Advertentie

Het voelt alsof elke keer dat u zich aanmeldt voor een nieuwe service, u kunt kiezen om een ​​gebruikersnaam en wachtwoord te kiezen of gewoon in te loggen met Facebook of Twitter. Inloggen met uw Google-account is vaak ook een optie. Het is snel en gemakkelijk. Maar moet je het doen?

Hoe werkt het?

Inloggen met uw sociale account maakt gebruik van een protocol genaamd OAuth, waarmee (in een notendop) één app of service (de aanvrager of service waarvoor u zich aanmeldt) om verbinding te maken met een andere (de serviceprovider of het bestaande netwerk dat u gebruikt om u aan te melden) en te handelen naar uw namens. Dit wordt gedaan door "tokens" uit te geven aan de aanvragende app. Deze tokens werken een beetje zoals uw gebruikersnaam en wachtwoord, omdat ze de verzoekende app toegang geven tot een met een wachtwoord beveiligde service (bijvoorbeeld Facebook).

Het belangrijkste hier is dat je actueel gebruikersnaam en wachtwoord worden nooit gecommuniceerd tussen de apps en dat de aanvragende app alleen toegang krijgt tot een beperkt deel van uw wachtwoordbeveiligde account.

instagram viewer

blurb-verzoek

Laten we een snel voorbeeld bekijken. Stel dat je gebruikt Blurb om uw Facebook-foto's in een boek te veranderen Drie eenvoudige manieren om van uw Facebook een echt boek te maken [Wekelijkse Facebook-tip]Heb je ooit een echt gedrukt boek willen maken van de dingen die je op Facebook hebt? Misschien heb je familieleden die niet op Facebook zitten maar graag de foto's willen zien die je erin hebt gestopt ... Lees verder . Je gaat naar Blurb (de aanvrager) en vertelt dat je foto's van Facebook wilt afdrukken. Blurb leidt u terug naar Facebook (de serviceprovider), waar u uw inloggegevens invoert (rechtstreeks naar Facebook gestuurd, niet naar Blurb) en vertel Facebook dat je Blurb toestemming geeft om toegang te krijgen tot je foto's. Blurb kan die foto's nu downloaden zodat ze kunnen worden afgedrukt. Als Blurb probeert toegang te krijgen tot uw tijdlijn, wordt dit geweigerd, omdat het token dat het heeft alleen toegang geeft tot uw foto's en openbare profiel.

OAuth deelt uw gebruikersnaam of wachtwoord nooit met de verzoekende app, het idee is dat het veilig houden van uw gebruikersnaam en wachtwoord geheim blijft. En om te voorkomen dat een verzoekende app of service toegang krijgt tot uw account, hoeft u alleen maar op 'toegang intrekken' te klikken in plaats van uw wachtwoord te wijzigen.

Is het veilig?

Oké, dus het proces lijkt tot nu toe vrij eenvoudig. Maar hoe veilig is het? Moeten we ons zorgen maken over de beveiliging van OAuth-sites?

Vanuit veiligheidsoogpunt ziet OAuth er redelijk goed uit. Een worstcasescenario leidt nog steeds niet tot de onthulling van uw sociale wachtwoorden. En de mogelijkheid om de toegang tot elke app met een token onmiddellijk in te trekken, betekent dat zelfs als een website wordt gehackt en een of andere snode personages krijgen alle tokengegevens in handen, je hoeft alleen maar op de knop voor intrekken te drukken en ze hebben geen toegang tot je sociale gegevens site.

Het feit dat u alleen toegang deelt tot een specifieke subset van de gegevens op uw sociale site, is ook behoorlijk aantrekkelijk: als iemand Snapfish hackt en toegang krijgt tot uw Facebook-foto's, hoeft u zich geen zorgen te maken (u zijn voorzichtig zijn met de foto's die je plaatst, toch?).

yale-veilig

Ondanks de recente gedramatiseerde ontdekking van een beveiligingsfout in OAuth, het systeem is redelijk goed.

Maar online veiligheid is meer dan alleen encryptie en tokens. Een van de beste manieren om ervoor te zorgen dat u online veilig bent, is door te gebruiken goede wachtwoordpraktijken Gids voor wachtwoordbeheerVoel je niet overweldigd door wachtwoorden, of gebruik gewoon dezelfde op elke site zodat je ze onthoudt: ontwerp je eigen wachtwoordbeheerstrategie. Lees verder . En OAuth helpt daar veel mee. Hoe? Door in te kunnen loggen via Twitter of Google, hoef je nog niet te creëren een andere wachtwoord dat u moet onthouden. Als je een heel veilig Facebook-wachtwoord hebt, kun je dat gebruiken om toegang te krijgen tot een aantal dingen zonder exact hetzelfde wachtwoord te gebruiken voor meer sites.

Dit is een duidelijk voordeel van OAuth - en het feit dat u het aantal websites met uw wachtwoorden beperkt, is een groot pluspunt.

Het is ook belangrijk om te vermelden dat sites die toegang hebben tot uw sociale profielen geen grote acties kunnen ondernemen: ze kunnen uw account niet verwijderen, uw wachtwoord niet wijzigen of andere grote wijzigingen aanbrengen. Dat is geruststellend.

Welke risico's neemt u?

Helaas is niets eenvoudig als het gaat om online beveiliging en veiligheid. Er zijn enkele risico's bij het gebruik van OAuth, meestal gerelateerd aan privacy.

Hoe vaak neem je bijvoorbeeld de tijd om echt te kijken naar de toestemmingen die je geeft wanneer je Facebook Connect gebruikt? Hoewel apps alleen toegang moeten vragen tot de informatie die ze nodig hebben om u beter van dienst te kunnen zijn, zijn ze dat wel vraag vaak om veel meer: ​​uw tijdlijn, de informatie van uw vrienden en de mogelijkheid om te posten voor voorbeeld.

Soms is dit een goede zaak - misschien wil je Twitter integreren in je contacten-app of een nieuwslezer. Of misschien wilt u uw trainingsresultaten publiceren RunKeeper Houd uw trainingsdoelen bij terwijl u traint met RunKeeper [Android]Rond MakeUseOf vinden we het geweldig om apps en andere online motivators te vinden om fit en gezond te blijven. Na keer op keer deze fitness-apps te hebben onderzocht, bewijst RunKeeper altijd dat hij een van de allerbeste is. Haar... Lees verder of MapMyFitness. Maar er staat niets in de rechten dat de app of service ervan weerhoudt om te posten wat ze maar willen. Er is geen optie 'alleen enquêteresultaten'. Je moet er gewoon op vertrouwen dat de app alleen dingen plaatst die je wilt of waar hij het over vertelt, en geen advertenties.

digitale sleutel

En misschien geef je meer informatie weg dan je had verwacht. Wat maakt het uit of je favoriete winkel ziet wat je op Facebook plaatst, toch? Nou, ze krijgen misschien meer informatie dan u zich had voorgesteld.

Bijvoorbeeld tijdens een conferentie in 2012, een Japans catalogusbedrijf besprak hoe het informatie gebruikte op het Facebook-profiel van een gebruiker om dingen af ​​te leiden "over de" levensfase "van een klant (of ze nu getrouwd of ongehuwd zijn, zwanger zijn, een dieet volgen, een feestje plannen, enz.) "Huishouden" (als ze een kind hebben, een ouder wordende ouder, een huisdier, een appartement, enz.) En "persoonlijkheid" (zijn ze vrijwilligerswerk, waarzeggerij, eten, reizen, sport, hardlopen, enz.). "

Een lid van het marketingteam verklaarde dat het team 'de levensachtergrond van onze klanten kan leren - hun levensstijl en psychologie. Vervolgens kunnen we onze catalogi daarop afstemmen. En we kunnen voorspellen wanneer iemand een product nodig heeft op basis van wat ze zeggen op sociale media. ”

Je dacht toch niet dat je zoveel informatie weggaf?

Je hebt natuurlijk volledige controle over wat je deelt met een bedrijf met behulp van social logins en hoe veel dat ze voor u kunnen posten, maar alleen als u de tijd neemt om de rechten te lezen die ze vragen voor. En geef geen toegang tot dingen die u liever privé houdt. Maar dat is niet altijd gemakkelijk, omdat sommige apps en services nu alleen via Facebook of Twitter inloggen, wat betekent dat als u niet akkoord gaat met hun toestemming, u de service niet mag gebruiken.

Afhaallessen: wat moet je doen?

Zoals met de meeste dingen, heeft het verhaal van inloggen met sociale accounts twee kanten. Het is over het algemeen vrij veilig en je hebt eigenlijk nogal wat controle over hoeveel informatie je deelt.

controle sleutel

Aan de andere kant geef je misschien veel controle weg als je niet oppast. Dus wat moet je eraan doen?

  • Lees toestemmingsverzoeken voordat u ze verleent.

Dit is een belangrijke en het wordt alleen maar belangrijker naarmate webservices meer geïntegreerd worden. Als je niet wilt dat een app gegevens verzamelt over je Facebook-vrienden, geef hem dan geen toegang tot Facebook.

  • Controleer regelmatig uw app-machtigingen.

Ga op Facebook naar de Tabblad Apps op het scherm Instellingen. Ga op Twitter naar de Tabblad Apps in Instellingenook. Google is een beetje lastiger: ga naar accounts.google.comen klik vervolgens op Beveiliging en vervolgens Bekijk alles onder Accountmachtigingen. Bekijk welke apps toegang hebben tot uw gegevens en trek de toegang in voor apps die u niet meer gebruikt. En als u een app ziet die meer rechten heeft dan zou moeten, overweeg dan om de toegang in te trekken en kijk of u zich bij die service kunt aanmelden met een traditionele gebruikersnaam en wachtwoord.

Om het proces te versnellen, kan dat gebruik MyPermissions Te veel apps? Hoe u app-machtigingen van meerdere websites in 2 minuten intrektDe online wereld biedt veel privacykwesties. We weten allemaal dat we geen privé-dingen op Facebook mogen plaatsen, we moeten ons e-mailadres niet op opvallende plaatsen opschrijven, en we moeten echt opletten, want ... Lees verder , waarmee u uw rechten op Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox en meer kunt beheren.

  • Sla machtigingen over en stel toegestane doelgroepen in voor delen.

Als een app toestemming vraagt ​​om namens jou te delen via een sociale dienst, heb je mogelijk de mogelijkheid om die toestemming niet te geven (je ziet dit op Facebook wanneer je een knop 'Overslaan' ziet). Als dat een optie is, gebruik het dan! U kunt ook het publiek instellen voor het toegestane delen - u kunt bijvoorbeeld delen met al uw vrienden, een aangepast publiek of alleen uzelf.

  • Behandel toestemmingsverzoeken anders op basis van accounts.

Wat post je op Instagram? Wat post je op Twitter? Een verzoek om je Foursquare-berichten te lezen is misschien een stuk minder eng dan het toekennen van de rechten 'Opstellen en nieuwe e-mail verzenden' aan je Gmail-account.

unrollme-request
  • Wijzig uw wachtwoorden regelmatig.

Wanneer u uw wachtwoorden wijzigt, worden een aantal OAuth-tokens onmiddellijk ongeldig gemaakt, waardoor u zich opnieuw moet aanmelden en de tokens opnieuw moet goedkeuren. Voor zover ik heb kunnen achterhalen, maken Gmail en Facebook tokens ongeldig wanneer je je wachtwoord wijzigt, maar Twitter en Google+ niet. Voor deze andere services moet u de toegang intrekken en de rechten opnieuw verlenen.

Conclusie: gemak voor een prijs

Aanmelden bij sites en services met uw sociale gegevens voegt veel gemak en zelfs een beetje beveiliging toe. Maar het kan riskant zijn, zowel vanuit het oogpunt van privacy als - in mindere mate - veiligheid. Maar als u de vijf veiligheidstips hierboven oefent, mag u alleen de toestemmingen geven die u van plan bent.

Hoe vaak gebruikt u uw sociale inloggegevens op een andere site? Voel je je veilig om het te doen? Leest u en controleert u de rechten regelmatig opnieuw? Deel uw mening hieronder!

Afbeeldingscredits: Marc Falardeau via Flickr, Rob Pongsajapan via Flickr, Iván Melenchón Serrano via MorgueFile

Dann is een contentstrategie- en marketingconsultant die bedrijven helpt bij het genereren van vraag en leads. Hij blogt ook over strategie en contentmarketing op dannalbright.com.