Parece que toda vez que você se inscrever para um novo serviço, você pode optar por escolher um nome de usuário e senha ou apenas fazer login com o Facebook ou Twitter. Fazer login com sua conta do Google também é uma opção. É rápido e é fácil. Mas você deveria fazer isso?
Como funciona?
O login usando sua conta social usa um protocolo chamado OAuth, que (em poucas palavras) permite que um aplicativo ou serviço (o solicitante ou serviço para o qual você está se inscrevendo) se conecte a outro (o provedor de serviços ou a rede existente) re usando para se inscrever) e agir em seu nome. Isso é feito emitindo "tokens" para o aplicativo solicitante. Esses tokens funcionam um pouco como seu nome de usuário e senha, pois dão acesso ao aplicativo solicitante a um serviço protegido por senha (por exemplo, Facebook).
O importante aqui é que seu nome de usuário e senha reais nunca são comunicados entre os aplicativos e que o aplicativo solicitante só obtém acesso a uma parte limitada de sua conta protegida por senha.
![blurb-request](img/social-media/877/should-you-think-twice-before-logging-using-social-accounts.jpg")
Vamos ver um exemplo rápido. Digamos que você esteja usando o Blurb para transformar suas fotos do Facebook em um livro Três maneiras fáceis de transformar seu Facebook em um livro real [Dica semanal no Facebook] Três maneiras fáceis de transformar seu Facebook em um livro real [Dica semanal no Facebook] Você já quis fazer um livro real em papel das coisas que você tem no Facebook? Talvez você tenha parentes que não estão no Facebook, mas adoraria ver as fotos que você colocou ... Leia Mais. Você vai ao Blurb (o solicitante) e diz que quer imprimir fotos do Facebook. O Blurb o direciona de volta para o Facebook (o provedor de serviços), onde você insere suas credenciais de login (enviadas diretamente para o Facebook, não para o Blurb) e informa ao Facebook que você concede permissão ao Blurb para acessar suas fotos. Agora o Blurb pode fazer o download dessas fotos para que elas possam ser impressas. Se o Blurb tentar acessar sua linha do tempo, ela será negada, porque o token só dá acesso às suas fotos e ao seu perfil público.
O OAuth nunca compartilha seu nome de usuário ou senha com o aplicativo solicitante, a idéia é que manter um nome de usuário e senha em segredo os mantém seguros. E para impedir que um aplicativo ou serviço solicitante acesse sua conta, tudo o que você precisa fazer é clicar em "revogar acesso", em vez de alterar sua senha.
É seguro?
Ok, então o processo parece bastante simples até agora. Mas quão seguro é isso? Devemos nos preocupar com a segurança dos sites OAuth?
Do ponto de vista de segurança, o OAuth parece muito bom. O pior cenário ainda não resulta na revelação de suas senhas sociais. E a capacidade de revogar instantaneamente o acesso a qualquer aplicativo que tenha um token significa que, mesmo que um site seja invadido e alguns personagens nefastos tenham acesso a todos os dados do token, basta clicar no botão Revogar acesso e eles não terão acesso ao seu site social.
O fato de você compartilhar apenas o acesso a um subconjunto específico dos dados em seu site social também é bastante atraente - se alguém hackeia o Snapfish e obtém acesso às suas fotos do Facebook, você não deve ficar muito preocupado (você está cuidando das fotos você postar, certo?).
Apesar da recente descoberta dramatizada de uma falha de segurança no OAuth, o sistema é muito bom.
No entanto, há mais segurança on-line do que apenas criptografia e tokens. Uma das melhores maneiras de se certificar de que você está seguro on-line é usar boas práticas de senha. E o OAuth ajuda muito com isso. Como? Ao poder entrar usando o Twitter ou o Google, você não precisa criar outra senha que precisa ser lembrada. Se você tiver uma senha do Facebook muito segura, poderá usá-la para acessar várias coisas sem usar a mesma senha exata para mais sites.
Essa é uma vantagem distinta do OAuth - e o fato de você limitar o número de sites que têm suas senhas é uma grande vantagem.
Também é importante mencionar que os sites que acessam seus perfis sociais não podem realizar ações importantes. Eles não podem excluir sua conta, alterar sua senha ou fazer outras grandes alterações. O que é reconfortante.
Quais riscos você está tomando?
Infelizmente, nada é simples quando se trata de segurança e segurança online. Existem alguns riscos de usar o OAuth, principalmente relacionados à privacidade.
Por exemplo, com que frequência você toma tempo para realmente observar as permissões que está dando quando usa o Facebook Connect? Embora os aplicativos só devam solicitar acesso às informações de que precisam para atendê-lo melhor, eles geralmente pedem muito mais: sua linha do tempo, as informações de seus amigos e a capacidade de postar, por exemplo.
Às vezes isso é uma coisa boa - você pode querer integrar o Twitter ao seu aplicativo de contatos ou a um leitor de notícias. Ou talvez você queira postar seus resultados de treino no RunKeeper Mantenha o controle de suas metas de treinamento enquanto treina com o RunKeeper [Android] Acompanhe seus objetivos de treinamento enquanto treina com o RunKeeper [Android] Em torno do MakeUseOf, adoramos encontrar aplicativos e outros motivadores on-line para ficar em forma e saudável. Depois de investigar esses aplicativos de fitness vez após vez, o RunKeeper sempre se mostra um dos melhores. É ... Leia mais ou MapMyFitness. Mas não há nada nas permissões que impedirá que o aplicativo ou serviço publique o que quiserem. Não há opção "somente resultados de pesquisa". Você só precisa confiar que o aplicativo só vai postar as coisas que você quer ou dizer, e não anúncios.
E você pode estar dando mais informações do que você esperava. Quem se importa se sua loja favorita vê o que você está postando no Facebook, certo? Bem, eles podem estar recebendo mais informações do que você imaginou.
Por exemplo, em uma conferência de 2012, uma empresa japonesa de catálogos falou sobre como usou informações no perfil de um usuário no Facebook para inferir coisas “sobre o estágio de vida de um cliente” (seja casada ou solteira, grávida, fazendo dieta, planejando uma festa, etc.) “casa” (se eles têm um filho, um pai idoso, um animal de estimação, um condomínio, etc.) e “personalidade” (eles são voluntários, adivinhação, comida, viagens, esportes, corrida, etc. ?).
Um membro da equipe de marketing afirmou que a equipe “pode aprender o histórico de vida de nossos clientes - seu estilo de vida e psicologia. Podemos, então, direcionar nossos catálogos de acordo. E podemos prever quando alguém precisa de um produto com base no que eles dizem nas mídias sociais. ”
Não achava que você estava dando muita informação, sabia?
É claro que você tem controle total sobre o que está compartilhando com uma empresa usando logins sociais e quanto eles podem postar para você, mas somente se você dedicar um tempo para ler as permissões que eles estão pedindo. E não dê acesso a coisas que você prefere manter em sigilo. Mas isso nem sempre é fácil, porque alguns aplicativos e serviços estão agora usando o login do Facebook ou Twitter, o que significa que, se você não concordar com as permissões, não conseguirá usar o serviço.
Aulas: O que você deve fazer?
Como na maioria das coisas, há dois lados na história do login usando contas sociais. Geralmente é bastante seguro, e você realmente tem um pouco de controle sobre quanta informação você compartilha.
Por outro lado, você pode estar dando muito controle se não for cuidadoso. Então, o que você deve fazer sobre isso?
- Leia as solicitações de permissão antes de concedê-las.
Este é um passo importante, e só vai ficar mais importante à medida que os serviços da Web se tornarem mais integrados. Se você não quiser que um aplicativo colete dados sobre seus amigos do Facebook, não permita o acesso ao Facebook.
- Revise suas permissões de aplicativos com frequência.
No Facebook, vá para a guia Aplicativos na tela Configurações. No Twitter, vá para a guia Aplicativos em Configurações também. O Google é um pouco mais complicado: acesse accounts.google.com, clique em Segurança e, em seguida, clique em Exibir tudo em Permissões da conta. Veja quais aplicativos têm acesso aos seus dados e revogue o acesso para os que você não usa mais. E se você vir um aplicativo com mais permissões do que deveria, considere a possibilidade de revogar o acesso e veja se pode fazer login nesse serviço com um nome de usuário e senha tradicionais.
Para acelerar o processo, você pode usar o MyPermissions Too Many Apps? Como revogar as permissões de aplicativos de vários sites em 2 minutos, muitos aplicativos? Como revogar as permissões de aplicativos de vários sites em 2 minutos O mundo on-line oferece muitas preocupações com a privacidade. Nós todos sabemos que não devemos postar coisas privadas no Facebook, não devemos anotar nosso endereço de e-mail em lugares visíveis, e realmente devemos prestar atenção, como ... Read More, que ajuda você a gerenciar suas permissões através do Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox e muito mais.
- Ignorar permissões e definir públicos-alvo permitidos para compartilhamento.
Se um aplicativo solicitar permissão para compartilhar em seu nome por meio de um serviço social, você poderá ter a oportunidade de não conceder essa permissão (você verá isso no Facebook quando vir um botão "Ignorar"). Se for uma opção, use-a! Você também pode definir o público-alvo do compartilhamento permitido. Por exemplo, você pode compartilhar com todos os seus amigos, um público-alvo personalizado ou apenas com você mesmo.
- Tratar solicitações de permissões de maneira diferente com base nas contas.
O que você postar no Instagram? O que você postar no Twitter? Uma solicitação para ler suas postagens no Foursquare pode ser muito menos assustadora do que conceder privilégios de "Redigir e enviar novos e-mails" à sua conta do Gmail.
- Altere suas senhas regularmente.
Quando você altera suas senhas, vários tokens OAuth são invalidados imediatamente, exigindo que você faça um novo login e aprova novamente os tokens. Até onde consegui descobrir, o Gmail e o Facebook invalidam tokens quando você altera sua senha, mas o Twitter e o Google+ não. Para esses outros serviços, você precisará revogar o acesso e, em seguida, emitir novamente as permissões.
Conclusão: conveniência por um preço
Fazer login em sites e serviços com suas credenciais sociais acrescenta muita conveniência e até um pouco de segurança. Mas pode ser arriscado, tanto do ponto de vista da privacidade quanto, em menor grau, da segurança. Mas se você praticar as cinco dicas de segurança acima, você só deve dar as permissões que pretende.
Com que frequência você usa suas informações de login social em outro site? Você se sente seguro fazendo isso? Você lê e verifica novamente as permissões regularmente? Compartilhe seus pensamentos abaixo!
Créditos da imagem: Marc Falardeau via Flickr, Rob Pongsajapan via Flickr, Iván Melenchón Serrano via MorgueFile