado porque torna a criação de contas muito mais fácil, e sites / aplicativos como este porque permite que mais usuários se inscrevam em contas. Como você pode criar contas no Google, Facebook, Twitter, Microsoft, LinkedIn, Github, WeChat, VKontakte, Weibo e muito mais, é provável que você já tenha usado um desses serviços, mas também já se perguntou se isso era uma boa ideia ou não. Você está certo em perguntar: Sim, é conveniente, mas há compensações quando se trata de segurança e é essencialmente uma rua de mão única no que diz respeito à privacidade.
Como funcionam os logins sociais?
Nem todo sistema funciona da mesma forma, mas o processo básico é um tanto universal. A maioria dos serviços de login de terceiros usa uma combinação dos protocolos OpenID e OAuth. O OpenID lida com a autorização do usuário (o login no Facebook confirma sua identidade para o site que você está tentando usar), enquanto o OAuth rege como outros sites podem acessar seus dados (nome, idade, interesses, amigos, etc.).
Existem três atores principais envolvidos no processo de login social:
- O usuário (isto é!) Está solicitando acesso ao aplicativo ou site
- O aplicativo ou site que o usuário deseja acessar
- O autenticador que confirma sua identidade e controla o acesso aos seus dados (Facebook, Google, etc.)
Um login social típico acontece assim:
- O usuário clica em "Entrar com ____".
- O aplicativo abre um link solicitando que o usuário faça login no site da ferramenta de delegação. O link contém informações que informam sobre o proprietário do site que está se inscrevendo.
- O usuário insere seu nome de usuário e senha no site do Autorizador, o que significa que o aplicativo nunca vê suas informações.
- O autorizador cria um código de uso único e o envia para o aplicativo.
- O aplicativo então envia esse código ao Autorizador com uma solicitação para acessar a API do Autorizador.
- Um validador valida o código e o aplicativo emite um token (geralmente com um limite de tempo) que permite ao aplicativo solicitar que acompanha algumas informações do usuário.
Profissionais de segurança: logins sociais podem ser mais seguros do que logins de senha com e-mail
Os logins sociais são tão seguros quanto as empresas que os administram, o que, por estarem entre as maiores empresas de tecnologia do mundo, os colocam na categoria "muito bom". Você não vê o Facebook e o Google sendo hackeados a torto e a direito, principalmente porque eles se preocupam muito com sua segurança online e estão investindo mais do que isso na rede de lojas de varejo.
Se você usar o login uniforme, o site para o qual você criar uma conta não poderá acessar seu nome de usuário e senha, o que significa que ninguém pode roubar sua conta (embora possam obter algumas informações associadas a ela).
Você também não insere suas senhas em todos os lugares e, como costumamos reutilizar nossas senhas com frequência, isso é bom. Provavelmente, não seguimos as melhores práticas de senha de qualquer maneira, portanto, quanto menos for para uma segurança ruim, melhor.
Desvantagens de segurança: se seus dados de login social forem comprometidos, suas contas também ficarão
O que acontece se o Facebook e o Google forem hackeados ou se alguém ganhar acesso à sua conta? Ambas as empresas tiveram problemas de dados no passado (Cambridge Analytica, Google+), e o LinkedIn foi o mais violado, então a grande tecnologia não tem um histórico de 100% aqui.
Alguém com suas informações de login de mídia social poderia fingir que você estava em todos os aplicativos e sites em que costumava fazer login? Basicamente, sim. Seja uma violação de segurança em todo o sistema, uma senha fraca ou malware de computador que violou seus dados de login do Facebook, qualquer pessoa com suas credenciais de login pode se passar por você em outro aplicativo. Isso torna os logins sociais um único ponto de falha, criando um efeito dominó potencial se sua conta for hackeada com autorização.
Facebook, Google e Twitter estão trabalhando muito para que isso aconteça, mas mesmo se eles finalmente continuarem, eles não podem fazer muito se sua senha for 123456789 (veja estas dicas para uma senha forte) e você mantiver sua conta em dispositivos compartilhados ou fisicamente acessíveis. . Se você usa um login social, deve tratá-lo como uma chave para as contas que pode acessar.
Vantagens de privacidade
Este seria um clipe curto porque, na verdade, não há benefícios de privacidade para os usuários. Os logins sociais não apenas postarão seus dados para quem os solicitar, que é o mínimo que você espera, mas você entregará muito mais informações pessoais do que se estivesse usando uma combinação de e-mail / senha.
Pontos negativos da privacidade: todos estão aprendendo mais sobre você
Dependendo do serviço que você usa, você pode controlar mais ou menos quais aplicativos de dados têm permissão para retirar dos perfis sociais. É fácil fazer mais do que você pretende e os aplicativos podem pedir que você saiba que a maioria dos usuários provavelmente falhará no "sim". Amigos, localização, data de postagem, interesses e outras informações pessoais podem ser facilmente removidos sem estar totalmente cientes.
Por outro lado, lembre-se de que a maioria das empresas que fornecem serviços de login está muito interessada em coletar mais dados sobre você. Eles adoram saber quais aplicativos você usa, com que frequência os usa e informações ainda mais precisas sobre o que você faz com eles, e usar esse método de login é basicamente fornecer essas informações diretamente a eles. Não está claro quantos dados o Facebook e o Google obtêm de aplicativos que usam serviços de login, mas se você não se sente confortável com uma empresa que sabe muito sobre o que está fazendo no aplicativo, é melhor não associar uma conta a essa empresa.
Devo usar logins sociais?
Os logins sociais podem ser mais seguros em muitos casos, especialmente se você tiver o cuidado de manter suas contas principais bloqueadas e não tiver certeza se o aplicativo ou site tem a melhor segurança na Internet. Na verdade, é seguro fazer login em um aplicativo ou site ambíguo usando um login social, já que você não vai fornecer uma senha que pode ser reutilizada em vários sites. No entanto, se você estiver criando uma conta que contém informações potencialmente confidenciais em um serviço bem protegido, haverá um poderoso recurso de correspondência de e-mail / senha.
Quanto à privacidade, é uma decisão pessoal. Se você não quiser que o aplicativo saiba mais sobre você do que o necessário, não entre no Facebook. Acontece da mesma forma ao contrário: não use uma ferramenta de autorização de terceiros, a menos que você se sinta confortável com a coleta de alguns dados adicionais sobre você.