Parece que cada vez que se registra para un nuevo servicio, puede optar por elegir un nombre de usuario y contraseña, o simplemente iniciar sesión con Facebook o Twitter. Iniciar sesión con su cuenta de Google suele ser una opción también. Es rápido y fácil. Pero, ¿deberías hacerlo?
¿Como funciona?
Al iniciar sesión con su cuenta social, utiliza un protocolo llamado OAuth, que (en pocas palabras) permite que una aplicación o servicio (el solicitante o el servicio al que se está registrando) se conecte con otro (el proveedor del servicio o la red existente). volver a utilizar para registrarse) y actuar en su nombre. Esto se hace mediante la emisión de "tokens" a la aplicación solicitante. Estos tokens funcionan de forma similar a su nombre de usuario y contraseña, ya que dan acceso a la aplicación solicitante a un servicio protegido con contraseña (por ejemplo, Facebook).
Lo importante aquí es que su nombre de usuario y contraseña reales nunca se comunican entre las aplicaciones, y que la aplicación solicitante solo obtiene acceso a una parte limitada de su cuenta protegida por contraseña.
![blurb-request](img/social-media/877/should-you-think-twice-before-logging-using-social-accounts.jpg")
Veamos un ejemplo rápido. Digamos que estás usando Blurb para convertir tus fotos de Facebook en un libro. Tres maneras fáciles de convertir tu Facebook en un libro real. [Sugerencia semanal en Facebook]. Tres maneras fáciles de convertir tu Facebook en un libro real. [Consejo semanal de Facebook]. ¿Alguna vez quisiste? para hacer un libro de tapa dura de las cosas que tienes en Facebook? Tal vez tengas parientes que no están en Facebook, pero me encantaría ver las fotos que has puesto ... Leer más. Vas a Blurb (el solicitante) y le dices que quieres imprimir fotos de Facebook. Blurb lo dirige de regreso a Facebook (el proveedor del servicio), donde ingresa sus credenciales de inicio de sesión (enviadas directamente a Facebook, no a Blurb) y le dice a Facebook que le da permiso a Blurb para acceder a sus fotos. Ahora Blurb puede descargar esas fotos para que puedan imprimirse. Si Blurb intenta acceder a su línea de tiempo, será denegada, porque el token que solo le da acceso a sus fotos y perfil público.
OAuth nunca comparte su nombre de usuario o contraseña con la aplicación solicitante, la idea es que mantener su nombre de usuario y contraseña en secreto los mantiene seguros. Y para evitar que una aplicación o servicio solicitando el acceso a su cuenta, todo lo que tiene que hacer es hacer clic en "revocar el acceso", en lugar de cambiar su contraseña.
¿Es seguro?
De acuerdo, entonces el proceso parece bastante sencillo hasta ahora. Pero, ¿qué tan seguro es? ¿Deberíamos preocuparnos por la seguridad de los sitios de OAuth?
Desde el punto de vista de la seguridad, OAuth se ve bastante bien. El peor de los casos aún no da como resultado la revelación de sus contraseñas sociales. Y la capacidad de revocar instantáneamente el acceso a cualquier aplicación que tenga un token significa que, incluso si un sitio web es pirateado y algunos personajes nefastos tienen en sus manos todos los datos del token, puedes presionar el botón de revocar el acceso y no tendrán acceso a tu sitio social
El hecho de que solo compartas el acceso a un subconjunto específico de los datos en tu sitio social también es muy atractivo: si alguien piratea Snapfish y obtiene acceso a tus fotos de Facebook, no debes preocuparte demasiado (te estás ocupando de las fotos publicas, ¿verdad?).
A pesar del reciente descubrimiento dramatizado de una falla de seguridad en OAuth, el sistema es bastante bueno.
Sin embargo, la seguridad en línea tiene más que solo cifrado y tokens. Una de las mejores maneras de asegurarse de estar seguro en línea es utilizar buenas prácticas de contraseñas. Y OAuth ayuda mucho con eso. ¿Cómo? Al poder iniciar sesión con Twitter o Google, no tiene que crear otra contraseña que deba recordar. Si tiene una contraseña de Facebook muy segura, puede usarla para acceder a varias cosas sin utilizar la misma contraseña exacta para más sitios.
Esta es una clara ventaja de OAuth, y el hecho de que limite el número de sitios web que tienen sus contraseñas es una gran ventaja.
También es importante mencionar que los sitios que acceden a sus perfiles sociales no pueden realizar ninguna acción importante: no pueden eliminar su cuenta, cambiar su contraseña ni realizar ningún otro cambio importante. Lo cual es tranquilizador
¿Qué riesgos estás tomando?
Desafortunadamente, nada es simple cuando se trata de seguridad y protección en línea. Existen algunos riesgos de usar OAuth, principalmente relacionados con la privacidad.
Por ejemplo, ¿con qué frecuencia se toma el tiempo para ver realmente los permisos que otorga cuando usa Facebook Connect? Si bien las aplicaciones solo deben solicitar acceso a la información que necesitan para brindarle un mejor servicio, a menudo solicitan mucho más: su línea de tiempo, la información de sus amigos y la posibilidad de publicar, por ejemplo.
A veces, esto es algo bueno; es posible que desee integrar Twitter en su aplicación de contactos o en un lector de noticias. O tal vez desee publicar los resultados de su entrenamiento de RunKeeper Mantenga un registro de sus objetivos de entrenamiento mientras entrena con RunKeeper [Android] Haga un seguimiento de sus objetivos de entrenamiento mientras entrena con RunKeeper [Android] En MakeUseOf, nos encanta encontrar aplicaciones y otros motivadores en línea para mantenerse en forma y saludable. Después de investigar una y otra vez estas aplicaciones de fitness, RunKeeper siempre demuestra ser uno de los mejores. Es ... Leer más o MapMyFitness. Pero no hay nada en los permisos que impida que la aplicación o el servicio publiquen lo que quieran. No hay opción de "solo resultados posteriores a la encuesta". Solo tienes que confiar en que la aplicación solo publicará las cosas que quieras o se lo dirá, y no anuncios.
Y es posible que esté entregando más información de la que esperaba. A quién le importa si tu tienda favorita ve lo que estás publicando en Facebook, ¿verdad? Bueno, podrían obtener más información de la que imaginabas.
Por ejemplo, en una conferencia de 2012, una empresa de catálogos japoneses habló sobre cómo utilizaba información en el perfil de Facebook de un usuario para inferir cosas "sobre la etapa de vida de un cliente" (ya sea que estén casados o solteros, embarazadas, haciendo dieta, planificando una fiesta)., etc.) "hogar" (si tienen un hijo, un padre que envejece, una mascota, un condominio, etc.) y "personalidad" (son voluntarios, adivinos, comida, viajes, deportes, carreras, etc. ?) "
Un miembro del equipo de marketing declaró que el equipo "puede aprender los antecedentes de la vida de nuestros clientes: su estilo de vida y su psicología". Entonces podemos orientar nuestros catálogos en consecuencia. Y podemos predecir cuándo alguien necesita un producto basado en lo que dice en las redes sociales ".
No creía que estuvieras regalando tanta información, ¿verdad?
Por supuesto, usted tiene el control total sobre lo que está compartiendo con una empresa que usa inicios de sesión sociales y cuánto pueden publicar para usted, pero solo si se toma el tiempo de leer los permisos que están solicitando. Y no le da acceso a las cosas que prefiere mantener en privado. Pero eso no siempre es fácil, porque algunas aplicaciones y servicios ahora emplean el inicio de sesión único de Facebook o Twitter, lo que significa que si no acepta sus permisos, no podrá usar el servicio.
Lecciones para llevar: ¿Qué deberías hacer?
Como con la mayoría de las cosas, la historia de iniciar sesión con cuentas sociales tiene dos caras. Por lo general, es bastante seguro, y en realidad tiene bastante control sobre la cantidad de información que comparte.
Por otro lado, podrías estar perdiendo mucho control si no tienes cuidado. Entonces, ¿qué deberías hacer al respecto?
- Lea las solicitudes de permiso antes de otorgarlas.
Esto es importante, y solo se volverá más importante a medida que los servicios web se vuelvan más integrados. Si no desea que una aplicación recopile datos sobre sus amigos de Facebook, no permita que acceda a Facebook.
- Revisa los permisos de tu aplicación con frecuencia.
En Facebook, vaya a la pestaña Aplicaciones en la pantalla Configuración. En Twitter, vaya a la pestaña Aplicaciones en Configuración, también. Google es un poco más complicado: vaya a accounts.google.com, luego haga clic en Seguridad y luego en Ver todo en Permisos de cuenta. Observe qué aplicaciones tienen acceso a sus datos y revoque el acceso a cualquiera que ya no use. Y si ve una aplicación que tiene más permisos de los que debería, considere revocar el acceso y ver si puede iniciar sesión en ese servicio con un nombre de usuario y contraseña tradicionales.
Para acelerar el proceso, ¿puedes usar MyPermissions Too Many Apps? Cómo revocar permisos de aplicaciones de múltiples sitios web en 2 minutos Demasiadas aplicaciones? Cómo revocar permisos de la aplicación de varios sitios web en 2 minutos El mundo en línea ofrece muchas preocupaciones de privacidad. Todos sabemos que no deberíamos publicar cosas privadas en Facebook, no debemos escribir nuestra dirección de correo electrónico en lugares llamativos, y realmente debemos prestar atención, como ... Leer más, que lo ayuda a administrar sus permisos en Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox y más.
- Omitir permisos y establecer públicos permitidos para compartir.
Si una aplicación solicita permiso para compartir en su nombre a través de un servicio social, es posible que tenga la oportunidad de no dar ese permiso (lo verá en Facebook cuando vea el botón "Omitir"). Si esa es una opción, ¡úsalo! También puede configurar el público para el uso compartido permitido; por ejemplo, puede compartirlo con todos sus amigos, un público personalizado o solo usted mismo.
- Trate las solicitudes de permisos de forma diferente en función de las cuentas.
¿Qué publicas en Instagram? ¿Qué publicas en Twitter? Una solicitud para leer sus publicaciones de Cuadrangular puede ser mucho menos aterradora que otorgar privilegios de "Redactar y enviar correo nuevo" a su cuenta de Gmail.
- Cambia tus contraseñas regularmente.
Cuando cambie sus contraseñas, se invalidarán de inmediato una cantidad de tokens de OAuth, lo que requerirá que vuelva a iniciar sesión y que vuelva a aprobar los tokens. Por lo que he podido descifrar, Gmail y Facebook invalidan los tokens cuando cambias tu contraseña, pero Twitter y Google+ no lo hacen. Para estos otros servicios, deberá revocar el acceso y luego volver a emitir los permisos.
Conclusión: conveniencia para un precio
Iniciar sesión en sitios y servicios con sus credenciales sociales agrega mucha comodidad e incluso un poco de seguridad. Pero puede ser arriesgado, tanto desde el punto de vista de la privacidad como, en menor medida, de la seguridad. Pero si practica los cinco consejos de seguridad anteriores, solo debe dar los permisos que tiene la intención.
¿Con qué frecuencia usa su información de inicio de sesión social en otro sitio? ¿Te sientes seguro haciéndolo? ¿Lee y vuelve a verificar los permisos de forma regular? Comparte tus pensamientos a continuación!
Créditos de la imagen: Marc Falardeau a través de Flickr, Rob Pongsajapan a través de Flickr, Iván Melenchón Serrano a través de MorgueFile