Saat Anda mempertimbangkan untuk membuat akun baru untuk situs web, kemungkinan Anda akan diberikan opsi untuk menggunakan akun Facebook , Google , atau akun lain yang ada sebagai masuk. Cara ini biasa dikenal dengan single sign-on (SSO) . Konektivitas Facebook dan Google adalah penawaran paling umum tetapi beberapa layanan menambahkan akun Apple, Twitter , dan LinkedIn juga.
Pertanyaannya adalah, haruskah Anda menggunakan salah satu akun yang ada untuk masuk ke situs web baru ini, atau bersusah payah membuat akun baru dengan alamat email Anda?
Metode single sign-on dapat membuat Anda mendaftar ke layanan baru dengan sangat cepat. Namun, itu memberi Anda sedikit kendali atas informasi apa yang dibagikan saat akun diaktifkan. Kredensial media sosial Anda kemungkinan akan membagikan hal-hal seperti alamat email, nama, dan foto profil Anda ke aplikasi, dan mungkin dapat mengakses lebih banyak detail pribadi seperti tanggal lahir dan nomor telepon Anda. Apa yang dibagikan atau tidak pada akhirnya tergantung pada kebijakan akun yang sudah ada sebelumnya, dan akun yang didaftarkan. Aplikasi juga harus menyediakan teks yang menjelaskan apa yang dibagikan selama proses pendaftaran.
Untuk menyelesaikan semua detail, kami telah meminta bantuan pakar keamanan siber Paul Bischoff dan Dan Fritcher untuk memberikan wawasan tentang cara kerja teknologi SSO ini. Kami juga akan menjelaskan bagaimana Google, Facebook, Apple, dan Twitter menangani pihak ketiga yang mengakses data Anda melalui mereka.
Kelebihan Sistem Masuk Tunggal
Nilai jual utama SSO adalah menghemat waktu dan kenyamanan. Ini melewatkan proses pendaftaran yang panjang untuk mengisi formulir dan bidang, karena informasi itu kemungkinan dapat ditarik dari akun media sosial Anda. Ini juga mengurangi kerumitan yang datang dengan melacak nama pengguna dan kata sandi, dan mana yang cocok dengan yang mana. Setelah pendaftaran akun yang kesekian kalinya, itu tampak seperti tugas yang hampir mustahil. Akun Anda yang sudah ada sebelumnya bertindak sebagai kunci yang dapat digunakan untuk mengakses berbagai layanan. Meskipun pihak ketiga dapat mengumpulkan data dari transaksi ini, mereka tidak akan dapat melihat kata sandi media sosial Anda.
"Secara keseluruhan, mendaftar dengan login sosial tidak selalu lebih atau kurang aman daripada hanya mendaftar dengan email dan kata sandi," kata Paul Bischoff, spesialis privasi untuk Comparitech , melalui email. "Aplikasi dan situs web yang lebih kecil mungkin memiliki keamanan yang lebih rendah daripada jejaring sosial besar, jadi menyerahkan kata sandi dan alamat email sebelumnya untuk login sosial bisa menjadi pilihan yang lebih aman. Meskipun demikian, pengembang diketahui menyalahgunakan data login sosial juga. (lihat: Cambridge Analytica )."
Beberapa aplikasi juga dapat menggunakan akun tertaut untuk mengimpor file yang berguna. Misalnya, Dropbox memungkinkan foto diimpor langsung dari Facebook ke penyimpanan cloud. Rangkaian produktivitas seperti Zoom dan Slack juga dapat disinkronkan dengan kalender Google. Namun, Anda tidak perlu menggunakan sistem masuk tunggal untuk memanfaatkan fungsi ini.
Kekurangan Sistem Masuk Tunggal
Kerugian dari SSO semuanya bermuara pada preferensi dan keamanan pribadi. Metode ini membatasi pilihan apa yang dibagikan selama pendaftaran. Seperti yang disebutkan sebelumnya, aplikasi mungkin diizinkan untuk mengikis nama, foto, dan info kontak, meskipun Anda mungkin telah memasukkan banyak hal itu selama pendaftaran, terlepas dari metode mana yang Anda gunakan. Dalam beberapa kasus, aplikasi baru mendapatkan akses ke lebih banyak info pribadi seperti usia, lokasi, atau minat Anda. Rincian ini kemudian dapat digunakan untuk menayangkan iklan yang dipersonalisasi kepada Anda , atau dijual ke perusahaan pengumpulan data .
"Menggunakan login sosial membuat jaringan situs yang menyimpan pengenal bersama pada Anda. Pengidentifikasi itu dapat digunakan untuk membuat profil iklan bersama berdasarkan aktivitas Anda di setiap situs," email Dan Fritcher, chief technology officer Sysfi cloud layanan . "Seiring waktu, profil itu tumbuh lebih besar dan lebih besar. Bagi kebanyakan orang, itu tidak masalah, tetapi risikonya adalah kita tidak tahu akan digunakan untuk apa di masa depan."
Pada akhirnya, Anda harus mengetahui data apa yang akan dibagikan setiap akun dan memutuskan apakah Anda merasa nyaman dengan memberikan akses atau tidak. Misalnya, situs yang belum membangun reputasi tepercayanya sendiri mungkin lebih cenderung mengambil info kontak Anda dan menjualnya ke scammers untuk mendapatkan uang dengan cepat. Situs tepercaya akan memiliki dokumentasi yang dapat diakses yang memetakan data apa yang mereka kumpulkan, dan bagaimana tepatnya data itu dimaksudkan untuk digunakan, umumnya dikenal sebagai kebijakan privasi .
SSO juga dapat menghadirkan lebih banyak risiko keamanan siber daripada pendaftaran reguler. Jika seorang peretas bisa mendapatkan login media sosial Anda melalui phishing atau kebocoran kata sandi, maka mereka juga dapat memiliki kendali bebas atas akun lain yang Anda daftarkan menggunakan info itu. Akun juga dapat dikunci, memblokir akses ke situs yang menggunakan sistem masuk tunggal. Selain itu, Jika Facebook atau Google mengalami penghentian layanan , itu dapat membuat fungsi SSO layanan tersebut mogok untuk sementara waktu.
Dengan demikian, berikut ini adalah kebijakan berbagi data dari perusahaan yang kemungkinan besar akan menawarkan SSO.
Kebijakan Berbagi Data Facebook
Seperti layanan lainnya, Facebook akan memberikan nama, alamat email, dan foto profil Anda saat sistem masuk tunggal dimulai. Namun, Facebook juga dapat memberikan akses pihak ketiga ke informasi yang diberi label di bawah payung " profil publik ". Ini pada dasarnya mencakup apa pun yang tersedia di halaman profil Anda, termasuk lebih banyak detail pribadi seperti usia, jenis kelamin, tanggal lahir, status hubungan, detail keluarga, hobi, dan perangkat yang digunakan. Bahkan mungkin melayani hal-hal seperti kampung halaman Anda, pekerjaan dan sejarah pendidikan, agama dan kecenderungan politik.
Data yang dikumpulkan Facebook sangat luas, dan lebih dari bersedia untuk membagikan data itu dengan pihak ketiga, seperti yang ditunjukkan oleh skandal dan tuntutan hukum baru -baru ini. Namun, beberapa info ini dapat ditandai sebagai non-publik menggunakan opsi privasi Facebook .
Kebijakan Google
Minimal, Google akan membagikan nama, alamat email, dan foto profil Anda dengan pihak ketiga selama sistem masuk tunggal. Beberapa aplikasi mungkin juga mencoba mengambil file, foto, pesan, atau acara kalender yang disimpan di Google Drive Anda. Namun, mereka harus secara khusus meminta izin tersebut untuk diberikan akses.
Kebijakan Twitter
Aplikasi yang terdaftar melalui Twitter akan diberikan akses baca, yang mencakup nama layar, foto profil, bio, lokasi umum, bahasa pilihan, dan zona waktu. Aplikasi ini juga dapat melihat semua analitik tweet Anda, serta daftar pengikut, bisu, dan blokir. Di sisi lain, Twitter tidak membagikan alamat email Anda saat masuk, kecuali jika diminta secara khusus.
Kebijakan Apple
Proses SSO Apple unik dibandingkan dengan yang lain. Saat registri dimulai, nama dan email dibagikan dengan aplikasi pihak ketiga. Namun, pengguna memiliki opsi untuk mengedit nama mereka sebelum dikirim. Mereka juga dapat memilih untuk menyembunyikan alamat email mereka, di mana Apple akan membuat alamat palsu yang secara otomatis meneruskan kembali ke akun Anda. Penerusan juga dapat dimatikan di masa mendatang untuk mencegah spam, jika diperlukan. Otentikasi dua faktor juga merupakan persyaratan untuk masuk dengan Apple. Perusahaan mengatakan tidak mengumpulkan data apa pun tentang interaksi Anda dengan aplikasi.
Apa yang Harus Dilakukan Tentang SSO
Jika Anda berencana menggunakan sistem masuk tunggal, perhatikan info apa yang terbawa. Jika Anda ditawari pilihan perusahaan, gunakan layanan yang akan membagikan jumlah data paling sedikit. Berdasarkan informasi apa yang dibagikan, dan apa yang dapat dikontrol pengguna, Apple tampaknya menjadi salah satu layanan terbaik untuk digunakan dalam hal SSO. Anda dapat membuat akun Apple meskipun tidak memiliki perangkat Apple .
Atau Anda dapat memilih Twitter seperti yang diinginkan Bischoff. "Dibandingkan dengan jaringan lain tempat saya menyimpan banyak informasi dan data pribadi, hampir semua yang terkait dengan akun Twitter saya bersifat publik, jadi tidak banyak lagi data yang dapat dikumpulkan aplikasi dari Anda masuk dengan Twitter," katanya. Namun, tidak setiap aplikasi akan memiliki setiap opsi masuk yang tersedia.
Anda juga harus meningkatkan keamanan media sosial Anda dengan mengaktifkan otentikasi dua faktor , yang menghasilkan kode sandi sementara untuk dikirim ke email atau nomor telepon pribadi Anda. Ini adalah salah satu metode tercepat dan paling efektif untuk mencegah akses online yang tidak diinginkan, dan ini akan memiliki manfaat tambahan untuk melindungi akun sistem masuk tunggal Anda juga. Praktik yang paling aman adalah membuat kata sandi unik untuk setiap layanan yang Anda gunakan, dan pengelola kata sandi terenkripsi akan berguna untuk melacak semuanya.
Sekarang Itu Berguna
Salah satu alternatif aman untuk SSO adalah pengelola kata sandi khusus seperti 1Password . Program ini menyimpan semua data login Anda dalam folder terenkripsi yang hanya dapat diakses dengan "kata sandi utama" yang ditetapkan oleh pengguna. Kunci master ini hanya disimpan secara lokal, offline, sehingga hampir mustahil bagi peretas untuk mendapatkan data tanpa akses fisik ke komputer Anda. Banyak browser web juga menyediakan pengelola kata sandi bawaan , menggunakan metode enkripsi mereka sendiri.
