Cuando esté considerando crear una nueva cuenta para un sitio web, es probable que tenga la opción de usar su cuenta existente de Facebook , Google u otra cuenta para iniciar sesión. Este método se conoce comúnmente como inicio de sesión único (SSO) . La conectividad de Facebook y Google son las ofertas más comunes, pero algunos servicios también agregan cuentas de Apple, Twitter y LinkedIn .
La pregunta es, ¿debería usar una de esas cuentas existentes para iniciar sesión en este nuevo sitio web o tomarse la molestia de crear una nueva cuenta con su dirección de correo electrónico?
El método de inicio de sesión único puede hacer que se suscriba a un nuevo servicio muy rápidamente. Sin embargo, le da menos control sobre qué información se comparte cuando se activa la cuenta. Sus credenciales de redes sociales probablemente compartirán cosas como su dirección de correo electrónico, nombre y foto de perfil con la aplicación, y es posible que pueda acceder a más detalles personales como su fecha de nacimiento y número de teléfono. Lo que se comparte o no en última instancia se reduce a las políticas tanto de la cuenta preexistente como de la que se está registrando. La aplicación también debe proporcionar texto que aclare lo que se comparte durante el proceso de registro.
Para resolver todos los detalles, solicitamos la ayuda de los expertos en seguridad cibernética Paul Bischoff y Dan Fritcher para brindar información sobre cómo funciona esta tecnología SSO. También describiremos cómo Google, Facebook, Apple y Twitter manejan el acceso de terceros a sus datos a través de ellos.
Las ventajas del inicio de sesión único
El principal punto de venta de SSO es simplemente el ahorro de tiempo y la comodidad. Se salta el largo proceso de registro de completar formularios y campos, ya que es probable que esa información se pueda extraer de su cuenta de redes sociales. También reduce la molestia que conlleva hacer un seguimiento de los nombres de usuario y las contraseñas, y cuáles coinciden con cuáles. Después del enésimo registro de la cuenta, puede parecer una tarea casi imposible. Su cuenta preexistente actúa como una clave que se puede utilizar para acceder a una amplia variedad de servicios. Si bien el tercero puede recopilar datos de esta transacción, no podrá ver su contraseña de redes sociales.
"En general, registrarse con un inicio de sesión social no es necesariamente más o menos seguro que simplemente registrarse con un correo electrónico y una contraseña", dice Paul Bischoff, especialista en privacidad de Comparitech , por correo electrónico. "Las aplicaciones y los sitios web más pequeños probablemente tengan menos seguridad que las grandes redes sociales, por lo que renunciar a entregar una contraseña y una dirección de correo electrónico a favor de un inicio de sesión social podría ser una opción más segura. Dicho esto, se sabe que los desarrolladores también abusan de los datos de inicio de sesión social. (ver: Cambridge Analytica )."
Algunas aplicaciones también pueden usar una cuenta vinculada para importar archivos útiles. Por ejemplo, Dropbox permite que las fotos se importen directamente desde Facebook al almacenamiento en la nube. Las suites de productividad como Zoom y Slack también se pueden sincronizar con el calendario de Google. Sin embargo, no necesariamente tiene que usar el inicio de sesión único para aprovechar estas funciones.
Los contras del inicio de sesión único
Las desventajas de SSO se reducen a preferencias personales y seguridad. Este método limita la elección de lo que se comparte durante el registro. Como se mencionó anteriormente, la aplicación puede obtener nombres, fotos e información de contacto, aunque es posible que haya ingresado muchas de esas cosas durante el registro, independientemente del método que use. En algunos casos, la nueva aplicación obtiene acceso a más información personal, como su edad, ubicación o intereses. Estos detalles pueden usarse para mostrarle anuncios personalizados o venderse a empresas de recopilación de datos .
"El uso de un inicio de sesión social crea una red de sitios que tienen un identificador compartido sobre usted. Ese identificador se puede usar para crear un perfil de publicidad compartido basado en su actividad en cada uno de los sitios", envía un correo electrónico a Dan Fritcher, director de tecnología de la nube de Sysfi. servicios _ "Con el tiempo, ese perfil crece más y más. Para la mayoría de las personas, no importará mucho, pero el riesgo es que no tenemos idea de para qué se usará en el futuro".
En última instancia, debe saber qué datos compartirá cada cuenta y decidir si se siente cómodo o no concediendo acceso. Por ejemplo, es más probable que un sitio que no ha construido su propia reputación de confianza tome su información de contacto y la venda a los estafadores por dinero rápido. Los sitios confiables tendrán documentación accesible que indica qué datos recopilan y exactamente cómo se pretende que se utilicen, lo que comúnmente se conoce como política de privacidad .
SSO también puede presentar más riesgos de seguridad cibernética que el registro regular. Si un pirata informático puede acceder a su inicio de sesión en las redes sociales a través de phishing o una filtración de contraseña, también podría tener rienda suelta sobre otras cuentas que registró con esa información. La cuenta también puede estar bloqueada, lo que bloquea el acceso a los sitios que utilizan el inicio de sesión único. Además, si Facebook o Google experimentan una interrupción del servicio , eso puede bloquear temporalmente la función SSO de ese servicio en todos los ámbitos.
Dicho esto, aquí hay un vistazo a las políticas de intercambio de datos de las empresas que probablemente ofrecerán SSO.
Política de uso compartido de datos de Facebook
Al igual que otros servicios, Facebook proporcionará su nombre, dirección de correo electrónico y foto de perfil cuando se inicie un inicio de sesión único. Sin embargo, Facebook también puede dar acceso a terceros a la información que etiqueta bajo el paraguas de " perfil público ". Básicamente, esto cubre todo lo que está disponible en su página de perfil, incluidos más detalles personales como su edad, sexo, fecha de nacimiento, estado civil, detalles familiares, pasatiempos y dispositivos utilizados. Incluso puede brindar información sobre su ciudad natal, su historia laboral y educativa, su religión y sus inclinaciones políticas.
Los datos que recopila Facebook son extensos y está más que dispuesto a compartir esos datos con terceros, como lo han demostrado los recientes escándalos y demandas . Sin embargo, parte de esta información se puede marcar como no pública mediante las opciones de privacidad de Facebook .
Política de Google
Como mínimo, Google compartirá su nombre, dirección de correo electrónico y foto de perfil con el tercero durante el inicio de sesión único. Algunas aplicaciones también pueden intentar recuperar archivos, fotos, mensajes o eventos de calendario almacenados en su Google Drive. Sin embargo, tendrán que solicitar específicamente esos permisos para poder acceder.
Política de Twitter
Las aplicaciones registradas a través de Twitter tendrán acceso de lectura, que incluye nombre de pantalla, foto de perfil, biografía, ubicación general, idioma preferido y zona horaria. La aplicación también puede ver todos sus análisis de tweets, así como listas de seguidores, silenciados y bloqueados. Por otro lado, Twitter no comparte su dirección de correo electrónico durante el inicio de sesión, a menos que se solicite específicamente.
Política de Apple
El proceso SSO de Apple es único en comparación con otros. Cuando se inicia el registro, el nombre y el correo electrónico se comparten con la aplicación de terceros. Sin embargo, los usuarios tienen la opción de editar su nombre antes de enviarlo. También pueden optar por ocultar su dirección de correo electrónico, momento en el que Apple generará una dirección ficticia que se reenviará automáticamente a su cuenta. El reenvío también se puede desactivar en el futuro para evitar el spam, si es necesario. La autenticación de dos factores también es un requisito para iniciar sesión con Apple. La compañía dice que no recopila ningún dato sobre su interacción con la aplicación.
Qué hacer con SSO
Si planea usar el inicio de sesión único, tenga en cuenta qué información se transfiere. Si le ofrecen una selección de empresas, opte por el servicio que compartirá la menor cantidad de datos. Según la información que se comparte y sobre lo que los usuarios tienen control, Apple parece ser uno de los mejores servicios para usar cuando se trata de SSO. Puede crear una cuenta de Apple incluso si no tiene ningún dispositivo Apple .
O podrías optar por Twitter como prefiere Bischoff. "En comparación con otras redes en las que almaceno mucha información y datos privados, casi todo lo relacionado con mi cuenta de Twitter es público, por lo que no hay muchos más datos que una aplicación pueda recopilar si inicia sesión en Twitter", dice. Sin embargo, no todas las aplicaciones tendrán todas las opciones de inicio de sesión disponibles.
También debe reforzar la seguridad de sus redes sociales habilitando la autenticación de dos factores , que genera un código de acceso temporal que se enviará a su correo electrónico o número de teléfono personal. Este es uno de los métodos más rápidos y efectivos para evitar el acceso en línea no deseado, y también tendrá el beneficio adicional de proteger sus cuentas de inicio de sesión único. La práctica más segura es crear contraseñas únicas para cada servicio que utilice, y un administrador de contraseñas encriptadas será útil para realizar un seguimiento de todas ellas.
Ahora eso es útil
Una alternativa segura al SSO es un administrador de contraseñas dedicado como 1Password . Este programa almacena todos sus datos de inicio de sesión en una carpeta cifrada a la que solo se puede acceder con una "contraseña maestra" establecida por el usuario. Esta clave maestra solo se almacena localmente, sin conexión, lo que hace que sea prácticamente imposible que los piratas informáticos obtengan los datos sin acceso físico a su computadora. Muchos navegadores web también proporcionan administradores de contraseñas integrados , utilizando sus propios métodos de encriptación.