Anuncio

Parece que cada vez que se suscribe a un nuevo servicio, puede elegir elegir un nombre de usuario y contraseña o simplemente iniciar sesión con Facebook o Twitter. A menudo, iniciar sesión con su cuenta de Google también es una opción. Es rápido y fácil. ¿Pero deberías hacerlo?

¿Como funciona?

Iniciar sesión con su cuenta social utiliza un protocolo llamado OAuth, que (en pocas palabras) permite una aplicación o servicio (el solicitante o servicio al que se está registrando) para conectarse a otro (el proveedor de servicios o la red existente que está utilizando para registrarse) y actuar en su favor. Esto se realiza mediante la emisión de "tokens" a la aplicación solicitante. Estos tokens funcionan un poco como su nombre de usuario y contraseña, ya que le dan a la aplicación solicitante acceso a un servicio protegido por contraseña (por ejemplo, Facebook).

Lo importante aquí es que su real el nombre de usuario y la contraseña nunca se comunican entre las aplicaciones, y la aplicación solicitante solo obtiene acceso a una parte limitada de su cuenta protegida con contraseña.

instagram viewer
solicitud de publicidad

Veamos un ejemplo rápido. Digamos que estás usando Blurb para convertir tus fotos de Facebook en un libro Tres maneras fáciles de convertir tu Facebook en un libro real [Consejo semanal de Facebook]¿Alguna vez has querido hacer un libro real de las cosas que tienes en Facebook? Tal vez tengas familiares que no están en Facebook pero que les encantaría ver las fotos que has puesto ... Lee mas . Vas a Blurb (el solicitante) y le dices que quieres imprimir fotos desde Facebook. Blurb lo dirige de regreso a Facebook (el proveedor de servicios), donde ingresa sus credenciales de inicio de sesión (enviado directamente a Facebook, no a Blurb) y dile a Facebook que le das permiso a Blurb para acceder a tu fotos Ahora Blurb puede descargar esas fotos para que puedan imprimirse. Si Blurb intenta acceder a su línea de tiempo, será denegado, porque el token que tiene solo le da acceso a sus fotos y perfil público.

OAuth nunca comparte su nombre de usuario o contraseña con la aplicación solicitante, la idea es que mantener su nombre de usuario y contraseña en secreto los mantiene seguros. Y para evitar que una aplicación o servicio solicitante acceda a su cuenta, todo lo que tiene que hacer es hacer clic en "revocar acceso", en lugar de cambiar su contraseña.

¿Es seguro?

Bien, entonces el proceso parece bastante sencillo hasta ahora. ¿Pero qué tan seguro es? ¿Deberíamos preocuparnos por la seguridad de los sitios de OAuth?

Desde el punto de vista de la seguridad, OAuth se ve bastante bien. El peor de los casos aún no da como resultado la revelación de sus contraseñas sociales. Y la capacidad de revocar instantáneamente el acceso a cualquier aplicación que tenga un token significa que incluso si un sitio web es pirateado y es nefasto los personajes tienen en sus manos todos los datos del token, solo puede presionar el botón revocar acceso y no tendrán acceso a su red social sitio.

El hecho de que solo comparta el acceso a un subconjunto específico de datos en su sitio social también es bastante atractivo: si alguien piratea Snapfish y obtiene acceso a sus fotos de Facebook, no debe preocuparse demasiado (tú son cuidando las fotos que publicas, ¿verdad?).

seguro para yale

A pesar de lo reciente descubrimiento dramatizado de una falla de seguridad en OAuth, el sistema es bastante bueno.

Sin embargo, la seguridad en línea tiene más que solo cifrado y tokens. Una de las mejores maneras de asegurarse de estar seguro en línea es usar buenas prácticas de contraseña Guía de gestión de contraseñasNo se sienta abrumado por las contraseñas, o simplemente use la misma en cada sitio para recordarlas: diseñe su propia estrategia de administración de contraseñas. Lee mas . Y OAuth ayuda mucho con eso. ¿Cómo? Al poder iniciar sesión con Twitter o Google, no tiene que crear aún otro contraseña que debes recordar. Si tiene una contraseña de Facebook muy segura, puede usarla para acceder a varias cosas sin usar exactamente la misma contraseña para más sitios.

Esta es una clara ventaja de OAuth, y el hecho de que limite el número de sitios web que tienen sus contraseñas es una gran ventaja.

También es importante mencionar que los sitios que acceden a sus perfiles sociales no pueden realizar ninguna acción importante: no pueden eliminar su cuenta, cambiar su contraseña ni realizar ningún otro cambio importante. Lo cual es tranquilizador.

¿Qué riesgos estás tomando?

Desafortunadamente, nada es simple cuando se trata de seguridad en línea. Existen algunos riesgos de usar OAuth, principalmente relacionados con la privacidad.

Por ejemplo, ¿con qué frecuencia te tomas el tiempo para mirar realmente los permisos que otorgas cuando usas Facebook Connect? Si bien las aplicaciones solo deben solicitar acceso a la información que necesitan para servirle mejor, a menudo piden mucho más: su línea de tiempo, la información de sus amigos y la capacidad de publicar, para ejemplo.

A veces esto es algo bueno: es posible que desee integrar Twitter en su aplicación de contactos o en un lector de noticias. O es posible que desee publicar los resultados de su entrenamiento de RunKeeper Mantenga un registro de sus objetivos de entrenamiento mientras entrena con RunKeeper [Android]En MakeUseOf, nos encanta encontrar aplicaciones y otros motivadores en línea para mantenerse en forma y saludable. Después de investigar estas aplicaciones de fitness una y otra vez, RunKeeper siempre demuestra ser uno de los mejores. Sus... Lee mas o MapMyFitness. Pero no hay nada en los permisos que impida que la aplicación o el servicio publiquen lo que quieran. No existe la opción "publicar solo resultados de la encuesta". Solo tiene que confiar en que la aplicación solo publicará las cosas que desea o le dirá, y no los anuncios.

llave digital

Y es posible que esté dando más información de la que esperaba. ¿A quién le importa si tu tienda favorita ve lo que estás publicando en Facebook, verdad? Bueno, podrían estar obteniendo más información de la que imaginabas.

Por ejemplo, en una conferencia de 2012, una compañía de catálogo japonesa habló sobre cómo usó la información en el perfil de Facebook de un usuario para inferir cosas "sobre la" etapa de vida "de un cliente (ya sea casado o soltero, embarazada, haciendo dieta, planeando una fiesta, etc.) “Hogar” (si tienen un hijo, un padre anciano, una mascota, un condominio, etc.) y “personalidad” (¿se dedican al voluntariado, la adivinación, la comida, los viajes, los deportes, corriendo, etc.? "

Un miembro del equipo de marketing declaró que el equipo "puede aprender los antecedentes de la vida de nuestros clientes: su estilo de vida y psicología. Entonces podemos dirigir nuestros catálogos en consecuencia. Y podemos predecir cuándo alguien necesita un producto en función de lo que dice en las redes sociales ".

¿No pensaste que estabas dando tanta información, verdad?

Por supuesto, usted tiene control total sobre lo que está compartiendo con una empresa utilizando inicios de sesión sociales y cómo mucho pueden publicar para usted, pero solo si se toma el tiempo de leer los permisos que le solicitan para. Y no dar acceso a cosas que prefieres mantener en privado. Pero eso no siempre es fácil, porque algunas aplicaciones y servicios ahora emplean el inicio de sesión solo en Facebook o Twitter, lo que significa que si no acepta sus permisos, no podrá utilizar el servicio.

Lecciones para llevar: ¿Qué debe hacer?

Como con la mayoría de las cosas, la historia de iniciar sesión con cuentas sociales tiene dos lados. En general, es bastante seguro y, de hecho, tienes bastante control sobre la cantidad de información que compartes.

tecla de control

Por otro lado, podrías estar cediendo mucho control si no tienes cuidado. Entonces, ¿qué debes hacer al respecto?

  • Lea las solicitudes de permiso antes de otorgarlas.

Esta es importante y solo se volverá más importante a medida que los servicios web se integren más. Si no desea que una aplicación recopile datos sobre sus amigos de Facebook, no permita que acceda a Facebook.

  • Revise los permisos de su aplicación con frecuencia.

En Facebook, ve a Pestaña Aplicaciones en la pantalla de Configuración. En Twitter, vaya a Pestaña Aplicaciones en Configuración, también. Google es un poco más complicado: ve a cuentas.google.com, luego haga clic en Seguridad, luego Ver todo en Permisos de cuenta. Observe qué aplicaciones tienen acceso a sus datos y revoque el acceso a las que ya no use. Y si ve una aplicación que tiene más permisos de los que debería, considere revocar el acceso y ver si puede iniciar sesión en ese servicio con un nombre de usuario y contraseña tradicionales.

Para acelerar el proceso, puedes usar MyPermissions ¿Demasiadas aplicaciones? Cómo revocar permisos de aplicaciones de múltiples sitios web en 2 minutosEl mundo en línea ofrece muchas preocupaciones de privacidad. Todos sabemos que no debemos publicar cosas privadas en Facebook, no debemos escribir nuestra dirección de correo electrónico en lugares visibles, y realmente debemos prestar atención, ya que ... Lee mas , que le ayuda a administrar sus permisos en Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox y más.

  • Omita los permisos y establezca audiencias permitidas para compartir.

Si una aplicación solicita permiso para compartir en su nombre a través de un servicio social, es posible que tenga la oportunidad de no otorgar ese permiso (verá esto en Facebook cuando vea el botón "Omitir"). Si esa es una opción, ¡úsala! También puede configurar la audiencia para el intercambio permitido; por ejemplo, puede compartirla con todos sus amigos, una audiencia personalizada o solo usted.

  • Trate las solicitudes de permisos de manera diferente según las cuentas.

¿Qué publicas en Instagram? ¿Qué publicas en Twitter? Una solicitud para leer sus publicaciones de Foursquare puede ser mucho menos aterradora que otorgar privilegios de "Redactar y enviar nuevo correo" a su cuenta de Gmail.

solicitud de desenrollar
  • Cambia tus contraseñas regularmente.

Cuando cambie sus contraseñas, se invalidará inmediatamente una cantidad de tokens de OAuth, lo que requerirá que vuelva a iniciar sesión y vuelva a aprobar los tokens. Hasta donde he podido averiguar, Gmail y Facebook invalidan los tokens cuando cambias tu contraseña, pero Twitter y Google+ no lo hacen. Para estos otros servicios, deberá revocar el acceso y luego volver a emitir los permisos.

Conclusión: conveniencia por un precio

Iniciar sesión en sitios y servicios con sus credenciales sociales agrega mucha conveniencia e incluso un poco de seguridad. Pero lata ser arriesgado, tanto desde el punto de vista de la privacidad como, en menor medida, de seguridad. Pero si practica los cinco consejos de seguridad anteriores, solo debe otorgar los permisos que desea.

¿Con qué frecuencia utiliza su información de inicio de sesión social en otro sitio? ¿Te sientes seguro haciéndolo? ¿Lees y vuelves a verificar los permisos de forma regular? ¡Comparte tus pensamientos a continuación!

Créditos de imagen: Marc Falardeau a través de Flickr, Rob Pongsajapan a través de Flickr, Iván Melenchón Serrano vía MorgueFile

Dann es un consultor de estrategia de contenido y marketing que ayuda a las empresas a generar demanda y clientes potenciales. También bloguea sobre estrategia y marketing de contenidos en dannalbright.com.