Video: App e siti di terze parti con accesso al tuo account Google (Novembre 2024)
Essere sicuri non è una cosa a volte, ma un processo in corso. Non sei sicuro perché usi uno strumento particolare, sei sicuro perché applichi una mentalità di sicurezza ogni giorno.
Prendi le password. Ascolti sempre i promemoria, non riutilizzare le password tra siti, applicazioni e servizi. Non scegliere password deboli. Usa un gestore di password per scegliere password super complicate e non devi preoccuparti di provare a ricordarle. Attiva l'autenticazione a due fattori ove possibile. Questi sono tutti buoni consigli da ricordare e seguire. All'inizio di questa settimana, il mio collega Neil Rubenking ha fatto un ulteriore passo avanti la raccomandazione del gestore password e ha affermato che l'accesso a siti Web di terzi con le credenziali di Google, Facebook, Twitter o altri social media è un rischio per la sicurezza. Non compro quell'argomento.
Hai visto di cosa sto parlando. Sebbene la maggior parte dei servizi richieda la creazione di un account da zero, esistono siti in cui è possibile accedere con le credenziali dei social media. Expedia, ad esempio, ti consente di accedere con Facebook. Oppure Inoreader (il mio lettore RSS preferito), che ti consente di accedere con Google. Ciò ti consente di saltare il processo di creazione dell'account e di accedere con un account che hai già. Conveniente, vero? Molto. È un problema di sicurezza come ha detto Neil nel suo pezzo? No.
Ogni volta che vedo un sito che mi consente di accedere con un altro account, scelgo quell'opzione. Non utilizzo il mio account Facebook per accedere (scusate, Expedia), ma se esiste un'opzione per utilizzare il mio account Google, lo faccio. Ho una password complessa e forte e ho anche abilitato l'autenticazione a due fattori. Quindi il mio account Google è il più sicuro possibile, e mi fido che Google adotti le misure necessarie per proteggere le mie informazioni. Niente contro Facebook, ma penso di aver preso misure migliori per proteggere il mio account Google di Facebook.
Mi fido di te? No
Quando vengo su un sito e devo creare un account, il mio primo pensiero è "Mi fido di te?" Mi fido del sito per proteggere i miei dati? E non intendo solo password e numeri di carta di credito. Mi fido che il sito abbia preso le misure necessarie per proteggere il mio numero di telefono, indirizzo postale e la mia data di nascita nel suo database? Onestamente? Per la maggior parte delle aziende no. La sicurezza delle applicazioni è difficile - la maggior parte degli sviluppatori sta ancora imparando pratiche di codifica sicure - così come proteggere efficacemente il database. Questo è un lavoro in corso e molte aziende non sono ancora presenti in termini di sicurezza. Dal momento che non posso andare in giro a chiedere alle aziende: "Mi fido di te per proteggere la mia password e non farla rubare dagli hacker?" Prendo la strada facile e presumo che non ci riesca.
Ricordi la violazione di Gawker qualche anno fa? Tutti quegli indirizzi e-mail e password esposti perché gli sviluppatori di Gawker non hanno preso provvedimenti per proteggerli adeguatamente. Non sto dicendo che Gawker si sbagliasse: è una società di media e nessuno immaginava che qualcuno avrebbe inseguito il sistema di commenti del sito. Ma è successo Come consumatore, non proverò a controllare quali aziende sono abbastanza attente alla sicurezza da fidarsi della loro applicazione e quali no. Mi concentrerò su chi sta facendo bene il lavoro.
La cosa importante dell'accesso con le mie credenziali di Google: il sito non conserva la mia password o altre informazioni. Quando faccio clic sul pulsante Google+, vengo reindirizzato a una pagina di Google e eseguo l'autenticazione con i server di Google. Google quindi dice al sito che sì, sono quello che dico di essere e mi rimanda al sito. Il che significa che le mie informazioni rimangono su Google e il sito riceve solo un token che dice "ha effettuato l'accesso correttamente, lasciarla passare".
Considera tutte le violazioni del sito che abbiamo visto negli ultimi due anni. Ci sono siti a cui mi iscrivo solo per vedere com'è e poi dopo alcuni giorni li abbandono perché non è quello di cui avevo bisogno. Se ho creato un account sul sito, le mie informazioni sono nel database di quel sito. Anche dopo aver abbandonato quel sito, il mio account rimane attivo. (Questo è il motivo per cui non mi piacciono i siti che non ti consentono di eliminare account, ma questa è una storia diversa per un altro giorno.) Sono molti i luoghi potenziali in cui i miei dati possono essere rubati. Se utilizzo il mio account Google per accedere, il sito non ha alcuna informazione su di me per essere rubato. È rassicurante. Se abbandono quel sito, Google mi consente di revocare le autorizzazioni dell'account in modo che nessun altro possa accedere come me.
Parliamo di revoca. L'intero punto di consentire a Google, Facebook e Twitter di gestire l'accesso significa che puoi anche usarli per bloccare l'accesso. Ad esempio, utilizzo Google per accedere a Inoreader. Di 'che non voglio più usare Inoreader. Vado semplicemente nelle impostazioni del mio account Google e faccio clic su "revoca l'accesso". E questo è tutto. Questo è anche il motivo per cui utilizzo Twitter per accedere ad alcuni siti. Twitter rende estremamente semplice la disconnessione delle applicazioni una volta terminato.
Il mio obiettivo è di avere il minor numero possibile di database nel mondo che contenga un record con le mie informazioni personali.
Un'altra cosa che mi piace dell'accesso con Google: password specifiche dell'account. Genero una password casuale, che Google ora sa che è la password per quel sito. Quella password funziona solo per quel sito e non dà accesso a nient'altro. Invece di generare password tramite un gestore di password e creare un nuovo account, continuo il processo con Google. Uso una password diversa dalla mia password e-mail e sto saltando l'intero processo di creazione dell'account rispettando i meccanismi di Google. Questo è molto utile se, ad esempio, accedo a un'app mobile. Google ora sa come verificare la mia identità e, come il normale accesso, ho appena revocato la password e quell'app non può più accedere.
Resta con chi ti fidi
Neil ha fatto un'ottima domanda: chiediti se quel sito ha bisogno di sapere qualcosa su di te. Il sito su di te deve conoscere il tuo nome, indirizzo e-mail, indirizzo fisico e numero di telefono o qualsiasi altra informazione del profilo? In caso contrario, non consegnarlo. Conservalo con chi ti fidi.
Se la tua password di Facebook è "Password1" e qualcuno con intenti malvagi lo capisce, allora sì, quella persona può andare avanti e può accedere a qualsiasi altro sito collegato al tuo account. Ma come è diverso da te aver selezionato "Password1" per quel sito per cominciare? Se stai usando una password facile da ricordare per la tua e-mail o il tuo sito di social media, allora probabilmente non stai usando una serie di caratteri difficili da ricordare per il tuo account miglia frequent flyer, giusto? Quindi è quella password debole che sta gridando "Hack me!" non il fatto che tu abbia effettuato l'accesso con un altro account. E se qualcuno ha capito la tua password di Google, non credo che la tua più grande preoccupazione sia se quella persona ora può accedere ai tuoi account collegati. Non quando è così semplice chiedere e-mail di reimpostazione della password.
La sicurezza non ha un proiettile magico. Un determinato strumento può essere usato sia nel bene che nel male. È tutto nel modo in cui ti avvicini. La mia preferenza è quella di rimanere fuori dai database. Qual è il tuo?