Wenn Sie erwägen, ein neues Konto für eine Website zu erstellen, haben Sie wahrscheinlich die Möglichkeit, Ihr vorhandenes Facebook- , Google- oder ein anderes Konto als Anmeldung zu verwenden. Diese Methode ist allgemein als Single Sign-On (SSO) bekannt . Facebook- und Google-Konnektivität sind die häufigsten Angebote, aber einige Dienste fügen auch Apple-, Twitter- und LinkedIn - Konten hinzu.
Die Frage ist, sollten Sie eines dieser bestehenden Konten verwenden, um sich auf dieser neuen Website anzumelden, oder sich die Mühe machen, ein neues Konto mit Ihrer E-Mail-Adresse zu erstellen?
Mit der Single-Sign-On-Methode können Sie sich sehr schnell für einen neuen Dienst anmelden. Es gibt Ihnen jedoch weniger Kontrolle darüber, welche Informationen geteilt werden, wenn das Konto aktiviert wird. Ihre Social-Media-Anmeldeinformationen werden wahrscheinlich Dinge wie Ihre E-Mail-Adresse, Ihren Namen und Ihr Profilfoto an die App weitergeben, und sie kann möglicherweise auf persönlichere Details wie Ihr Geburtsdatum und Ihre Telefonnummer zugreifen. Was geteilt wird oder nicht, hängt letztendlich von den Richtlinien sowohl des bereits bestehenden Kontos als auch des Kontos ab, für das Sie sich anmelden. Die App sollte auch einen Text bereitstellen, der deutlich macht, was während des Anmeldevorgangs geteilt wird.
Um alle Details auszubügeln, haben wir die Hilfe der Cybersicherheitsexperten Paul Bischoff und Dan Fritcher in Anspruch genommen, um einen Einblick in die Funktionsweise dieser SSO-Technologie zu geben. Wir erläutern auch, wie Google, Facebook, Apple und Twitter mit Dritten umgehen, die über sie auf Ihre Daten zugreifen.
Die Vorteile von Single Sign-On
Das Hauptverkaufsargument von SSO ist einfach Zeitersparnis und Bequemlichkeit. Es überspringt den langwierigen Registrierungsprozess zum Ausfüllen von Formularen und Feldern, da diese Informationen wahrscheinlich aus Ihrem Social-Media-Konto abgerufen werden können. Es reduziert auch den Aufwand, der mit dem Nachverfolgen von Benutzernamen und Passwörtern verbunden ist und welche mit welchen übereinstimmen. Nach der x-ten Kontoregistrierung kann das wie eine fast unmögliche Aufgabe erscheinen. Ihr bereits bestehendes Konto fungiert als Schlüssel, mit dem Sie auf eine Vielzahl von Diensten zugreifen können. Während der Drittanbieter Daten aus dieser Transaktion sammeln kann, kann er Ihr Social-Media-Passwort nicht sehen.
„Insgesamt ist die Anmeldung mit einem Social Login nicht unbedingt mehr oder weniger sicher als die einfache Anmeldung mit E-Mail und Passwort“, sagt Paul Bischoff, Datenschutzspezialist bei Comparitech , per E-Mail. „Kleinere Apps und Websites haben wahrscheinlich weniger Sicherheit als große soziale Netzwerke, daher könnte es eine sicherere Option sein, auf die Übergabe eines Passworts und einer E-Mail-Adresse zugunsten eines sozialen Logins zu verzichten. Allerdings ist bekannt, dass Entwickler auch soziale Login-Daten missbrauchen (siehe: Cambridge Analytica )."
Einige Apps können auch ein verknüpftes Konto verwenden, um nützliche Dateien zu importieren. Mit Dropbox können beispielsweise Fotos direkt von Facebook in den Cloud-Speicher importiert werden. Produktivitätssuiten wie Zoom und Slack können auch mit dem Google-Kalender synchronisiert werden. Sie müssen jedoch nicht unbedingt Single Sign-On verwenden, um diese Funktionen nutzen zu können.
Die Nachteile von Single Sign-On
Die Nachteile von SSO sind alle auf persönliche Vorlieben und Sicherheit zurückzuführen. Diese Methode schränkt die Auswahl dessen ein, was während der Registrierung geteilt wird. Wie bereits erwähnt, darf die App möglicherweise Namen, Fotos und Kontaktinformationen kratzen, obwohl Sie möglicherweise viele dieser Dinge während der Anmeldung eingegeben haben, unabhängig davon, welche Methode Sie verwenden. In einigen Fällen erhält die neue App Zugriff auf persönlichere Informationen wie Ihr Alter, Ihren Standort oder Ihre Interessen. Diese Details können dann verwendet werden, um Ihnen personalisierte Werbung zu liefern , oder an Datenerfassungsunternehmen verkauft werden .
„Durch die Verwendung eines sozialen Logins wird ein Netzwerk von Websites erstellt, die eine gemeinsame Kennung für Sie enthalten. Diese Kennung kann verwendet werden, um ein gemeinsames Werbeprofil basierend auf Ihrer Aktivität auf jeder der Websites zu erstellen“, sendet Dan Fritcher, Chief Technology Officer von Sysfi Cloud , eine E-Mail Dienstleistungen . „Mit der Zeit wird dieses Profil immer größer. Für die meisten Menschen spielt es keine große Rolle, aber das Risiko besteht darin, dass wir keine Ahnung haben, wofür es in Zukunft verwendet wird.“
Letztendlich sollten Sie sich darüber im Klaren sein, welche Daten jedes Konto teilt, und entscheiden, ob Sie mit der Gewährung des Zugriffs einverstanden sind oder nicht. Beispielsweise ist es wahrscheinlicher, dass eine Website, die keinen eigenen vertrauenswürdigen Ruf aufgebaut hat, Ihre Kontaktinformationen nimmt und sie für schnelles Geld an Betrüger verkauft. Vertrauenswürdige Websites verfügen über eine zugängliche Dokumentation, die aufzeigt, welche Daten sie sammeln und wie sie genau verwendet werden sollen, allgemein bekannt als Datenschutzrichtlinie .
SSO kann auch mehr Cybersicherheitsrisiken darstellen als die reguläre Registrierung. Wenn ein Hacker in der Lage ist, durch Phishing oder ein Passwort-Leck an Ihren Social-Media-Login zu gelangen, könnte er auch freie Hand über andere Konten haben, die Sie mit diesen Informationen registriert haben. Das Konto kann auch gesperrt werden, wodurch der Zugriff auf Websites blockiert wird, die Single Sign-On verwendet haben. Wenn bei Facebook oder Google ein Dienstausfall auftritt , kann dies außerdem die SSO-Funktion dieses Dienstes vorübergehend zum Absturz bringen.
Vor diesem Hintergrund werfen wir hier einen Blick auf die Datenfreigaberichtlinien der Unternehmen, die am ehesten SSO anbieten.
Datenweitergaberichtlinie von Facebook
Wie andere Dienste stellt Facebook Ihren Namen, Ihre E-Mail-Adresse und Ihr Profilfoto bereit, wenn eine einmalige Anmeldung initiiert wird. Facebook kann dem Dritten jedoch auch Zugriff auf Informationen gewähren, die es unter dem Dach des „ öffentlichen Profils “ kennzeichnet. Dies umfasst im Wesentlichen alles, was auf Ihrer Profilseite verfügbar gemacht wird, einschließlich weiterer persönlicher Daten wie Alter, Geschlecht, Geburtsdatum, Beziehungsstatus, Familiendaten, Hobbys und verwendete Geräte. Es kann sogar Dinge wie Ihre Heimatstadt, Arbeits- und Bildungsgeschichte, Religion und politische Neigungen aufdecken.
Die Daten, die Facebook sammelt, sind umfangreich und es ist mehr als bereit, diese Daten mit Dritten zu teilen, wie die jüngsten Skandale und Gerichtsverfahren gezeigt haben. Einige dieser Informationen können jedoch mithilfe der Datenschutzoptionen von Facebook als nicht öffentlich gekennzeichnet werden .
Google-Richtlinie
Während der einmaligen Anmeldung gibt Google mindestens Ihren Namen, Ihre E-Mail-Adresse und Ihr Profilfoto an den Drittanbieter weiter. Einige Apps versuchen möglicherweise auch, auf Ihrem Google Drive gespeicherte Dateien, Fotos, Nachrichten oder Kalenderereignisse abzurufen. Sie müssen diese Berechtigungen jedoch ausdrücklich anfordern, um Zugriff zu erhalten.
Twitter-Richtlinie
Über Twitter registrierte Apps erhalten Lesezugriff, der den Bildschirmnamen, das Profilfoto, die Biografie, den allgemeinen Standort, die bevorzugte Sprache und die Zeitzone umfasst. Die App kann auch alle Ihre Tweet-Analysen sowie Follower-, Stumm- und Sperrlisten anzeigen. Andererseits gibt Twitter Ihre E-Mail-Adresse während der Anmeldung nicht weiter, es sei denn, dies wird ausdrücklich verlangt.
Apples Richtlinie
Der SSO-Prozess von Apple ist im Vergleich zu anderen einzigartig. Wenn die Registrierung initiiert wird, werden Name und E-Mail mit der Drittanbieter-App geteilt. Benutzer haben jedoch die Möglichkeit, ihren Namen zu bearbeiten, bevor er gesendet wird. Sie können sich auch dafür entscheiden, ihre E-Mail-Adresse zu verbergen, woraufhin Apple eine Dummy-Adresse generiert, die automatisch zu Ihrem Konto zurückleitet. Die Weiterleitung kann bei Bedarf auch in Zukunft deaktiviert werden, um Spam zu verhindern. Die Zwei-Faktor-Authentifizierung ist auch eine Voraussetzung für die Anmeldung bei Apple. Das Unternehmen sagt, dass es keine Daten über Ihre Interaktion mit der App sammelt.
Was tun bei SSO?
Wenn Sie Single Sign-On verwenden möchten, achten Sie darauf, welche Informationen übertragen werden. Wenn Ihnen eine Auswahl an Unternehmen angeboten wird, entscheiden Sie sich für den Dienst, der die geringste Datenmenge teilt. Basierend darauf, welche Informationen geteilt werden und worüber die Benutzer die Kontrolle haben, scheint Apple einer der besten Dienste zu sein, wenn es um SSO geht. Sie können ein Apple-Konto auch dann erstellen, wenn Sie keine Apple-Geräte haben .
Oder Sie entscheiden sich für Twitter, wie Bischoff es bevorzugt. „Im Vergleich zu anderen Netzwerken, in denen ich viele private Informationen und Daten speichere, ist fast alles, was mit meinem Twitter-Konto zu tun hat, öffentlich, sodass eine App nicht viel mehr Daten sammeln kann, wenn Sie sich bei Twitter anmelden“, sagt er. Allerdings verfügt nicht jede App über alle Anmeldeoptionen.
Sie sollten auch Ihre Social-Media-Sicherheit verbessern, indem Sie die Zwei-Faktor-Authentifizierung aktivieren , die einen temporären Passcode generiert, der an Ihre persönliche E-Mail-Adresse oder Telefonnummer gesendet wird. Dies ist eine der schnellsten und effektivsten Methoden, um unerwünschte Online-Zugriffe zu verhindern, und hat den zusätzlichen Vorteil, dass auch Ihre Single-Sign-On-Konten geschützt werden. Am sichersten ist es, für jeden Dienst, den Sie verwenden, eindeutige Passwörter zu erstellen, und ein verschlüsselter Passwort-Manager ist nützlich, um alle im Auge zu behalten.
Nun, das ist nützlich
Eine sichere Alternative zu SSO ist ein dedizierter Passwort-Manager wie 1Password . Dieses Programm speichert alle Ihre Anmeldedaten in einem verschlüsselten Ordner, auf den nur mit einem vom Benutzer festgelegten "Master-Passwort" zugegriffen werden kann. Dieser Hauptschlüssel wird immer nur lokal und offline gespeichert, sodass es Hackern praktisch unmöglich ist, ohne physischen Zugriff auf Ihren Computer an die Daten zu gelangen. Viele Webbrowser bieten auch integrierte Passwortmanager , die ihre eigenen Verschlüsselungsmethoden verwenden.
