Việc tạo tài khoản theo cách thủ công là một điều khó khăn:chúng tôi chỉ muốn truy cập các dịch vụ của ứng dụng chứ không phải dành năm phút để thiết lập email, mật khẩu và thông tin cơ bản. Đó là lý do tại sao nút “Đăng nhập bằng Facebook” và “Đăng nhập bằng Google” trở nên rất phổ biến trên Internet.
Người dùng yêu thích kỹ thuật đăng nhập liên kết này vì nó giúp tạo tài khoản dễ dàng hơn nhiều và các trang web / ứng dụng thích nó vì chúng có thể giúp nhiều người dùng đăng ký tài khoản hơn. Vì bạn có thể tạo tài khoản bằng Google, Facebook, Twitter, Microsoft, LinkedIn, Github, WeChat, VKontakte, Weibo, v.v., rất có thể bạn đã sử dụng một trong những dịch vụ này, nhưng cũng có lúc tự hỏi liệu đó có phải là ý kiến hay không. Bạn có quyền thắc mắc:vâng, điều đó thật tiện lợi, nhưng có những đánh đổi khi nói đến bảo mật và về cơ bản nó là con đường một chiều về quyền riêng tư.
Đăng nhập mạng xã hội hoạt động như thế nào?
Không phải mọi hệ thống đều hoạt động giống nhau, nhưng quy trình cơ bản là khá phổ biến. Hầu hết các dịch vụ đăng nhập của bên thứ ba sử dụng một số kết hợp của giao thức OpenID và OAuth. OpenID giải quyết việc cấp phép người dùng (đăng nhập vào Facebook xác nhận danh tính của bạn với trang web bạn đang cố gắng sử dụng), trong khi OAuth quản lý cách các trang web khác có thể truy cập dữ liệu của bạn (tên, tuổi, sở thích, bạn bè, v.v.).
Có ba người chơi chính tham gia vào quá trình đăng nhập xã hội:
- Người dùng (chính là bạn!) yêu cầu quyền truy cập vào một ứng dụng hoặc trang web
- Ứng dụng hoặc trang web mà người dùng muốn truy cập
- Người ủy quyền xác nhận danh tính của bạn và kiểm soát quyền truy cập vào dữ liệu của bạn (Facebook, Google, v.v.)
Một đăng nhập xã hội điển hình xảy ra như thế này:
- Người dùng nhấn vào nút “Đăng nhập bằng ____”.
- Ứng dụng mở một liên kết yêu cầu Người dùng đăng nhập vào trang web của Người ủy quyền. Liên kết chứa thông tin cho Người ủy quyền biết trang web nào đang đưa ra yêu cầu.
- Người dùng nhập tên người dùng và mật khẩu của họ vào trang web của Người cấp quyền, nghĩa là Ứng dụng không bao giờ nhìn thấy thông tin của bạn.
- Người cấp quyền tạo mã sử dụng một lần và gửi mã đó đến Ứng dụng.
- Sau đó, Ứng dụng sẽ gửi mã này đến Người ủy quyền kèm theo yêu cầu truy cập vào API của Người ủy quyền.
- Người cấp quyền xác thực mã và cấp cho Ứng dụng một mã thông báo (thường có giới hạn thời gian) cho phép Ứng dụng yêu cầu Người ủy quyền cung cấp một số thông tin người dùng nhất định.
Security Pro:đăng nhập mạng xã hội có thể an toàn hơn đăng nhập mật khẩu email
Thông tin đăng nhập trên mạng xã hội cũng an toàn như các công ty đang quản lý chúng, vì họ là một trong những công ty công nghệ lớn nhất trên thế giới, xếp chúng vào danh mục “khá tốt”. Bạn không thấy Facebook và Google bị tấn công trái và phải, chủ yếu là vì họ quan tâm rất nhiều về an ninh mạng của họ và đầu tư vào đó nhiều hơn so với chuỗi bán lẻ trung bình của bạn.
Nếu bạn sử dụng thông tin đăng nhập được liên kết, trang web bạn đang tạo tài khoản không bao giờ thực sự có quyền truy cập vào tên người dùng và mật khẩu của bạn, nghĩa là không ai có thể đánh cắp tài khoản của bạn (mặc dù họ có thể lấy một số thông tin liên quan).
Bạn cũng không nhập mật khẩu của mình khắp nơi và do chúng tôi có xu hướng sử dụng lại mật khẩu của mình khá thường xuyên, đây là một điều tốt. Có thể chúng tôi đang không tuân theo các phương pháp hay nhất về mật khẩu, vì vậy, chúng tôi càng ít phát tán khả năng bảo mật kém của mình ra xung quanh, thì càng tốt.
Bảo mật Con:nếu thông tin đăng nhập mạng xã hội của bạn không hoạt động, thì tài khoản của bạn cũng vậy
Vì vậy, điều gì sẽ xảy ra nếu Facebook và Google làm bị tấn công hay ai đó quản lý để truy cập vào tài khoản của bạn? Cả hai công ty đều đã gặp vấn đề về dữ liệu trong quá khứ (Cambridge Analytica, Google+) và LinkedIn đã bị tấn công ngay lập tức, vì vậy các công ty công nghệ lớn không thực sự có thành tích 100% ở đây.
Ai đó có thông tin đăng nhập mạng xã hội của bạn có thể giả vờ họ là bạn trên mọi ứng dụng và trang web mà bạn đã sử dụng mạng xã hội để đăng nhập khi đó không? Về cơ bản, có. Cho dù đó là vi phạm bảo mật trên toàn hệ thống, mật khẩu yếu hay phần mềm độc hại trên máy tính của bạn chỉ chờ bạn đăng nhập vào Facebook, bất kỳ ai có thông tin đăng nhập của bạn đều có thể mạo danh bạn trên một ứng dụng khác. Điều này làm cho việc đăng nhập mạng xã hội trở thành một điểm thất bại duy nhất, tạo ra hiệu ứng domino có thể xảy ra nếu tài khoản ủy quyền của bạn bị vi phạm.
Điều này có nghĩa là rất nhiều tài khoản mạng xã hội của chúng tôi luôn được bảo mật. Facebook, Google và Twitter đang làm việc chăm chỉ để làm điều đó, nhưng ngay cả khi họ cố gắng kết thúc, chỉ có rất nhiều điều họ có thể làm nếu mật khẩu của bạn là 123456789 (hãy xem các mẹo này để có mật khẩu mạnh) và bạn luôn đăng nhập tài khoản của mình trên các thiết bị được chia sẻ hoặc có thể truy cập vật lý. Nếu bạn sử dụng thông tin đăng nhập xã hội, bạn nên coi nó như chìa khóa cho bất kỳ tài khoản nào mà nó có thể truy cập.
Ưu điểm về Quyền riêng tư
Đây sẽ là một phần ngắn vì thực sự không có lợi ích riêng tư nào cho người dùng. Thông tin đăng nhập trên mạng xã hội sẽ không chỉ cung cấp dữ liệu của bạn cho bất kỳ ai yêu cầu, đây là mức tối thiểu bạn mong đợi, nhưng bạn sẽ luôn cung cấp nhiều thông tin cá nhân hơn so với nếu bạn chỉ sử dụng email / kết hợp mật khẩu.
Nhược điểm về quyền riêng tư:mọi người tìm hiểu thêm về bạn
Tùy thuộc vào dịch vụ bạn đang sử dụng, bạn có ít nhiều quyền kiểm soát đối với những ứng dụng dữ liệu nào được phép lấy từ hồ sơ xã hội của bạn. Tuy nhiên, thật dễ dàng để cung cấp nhiều hơn những gì bạn dự định và các ứng dụng có thể yêu cầu bất cứ điều gì họ muốn với hiểu biết rằng hầu hết người dùng có thể sẽ mặc định là “Có”. Bạn bè, vị trí, lịch sử bài đăng, sở thích và các phần thông tin cá nhân khác của bạn có thể dễ dàng bị thu thập mà bạn không hề hay biết.
Mặt khác, hãy nhớ rằng hầu hết các công ty cung cấp cho bạn dịch vụ đăng nhập đều rất quan tâm đến việc thu thập thêm dữ liệu về bạn. Họ muốn biết những ứng dụng bạn đang sử dụng, tần suất bạn sử dụng chúng và thậm chí thông tin chi tiết hơn về những gì bạn làm với chúng và việc sử dụng chúng để đăng nhập về cơ bản là cung cấp thông tin đó trực tiếp cho họ. Không rõ chính xác lượng dữ liệu mà Facebook và Google nhận được từ các ứng dụng sử dụng dịch vụ đăng nhập của họ, nhưng nếu bạn không thoải mái với một công ty có khả năng biết nhiều về những gì bạn đang làm trong một ứng dụng, thì tốt nhất bạn không nên liên kết tài khoản cho công ty đó.
Vậy tôi có nên sử dụng thông tin đăng nhập xã hội không?
Thông tin đăng nhập mạng xã hội có thể an toàn hơn trong nhiều trường hợp, đặc biệt nếu bạn cẩn thận khóa các tài khoản chính của mình khá chặt chẽ và bạn không chắc liệu một ứng dụng hoặc trang web có bảo mật mạng tốt nhất hay không. Thực sự an toàn hơn khi đăng nhập vào một ứng dụng hoặc trang web sơ sài bằng thông tin đăng nhập xã hội, vì bạn sẽ không từ bỏ mật khẩu mà bạn có thể sử dụng lại trên một số trang web. Tuy nhiên, nếu bạn đang tạo một tài khoản có chứa thông tin nhạy cảm tiềm ẩn trên một dịch vụ được bảo mật tốt, thì một tổ hợp email / mật khẩu mạnh là lựa chọn tốt nhất cho bạn.
Đối với quyền riêng tư, đó là một quyết định cá nhân. Nếu bạn không muốn ứng dụng biết nhiều hơn về mình, đừng đăng nhập bằng Facebook. Điều này cũng đi theo hướng khác:không sử dụng người ủy quyền bên thứ ba trừ khi bạn cảm thấy thoải mái với việc bên thứ ba đó thu thập thêm một số dữ liệu về bạn.