Quando stai pensando di creare un nuovo account per un sito Web, è probabile che ti venga data la possibilità di utilizzare il tuo account Facebook , Google o altro esistente come accesso. Questo metodo è comunemente noto come Single Sign-On (SSO) . La connettività Facebook e Google sono le offerte più comuni, ma alcuni servizi aggiungono anche account Apple, Twitter e LinkedIn .
La domanda è: dovresti utilizzare uno di quegli account esistenti per accedere a questo nuovo sito Web o dedicarti alla creazione di un nuovo account con il tuo indirizzo email?
Il metodo single sign-on ti consente di iscriverti a un nuovo servizio molto rapidamente. Tuttavia, ti dà meno controllo su quali informazioni vengono condivise quando l'account viene attivato. Le tue credenziali sui social media probabilmente condivideranno cose come il tuo indirizzo e-mail, nome e foto del profilo sull'app e potrebbe essere in grado di accedere a dettagli più personali come la tua data di nascita e numero di telefono. Ciò che viene condiviso o meno alla fine dipende dalle politiche sia dell'account preesistente che di quello per cui si è registrati. L'app dovrebbe anche fornire un testo che chiarisca ciò che viene condiviso durante il processo di registrazione.
Per chiarire tutti i dettagli, abbiamo chiesto l'aiuto degli esperti di sicurezza informatica Paul Bischoff e Dan Fritcher per fornire informazioni su come funziona questa tecnologia SSO. Descriveremo anche come Google, Facebook, Apple e Twitter gestiscono le terze parti che accedono ai tuoi dati attraverso di loro.
I vantaggi del Single Sign-On
Il principale punto di forza di SSO è semplicemente il risparmio di tempo e convenienza. Salta il lungo processo di registrazione della compilazione di moduli e campi, poiché è probabile che tali informazioni possano essere estratte dal tuo account di social media. Riduce anche il fastidio che deriva dal tenere traccia di nomi utente e password e quali corrispondono a quali. Dopo l'ennesima registrazione dell'account, può sembrare un compito quasi impossibile. Il tuo account preesistente funge da chiave che può essere utilizzata per accedere a un'ampia varietà di servizi. Sebbene la terza parte sia in grado di raccogliere dati da questa transazione, non sarà in grado di vedere la tua password di social media.
"Nel complesso, la registrazione con un accesso social non è necessariamente più o meno sicura della semplice registrazione con un'e-mail e una password", afferma via e-mail Paul Bischoff, specialista della privacy di Comparitech . "Le app e i siti Web più piccoli probabilmente hanno meno sicurezza rispetto ai grandi social network, quindi rinunciare a consegnare una password e un indirizzo e-mail a favore di un accesso social potrebbe essere un'opzione più sicura. Detto questo, è noto che gli sviluppatori abusano anche dei dati di accesso social (vedi: Cambridge Analytica )."
Alcune app possono anche utilizzare un account collegato per importare file utili. Ad esempio, Dropbox consente di importare le foto direttamente da Facebook nel cloud storage. Le suite di produttività come Zoom e Slack possono anche essere sincronizzate con il calendario di Google. Tuttavia, non è necessario utilizzare il Single Sign-On per sfruttare queste funzioni.
I contro del Single Sign-On
Gli svantaggi di SSO si riducono tutti alle preferenze e alla sicurezza personali. Questo metodo limita la scelta di ciò che viene condiviso durante la registrazione. Come accennato in precedenza, l'app potrebbe essere autorizzata a raschiare nomi, foto e informazioni di contatto, anche se potresti aver inserito molte di queste cose durante la registrazione, indipendentemente dal metodo utilizzato. In alcuni casi, la nuova app ottiene l'accesso a informazioni più personali come età, posizione o interessi. Questi dettagli possono quindi essere utilizzati per offrirti annunci personalizzati o venduti a società di raccolta dati .
"L'utilizzo di un accesso social crea una rete di siti che contengono un identificatore condiviso su di te. Tale identificatore può essere utilizzato per creare un profilo pubblicitario condiviso basato sulla tua attività su ciascuno dei siti", invia un'e-mail Dan Fritcher, chief technology officer di Sysfi cloud servizi . "Nel tempo, quel profilo diventa sempre più grande. Per la maggior parte delle persone, non importerà molto, ma il rischio è che non abbiamo idea di cosa verrà utilizzato in futuro".
In definitiva, dovresti essere consapevole di quali dati condividerà ciascun account e decidere se ti senti a tuo agio con la concessione dell'accesso. Ad esempio, un sito che non ha costruito una propria reputazione di fiducia potrebbe avere maggiori probabilità di prendere le tue informazioni di contatto e venderle a truffatori per un soldo veloce. I siti affidabili disporranno di una documentazione accessibile che illustra quali dati raccolgono e esattamente come devono essere utilizzati, comunemente nota come politica sulla privacy .
SSO può anche presentare più rischi per la sicurezza informatica rispetto alla normale registrazione. Se un hacker è in grado di entrare in possesso del tuo accesso ai social media tramite phishing o una perdita di password, potrebbe anche avere libero sfogo su altri account che hai registrato utilizzando tali informazioni. L'account potrebbe anche essere bloccato, bloccando l'accesso ai siti che utilizzavano il Single Sign-On. Inoltre, se Facebook o Google riscontrano un'interruzione del servizio , ciò può causare il blocco temporaneo della funzione SSO di quel servizio su tutta la linea.
Detto questo, diamo uno sguardo alle politiche di condivisione dei dati delle aziende che molto probabilmente offriranno SSO.
Politica di condivisione dei dati di Facebook
Come altri servizi, Facebook fornirà il tuo nome, indirizzo e-mail e foto del profilo quando viene avviato un single sign-on. Tuttavia, Facebook può anche consentire a terzi l'accesso alle informazioni che etichetta sotto l' ombrello " profilo pubblico ". Ciò copre essenzialmente tutto ciò che è reso disponibile sulla pagina del tuo profilo, inclusi dettagli più personali come età, sesso, data di nascita, stato della relazione, dettagli sulla famiglia, hobby e dispositivi utilizzati. Può anche servire cose come la tua città natale, la storia del lavoro e dell'istruzione, la religione e le tendenze politiche.
I dati raccolti da Facebook sono vasti ed è più che disposto a condividere tali dati con terze parti, come hanno dimostrato recenti scandali e cause legali . Tuttavia, alcune di queste informazioni possono essere contrassegnate come non pubbliche utilizzando le opzioni sulla privacy di Facebook .
Politica di Google
Come minimo, Google condividerà il tuo nome, indirizzo email e foto del profilo con la terza parte durante il single sign-on. Alcune app potrebbero anche tentare di recuperare file, foto, messaggi o eventi del calendario archiviati su Google Drive. Tuttavia, dovranno richiedere specificamente tali autorizzazioni per ottenere l'accesso.
Politica di Twitter
Alle app registrate tramite Twitter verrà concesso l'accesso in lettura, che include nome utente, foto del profilo, biografia, posizione generale, lingua preferita e fuso orario. L'app può anche vedere tutte le analisi dei tuoi tweet, nonché elenchi di follower, muti e bloccati. Twitter, invece, non condivide il tuo indirizzo e-mail durante l'accesso, se non espressamente richiesto.
La politica di Apple
Il processo SSO di Apple è unico rispetto ad altri. Quando il registro viene avviato, il nome e l'e-mail vengono condivisi con l'app di terze parti. Tuttavia, gli utenti hanno la possibilità di modificare il proprio nome prima che venga inviato. Possono anche scegliere di nascondere il loro indirizzo e-mail, a quel punto Apple genererà un indirizzo fittizio che reindirizza automaticamente al tuo account. L'inoltro può anche essere disattivato in futuro per prevenire lo spam, se necessario. Anche l'autenticazione a due fattori è un requisito per accedere con Apple. La società afferma di non raccogliere alcun dato sulla tua interazione con l'app.
Cosa fare con SSO
Se prevedi di utilizzare il Single Sign-On, tieni presente quali informazioni vengono trasferite. Se ti viene offerta una scelta di aziende, scegli il servizio che condividerà la minor quantità di dati. In base a quali informazioni vengono condivise e su ciò su cui gli utenti hanno il controllo, Apple sembra essere uno dei migliori servizi da utilizzare quando si tratta di SSO. Puoi creare un account Apple anche se non hai dispositivi Apple .
Oppure potresti optare per Twitter come preferisce Bischoff. "Rispetto ad altre reti in cui memorizzo molte informazioni e dati privati, quasi tutto ciò che riguarda il mio account Twitter è pubblico, quindi non ci sono molti più dati che un'app può raccogliere dal tuo accesso con Twitter", afferma. Tuttavia, non tutte le app avranno tutte le opzioni di accesso disponibili.
Dovresti anche rafforzare la tua sicurezza sui social media abilitando l'autenticazione a due fattori , che genera un passcode temporaneo da inviare alla tua email personale o numero di telefono. Questo è uno dei metodi più rapidi ed efficaci per prevenire l'accesso online indesiderato e avrà l'ulteriore vantaggio di proteggere anche i tuoi account Single Sign-On. La pratica più sicura è creare password univoche per ogni servizio che utilizzi e un gestore di password crittografato sarà utile per tenerne traccia.
Ora è utile
Un'alternativa sicura a SSO è un gestore di password dedicato come 1Password . Questo programma memorizza tutti i tuoi dati di accesso in una cartella crittografata a cui è possibile accedere solo con una "password principale" impostata dall'utente. Questa chiave principale viene archiviata solo localmente, offline, rendendo praticamente impossibile per gli hacker ottenere i dati senza l'accesso fisico al tuo computer. Molti browser Web forniscono anche gestori di password integrati , utilizzando i propri metodi di crittografia.