Si vous pensez deux fois avant de vous connecter à l'aide de comptes sociaux?
C'est comme si chaque fois que vous vous abonniez à un nouveau service, vous pouvez choisir de choisir un nom d'utilisateur et un mot de passe ou simplement vous connecter avec Facebook ou Twitter. La connexion avec votre compte Google est souvent une option également. C'est rapide et facile. Mais devriez-vous le faire?
Comment ça marche?
La connexion à l'aide de votre compte social utilise un protocole appelé OAuth, qui permet (en un mot) à une application ou à un service (le demandeur ou le service auquel vous vous inscrivez) de se connecter à un autre (le fournisseur de service ou le réseau existant utiliser pour vous inscrire) et agir en votre nom. Ceci est fait en émettant “jetons” à l'application qui demande. Ces jetons fonctionnent un peu comme votre nom d'utilisateur et votre mot de passe, car ils donnent à l'application qui demande l'accès à un service protégé par mot de passe (Facebook, par exemple)..
La chose importante ici est que votre réel Le nom d'utilisateur et le mot de passe ne sont jamais communiqués entre les applications, et l'application qui demande n'a accès qu'à une partie limitée de votre compte protégé par mot de passe..
Regardons un exemple rapide. Supposons que vous utilisiez Blurb pour transformer vos photos Facebook en un livre. Trois façons simples de transformer votre Facebook en vrai livre [Astuce hebdomadaire sur Facebook] Trois façons simples de transformer votre Facebook en vrai livre [Astuce Facebook hebdomadaire] Avez-vous déjà voulu faire un véritable livre papier de ce que vous avez sur Facebook? Vous avez peut-être des parents qui ne sont pas sur Facebook mais qui aimeraient voir les photos que vous avez insérées dans… Lisez plus. Vous allez dans Blurb (le demandeur) et lui dites que vous souhaitez imprimer des photos à partir de Facebook. Blurb vous redirige vers Facebook (le fournisseur de services), où vous entrez vos informations d'identification de connexion (envoyées directement à Facebook, pas à Blurb) et dites à Facebook que vous lui accordez la permission d'accéder à vos photos. Maintenant, Blurb peut télécharger ces photos pour pouvoir les imprimer. Si Blurb essaie d'accéder à votre chronologie, il sera refusé, car le jeton qu'il possède ne lui donne que l'accès à vos photos et à votre profil public..
OAuth ne partage jamais votre nom d'utilisateur ni votre mot de passe avec l'application qui fait la demande. L'idée est que garder votre nom d'utilisateur et votre mot de passe secrets afin de les protéger. Et pour empêcher une application ou un service demandeur d'accéder à votre compte, il vous suffit de cliquer sur “accès révoqué,” au lieu de changer votre mot de passe.
Est-ce sûr?
D'accord, le processus semble assez simple jusqu'à présent. Mais est-ce sécuritaire? Devrions-nous nous inquiéter de la sécurité des sites OAuth??
Du point de vue de la sécurité, OAuth semble plutôt bien. Le pire des scénarios n’entraîne toujours pas la révélation de vos mots de passe sociaux. Et la possibilité de révoquer instantanément l'accès à toute application comportant un jeton signifie que même si un site Web est piraté et que des personnages néfastes mettent la main sur toutes les données du jeton, vous pouvez simplement appuyer sur le bouton d'accès révoquer et ils n'auront accès à votre site social.
Le fait que vous ne partagez que l'accès à un sous-ensemble spécifique de données sur votre site social est également très attrayant. Si quelqu'un pirate Snapfish et accède à vos photos sur Facebook, vous ne devriez pas être trop inquiet (vous sont en prenant soin des photos que vous postez, non?).
Malgré la découverte dramatique récente d'une faille de sécurité dans OAuth, le système en est un très bon.
Cependant, la sécurité en ligne ne se limite pas au cryptage et aux jetons. L'un des meilleurs moyens de garantir votre sécurité en ligne consiste à utiliser de bonnes pratiques en matière de mots de passe. Et OAuth aide beaucoup avec ça. Comment? En vous connectant à l'aide de Twitter ou de Google, vous n'avez pas encore à créer. un autre mot de passe que vous devez vous rappeler. Si vous avez un mot de passe Facebook très sécurisé, vous pouvez l'utiliser pour accéder à un certain nombre de choses sans utiliser le même mot de passe pour plusieurs sites..
C'est un avantage distinct de OAuth et le fait que vous limitiez le nombre de sites Web contenant votre mot de passe est un avantage considérable..
Il est également important de mentionner que les sites accédant à vos profils sociaux ne peuvent entreprendre aucune action majeure: ils ne peuvent pas supprimer votre compte, changer votre mot de passe ou apporter d'autres modifications importantes. Ce qui est rassurant.
Quels risques prenez-vous?
Malheureusement, rien n’est simple en matière de sécurité et de protection en ligne. Il existe certains risques liés à l'utilisation d'OAuth, principalement liés à la confidentialité..
Par exemple, combien de fois prenez-vous le temps d'examiner réellement les autorisations que vous donnez lorsque vous utilisez Facebook Connect? Alors que les applications ne doivent demander que l'accès aux informations dont elles ont besoin pour mieux vous servir, elles demandent souvent beaucoup plus - votre calendrier, les informations de vos amis et la possibilité de publier, par exemple.
Parfois, c’est une bonne chose. Vous voudrez peut-être intégrer Twitter dans votre application de contacts ou dans votre lecteur de nouvelles. Ou vous voudrez peut-être publier vos résultats d'entraînement avec RunKeeper Gardez une trace de vos objectifs d'entraînement pendant votre entraînement avec RunKeeper [Android] Gardez une trace de vos objectifs d'entraînement pendant que vous vous entraînez avec RunKeeper [Android] autour de MakeUseOf, nous adorons trouver des applications et d'autres motivations en ligne rester en forme et en bonne santé. Après avoir examiné ces applications de fitness de temps en temps, RunKeeper s’avère toujours être l’un des meilleurs. C'est… Lire la suite ou MapMyFitness. Mais rien dans les autorisations n'empêchera l'application ou le service de publier ce qu'ils veulent. Il n'y a pas “uniquement les résultats post enquête” option. Vous devez simplement avoir confiance que l'application ne publiera que ce que vous voulez ou ce que vous voulez, et non des annonces..
Et vous donnerez peut-être plus d'informations que ce que vous aviez prévu. Qui se soucie de savoir si votre magasin préféré voit ce que vous publiez sur Facebook, n'est-ce pas? Eh bien, ils pourraient recevoir plus d'informations que vous ne l'imaginiez.
Par exemple, lors d'une conférence en 2012, une société de catalogue japonaise a expliqué comment elle utilisait les informations du profil Facebook d'un utilisateur pour en déduire des choses. “à propos d'un client “étape de la vie” (si elles sont mariées ou non, enceintes, suivent un régime, planifient une fête, etc.) “Ménage” (s’ils ont un enfant, un parent âgé, un animal domestique, un condo, etc.) et “personnalité” (font-ils du bénévolat, de la divination, de la nourriture, des voyages, du sport, de la course, etc.?).”
Un membre de l'équipe marketing a déclaré que l'équipe “peuvent apprendre le contexte de la vie de nos clients, leur mode de vie et leur psychologie. Nous pouvons ensuite cibler nos catalogues en conséquence. Et nous pouvons prédire quand un utilisateur a besoin d'un produit basé sur ce qu'il dit sur les médias sociaux.”
Je ne pensais pas que vous donniez autant d’informations, avez-vous?
Bien entendu, vous avez le contrôle total sur ce que vous partagez avec une entreprise à l'aide de connexions sociales et sur le montant qu'elle peut publier pour vous, mais uniquement si vous prenez le temps de lire les autorisations demandées. Et ne donnez pas accès à des choses que vous préférez garder privées. Mais ce n'est pas toujours facile, car certaines applications et certains services utilisent maintenant une connexion uniquement sur Facebook ou Twitter, ce qui signifie que si vous n'acceptez pas leurs autorisations, vous ne pourrez pas utiliser le service..
Leçons à emporter: que devriez-vous faire?
Comme pour la plupart des choses, il existe deux aspects de la connexion à l'aide de comptes sociaux. C’est en général assez sûr et vous avez un assez grand contrôle sur la quantité d’informations que vous partagez..
D'autre part, vous risquez de perdre beaucoup de contrôle si vous ne faites pas attention. Alors, que devriez-vous faire à ce sujet?
- Lire les demandes de permission avant de les accorder.
Il s'agit d'un point important, qui ne fera que le devenir à mesure que les services Web s'intègreront davantage. Si vous ne souhaitez pas qu'une application collecte des données sur vos amis Facebook, n'autorisez pas son accès à Facebook..
- Vérifiez fréquemment les autorisations de vos applications.
Sur Facebook, accédez à l'onglet Applications de l'écran Paramètres. Sur Twitter, accédez également à l'onglet Applications dans Paramètres. Google est un peu plus compliqué: accédez à accounts.google.com, puis cliquez sur Sécurité, puis sur Tout voir sous Autorisations de compte. Examinez les applications qui ont accès à vos données et annulez l'accès à celles que vous n'utilisez plus. Et si vous voyez une application disposant de plus d'autorisations que nécessaire, envisagez de révoquer l'accès et de voir si vous pouvez vous connecter à ce service avec un nom d'utilisateur et un mot de passe classiques..
Pour accélérer le processus, vous pouvez utiliser MyPermissions Too Many Apps? Comment révoquer les autorisations d'applications de plusieurs sites Web en 2 minutes ou trop d'applications? Comment révoquer les autorisations d'applications de plusieurs sites Web en 2 minutes Le monde en ligne offre de nombreux problèmes de confidentialité. Nous savons tous que nous ne devons pas publier d'articles confidentiels sur Facebook, ni écrire notre adresse e-mail dans des endroits bien visibles, et nous devons vraiment être attentifs, comme… Read More, qui vous aide à gérer vos autorisations sur Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox, etc..
- Ignorer les autorisations et définir des audiences autorisées pour le partage.
Si une application demande la permission de partager en votre nom via un service social, vous aurez peut-être l'occasion de ne pas donner cette permission (vous le verrez sur Facebook lorsque vous verrez un message). “Sauter” bouton). Si c'est une option, utilisez-la! Vous pouvez également définir l'audience pour le partage autorisé. Par exemple, vous pouvez partager avec tous vos amis, une audience personnalisée ou seulement vous-même..
- Traiter les demandes d'autorisations différemment selon les comptes.
Que postez-vous sur Instagram? Que postez-vous sur Twitter? Demander de lire vos messages Foursquare pourrait être beaucoup moins effrayant que d’accorder “Composer et envoyer un nouveau courrier” privilèges sur votre compte Gmail.
- Changez vos mots de passe régulièrement.
Lorsque vous modifiez vos mots de passe, un certain nombre de jetons OAuth sont immédiatement invalidés, ce qui vous oblige à vous reconnecter et à approuver à nouveau les jetons. Autant que je sache, Gmail et Facebook invalident les jetons lorsque vous modifiez votre mot de passe, mais Twitter et Google+ ne le font pas. Pour ces autres services, vous devrez révoquer l’accès, puis réémettre les autorisations..
Conclusion: commodité pour un prix
Se connecter à des sites et à des services avec vos identifiants sociaux ajoute beaucoup de confort et même un peu de sécurité. Mais ça pouvez être risqué, tant du point de vue de la confidentialité que de la sécurité. Mais si vous pratiquez les cinq conseils de sécurité ci-dessus, vous ne devez donner que les autorisations que vous souhaitez utiliser..
À quelle fréquence utilisez-vous vos informations de connexion sociale sur un autre site? Vous sentez-vous en sécurité? Est-ce que vous lisez et revérifiez les autorisations régulièrement? Partagez vos pensées ci-dessous!
Crédits image: Marc Falardeau via Flickr, Rob Pongsajapan via Flickr, Iván Melenchón Serrano via MorgueFile
En savoir plus sur: Facebook, Online Security.