Werbung

Es fühlt sich so an, als ob Sie jedes Mal, wenn Sie sich für einen neuen Dienst anmelden, einen Benutzernamen und ein Passwort auswählen oder sich einfach mit Facebook oder Twitter anmelden können. Oft ist es auch möglich, sich mit Ihrem Google-Konto anzumelden. Es ist schnell und einfach. Aber solltest du es tun?

Wie funktioniert es?

Bei der Anmeldung über Ihr soziales Konto wird ein Protokoll namens OAuth verwendet, das (kurz gesagt) eine App oder einen Dienst (den Anforderer oder Dienst, für den Sie sich anmelden), um eine Verbindung zu einem anderen (dem Dienstanbieter oder einem vorhandenen Netzwerk, über das Sie sich anmelden) herzustellen und auf Ihren Dienst zu reagieren Namen. Dies erfolgt durch Ausgabe von „Token“ an die anfordernde App. Diese Token funktionieren ähnlich wie Ihr Benutzername und Ihr Passwort, da sie der anfordernden App Zugriff auf einen passwortgeschützten Dienst (z. B. Facebook) gewähren.

Das Wichtigste hier ist, dass Ihr tatsächlich Benutzername und Passwort werden niemals zwischen den Apps kommuniziert und die anfordernde App erhält nur Zugriff auf einen begrenzten Teil Ihres passwortgeschützten Kontos.

instagram viewer

Klappentext-Anfrage

Schauen wir uns ein kurzes Beispiel an. Angenommen, Sie verwenden Klappentext, um Ihre Facebook-Fotos in ein Buch zu verwandeln Drei einfache Möglichkeiten, Ihr Facebook in ein echtes Buch zu verwandeln [Wöchentlicher Facebook-Tipp]Wollten Sie schon immer ein echtes gedrucktes Buch über die Dinge machen, die Sie auf Facebook haben? Vielleicht haben Sie Verwandte, die nicht auf Facebook sind, aber gerne die Bilder sehen würden, die Sie eingefügt haben ... Weiterlesen . Sie gehen zu Blurb (dem Anforderer) und teilen ihm mit, dass Sie Fotos von Facebook drucken möchten. Blurb leitet Sie zurück zu Facebook (dem Dienstanbieter), wo Sie Ihre Anmeldeinformationen eingeben (direkt an Facebook gesendet, nicht an Blurb) und teilen Sie Facebook mit, dass Sie Blurb die Erlaubnis geben, auf Ihre zuzugreifen Fotos. Jetzt kann Blurb diese Fotos herunterladen, damit sie gedruckt werden können. Wenn Blurb versucht, auf Ihre Timeline zuzugreifen, wird dies abgelehnt, da das Token nur Zugriff auf Ihre Fotos und Ihr öffentliches Profil bietet.

OAuth teilt niemals Ihren Benutzernamen oder Ihr Passwort mit der anfragenden App. Die Idee ist, dass die Geheimhaltung Ihres Benutzernamens und Passworts diese sicher hält. Um zu verhindern, dass eine anfordernde App oder ein anfordernder Dienst auf Ihr Konto zugreift, müssen Sie nur auf "Zugriff widerrufen" klicken, anstatt Ihr Kennwort zu ändern.

Ist es sicher?

Okay, der Prozess scheint bisher ziemlich einfach zu sein. Aber wie sicher ist es? Sollten wir uns Sorgen um die Sicherheit von OAuth-Sites machen?

Aus Sicherheitsgründen sieht OAuth ziemlich gut aus. Ein Worst-Case-Szenario führt immer noch nicht zur Offenlegung Ihrer sozialen Passwörter. Und die Möglichkeit, den Zugriff auf jede App mit einem Token sofort zu widerrufen, bedeutet, dass selbst wenn eine Website gehackt und schändlich wird Charaktere erhalten alle Token-Daten in die Hände. Sie können einfach auf die Schaltfläche "Zugriff widerrufen" klicken und haben keinen Zugriff auf Ihr soziales Netzwerk Seite? ˅.

Die Tatsache, dass Sie nur den Zugriff auf eine bestimmte Teilmenge der Daten auf Ihrer sozialen Website freigeben, ist ebenfalls recht ansprechend - wenn jemand Snapfish hackt und Zugriff auf Ihre Facebook-Fotos erhält, sollten Sie sich keine Sorgen machen (Sie sind Pass auf die Fotos auf, die du postest, oder?).

Yale-sicher

Trotz der jüngsten dramatisierte Entdeckung einer Sicherheitslücke in OAuthDas System ist ziemlich gut.

Online-Sicherheit bietet jedoch mehr als nur Verschlüsselung und Token. Eine der besten Möglichkeiten, um sicherzustellen, dass Sie online sicher sind, ist die Verwendung gute Passwortpraktiken Handbuch zur KennwortverwaltungFühlen Sie sich nicht von Passwörtern überfordert oder verwenden Sie einfach auf jeder Website dasselbe, damit Sie sich daran erinnern: Entwerfen Sie Ihre eigene Passwortverwaltungsstrategie. Weiterlesen . Und OAuth hilft dabei sehr. Wie? Wenn Sie sich über Twitter oder Google anmelden können, müssen Sie noch keine erstellen Ein weiterer Passwort, an das Sie sich erinnern müssen. Wenn Sie ein sehr sicheres Facebook-Passwort haben, können Sie damit auf eine Reihe von Dingen zugreifen, ohne genau das gleiche Passwort für weitere Websites zu verwenden.

Dies ist ein deutlicher Vorteil von OAuth - und die Tatsache, dass Sie die Anzahl der Websites mit Ihren Passwörtern begrenzen, ist ein großes Plus.

Es ist auch wichtig zu erwähnen, dass Websites, die auf Ihre sozialen Profile zugreifen, keine größeren Maßnahmen ergreifen können. Sie können Ihr Konto nicht löschen, Ihr Passwort nicht ändern oder andere wichtige Änderungen vornehmen. Welches ist beruhigend.

Welche Risiken gehen Sie ein?

Leider ist nichts einfach, wenn es um Online-Sicherheit geht. Die Verwendung von OAuth birgt einige Risiken, die hauptsächlich mit dem Datenschutz zusammenhängen.

Wie oft nehmen Sie sich beispielsweise die Zeit, um die Berechtigungen, die Sie bei der Verwendung von Facebook Connect erteilen, wirklich zu überprüfen? Apps sollten nur den Zugriff auf die Informationen anfordern, die sie benötigen, um Sie besser bedienen zu können Fragen Sie oft nach viel mehr - Ihrer Zeitleiste, den Informationen Ihrer Freunde und der Möglichkeit zum Posten Beispiel.

Manchmal ist dies eine gute Sache - vielleicht möchten Sie Twitter in Ihre Kontakt-App oder einen Newsreader integrieren. Oder Sie möchten Ihre Trainingsergebnisse von veröffentlichen RunKeeper Behalten Sie Ihre Trainingsziele im Auge, während Sie mit RunKeeper trainieren [Android]Rund um MakeUseOf lieben wir es, Apps und andere Online-Motivatoren zu finden, um fit und gesund zu bleiben. Nachdem RunKeeper diese Fitness-Apps immer wieder untersucht hat, erweist er sich immer als einer der besten. Es ist... Weiterlesen oder MapMyFitness. Die Berechtigungen enthalten jedoch nichts, was die App oder den Dienst davon abhält, das zu veröffentlichen, was sie möchten. Es gibt keine Option "Nur Ergebnisse nach der Umfrage". Sie müssen nur darauf vertrauen, dass die App nur die gewünschten oder veröffentlichten Inhalte veröffentlicht und keine Anzeigen.

digitaler Schlüssel

Und Sie geben möglicherweise mehr Informationen preis, als Sie erwartet hatten. Wen interessiert es, ob Ihr Lieblingsgeschäft sieht, was Sie auf Facebook veröffentlichen? Nun, sie erhalten möglicherweise mehr Informationen, als Sie sich vorgestellt haben.

Zum Beispiel auf einer Konferenz 2012 eine japanische Katalogfirma sprach darüber, wie es Informationen verwendet auf dem Facebook-Profil eines Benutzers, um auf Dinge „über die„ Lebensphase “eines Kunden zu schließen (ob er verheiratet oder unverheiratet ist, schwanger ist, eine Diät macht, eine Party plant usw.) "Haushalt" (wenn sie ein Kind, einen alternden Elternteil, ein Haustier, eine Wohnung usw. haben) und "Persönlichkeit" (sind sie in Freiwilligenarbeit, Wahrsagerei, Essen, Reisen, Sport, Laufen usw.?). ”

Ein Mitglied des Marketingteams erklärte, dass das Team „den Lebenshintergrund unserer Kunden kennenlernen kann - ihren Lebensstil und ihre Psychologie. Wir können dann unsere Kataloge entsprechend ausrichten. Und wir können vorhersagen, wann jemand ein Produkt benötigt, basierend auf den Aussagen in den sozialen Medien. “

Hätten Sie nicht gedacht, dass Sie so viele Informationen preisgeben?

Natürlich haben Sie die volle Kontrolle darüber, was Sie mit einem Unternehmen über soziale Anmeldungen teilen und wie Sie können viel für Sie posten - aber nur, wenn Sie sich die Zeit nehmen, die von ihnen angeforderten Berechtigungen zu lesen zum. Und geben Sie keinen Zugriff auf Dinge, die Sie lieber privat halten möchten. Dies ist jedoch nicht immer einfach, da einige Apps und Dienste jetzt nur Facebook oder Twitter verwenden. Wenn Sie den Berechtigungen nicht zustimmen, können Sie den Dienst nicht nutzen.

Lektionen zum Mitnehmen: Was sollten Sie tun?

Wie bei den meisten Dingen gibt es zwei Seiten bei der Anmeldung über soziale Konten. Es ist im Allgemeinen ziemlich sicher und Sie haben tatsächlich einiges an Kontrolle darüber, wie viele Informationen Sie teilen.

Steuertaste

Auf der anderen Seite geben Sie möglicherweise viel Kontrolle ab, wenn Sie nicht vorsichtig sind. Was sollten Sie dagegen tun?

  • Lesen Sie die Berechtigungsanforderungen, bevor Sie sie erteilen.

Dies ist wichtig und wird erst mit zunehmender Integration von Webdiensten wichtiger. Wenn Sie nicht möchten, dass eine App Daten über Ihre Facebook-Freunde sammelt, erlauben Sie ihr keinen Zugriff auf Facebook.

  • Überprüfen Sie Ihre App-Berechtigungen regelmäßig.

Gehen Sie auf Facebook zu Registerkarte "Apps" auf dem Bildschirm "Einstellungen". Gehen Sie auf Twitter zu Registerkarte Apps in den Einstellungen, zu. Google ist etwas kniffliger: Gehen Sie zu Accounts.google.comKlicken Sie dann auf Sicherheit Alle unter Kontoberechtigungen anzeigen. Überprüfen Sie, welche Apps Zugriff auf Ihre Daten haben, und widerrufen Sie den Zugriff für alle Apps, die Sie nicht mehr verwenden. Wenn Sie eine App sehen, die über mehr Berechtigungen verfügt als sie sollte, sollten Sie den Zugriff widerrufen und prüfen, ob Sie sich mit einem herkömmlichen Benutzernamen und Kennwort bei diesem Dienst anmelden können.

Um den Prozess zu beschleunigen, können Sie Verwenden Sie MyPermissions Zu viele Apps? So widerrufen Sie App-Berechtigungen von mehreren Websites in 2 MinutenDie Online-Welt bietet viele Datenschutzbedenken. Wir alle wissen, dass wir keine privaten Dinge auf Facebook posten sollten, wir dürfen unsere E-Mail-Adresse nicht an auffälligen Stellen aufschreiben und wir sollten wirklich aufpassen, wie ... Weiterlesen Hiermit können Sie Ihre Berechtigungen für Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox und mehr verwalten.

  • Überspringen Sie Berechtigungen und legen Sie zulässige Zielgruppen für die Freigabe fest.

Wenn eine App um Erlaubnis bittet, in Ihrem Namen über einen sozialen Dienst zu teilen, haben Sie möglicherweise die Möglichkeit, diese Erlaubnis nicht zu erteilen (dies wird auf Facebook angezeigt, wenn Sie die Schaltfläche "Überspringen" sehen). Wenn dies eine Option ist, verwenden Sie sie! Sie können auch die Zielgruppe für die zulässige Freigabe festlegen. Sie können beispielsweise alle Ihre Freunde, eine benutzerdefinierte Zielgruppe oder nur sich selbst freigeben.

  • Behandeln Sie Berechtigungsanforderungen basierend auf Konten unterschiedlich.

Was postest du auf Instagram? Was postest du auf Twitter? Eine Anfrage zum Lesen Ihrer Foursquare-Beiträge ist möglicherweise weniger beängstigend als die Gewährung der Berechtigung "Verfassen und Senden neuer E-Mails" für Ihr Google Mail-Konto.

Unrollme-Anfrage
  • Ändern Sie Ihre Passwörter regelmäßig.

Wenn Sie Ihre Kennwörter ändern, wird eine Reihe von OAuth-Token sofort ungültig, sodass Sie sich erneut anmelden und die Token erneut genehmigen müssen. Soweit ich herausfinden konnte, machen Google Mail und Facebook Token ungültig, wenn Sie Ihr Passwort ändern, Twitter und Google+ jedoch nicht. Für diese anderen Dienste müssen Sie den Zugriff widerrufen und die Berechtigungen erneut erteilen.

Fazit: Bequemlichkeit zu einem Preis

Das Anmelden bei Websites und Diensten mit Ihren sozialen Anmeldeinformationen bietet viel Komfort und sogar ein wenig Sicherheit. Aber es kann Seien Sie riskant, sowohl aus Sicht der Privatsphäre als auch - in geringerem Maße - der Sicherheit. Wenn Sie jedoch die fünf oben genannten Sicherheitstipps üben, sollten Sie nur die Berechtigungen erteilen, die Sie beabsichtigen.

Wie oft verwenden Sie Ihre sozialen Anmeldeinformationen auf einer anderen Website? Fühlst du dich sicher dabei? Lesen und überprüfen Sie Berechtigungen regelmäßig? Teilen Sie Ihre Gedanken unten!

Bildnachweis: Marc Falardeau über Flickr, Rob Pongsajapan über Flickr, Iván Melenchón Serrano über MorgueFile

Dann ist ein Content-Strategie- und Marketingberater, der Unternehmen dabei hilft, Nachfrage und Leads zu generieren. Er bloggt auch über Strategie- und Content-Marketing auf dannalbright.com.