웹사이트에 대한 새 계정을 만드는 것을 고려할 때 기존 Facebook , Google 또는 기타 계정을 로그인으로 사용할 수 있는 옵션이 제공될 수 있습니다 . 이 방법은 일반적으로 싱글 사인온 (SSO) 으로 알려져 있습니다. Facebook 및 Google 연결이 가장 일반적인 제안이지만 일부 서비스에는 Apple, Twitter 및 LinkedIn 계정도 추가됩니다.
문제는 기존 계정 중 하나를 사용하여 이 새 웹사이트에 로그인해야 합니까, 아니면 이메일 주소로 새 계정을 만드는 데 어려움을 겪을 것인가입니다.
SSO(Single Sign-On) 방법을 사용하면 새 서비스에 정말 빨리 등록할 수 있습니다. 그러나 계정이 활성화될 때 공유되는 정보에 대한 제어 권한이 줄어듭니다. 소셜 미디어 자격 증명은 이메일 주소, 이름 및 프로필 사진과 같은 정보를 앱과 공유할 수 있으며 생일 및 전화 번호와 같은 더 많은 개인 정보에 액세스할 수 있습니다. 공유되거나 공유되지 않는 것은 궁극적으로 기존 계정과 가입 중인 계정의 정책에 따라 결정됩니다. 앱은 또한 가입 과정에서 공유되는 내용을 명확히 하는 텍스트를 제공해야 합니다.
모든 세부 사항을 정리하기 위해 사이버 보안 전문가 Paul Bischoff와 Dan Fritcher의 도움을 받아 이 SSO 기술이 작동하는 방식에 대한 통찰력을 얻었습니다. 또한 Google, Facebook, Apple 및 Twitter가 타사를 통해 데이터에 액세스하는 타사를 처리하는 방법에 대해서도 설명합니다.
싱글 사인온의 장점
SSO의 주요 판매 포인트는 단순히 시간과 편의성을 절약하는 것입니다. 소셜 미디어 계정에서 정보를 가져올 수 있으므로 양식 및 필드를 작성하는 긴 등록 프로세스를 건너뜁니다. 또한 사용자 이름과 암호를 추적하고 어떤 것이 어떤 것과 일치하는지 추적하는 번거로움을 줄입니다. 열 번째 계정 등록 후에는 거의 불가능한 작업처럼 보일 수 있습니다. 기존 계정은 다양한 서비스에 액세스하는 데 사용할 수 있는 키 역할을 합니다. 제3자는 이 거래에서 데이터를 수집할 수 있지만 소셜 미디어 비밀번호는 볼 수 없습니다.
Comparitech 의 개인 정보 보호 전문가인 Paul Bischoff는 이메일을 통해 "전반적으로 소셜 로그인으로 가입하는 것이 단순히 이메일과 비밀번호로 가입하는 것보다 더 안전하거나 덜 안전한 것은 아닙니다."라고 말합니다 . "작은 앱과 웹 사이트는 큰 소셜 네트워크보다 보안이 취약할 수 있으므로 소셜 로그인을 위해 비밀번호와 이메일 주소를 넘겨주는 것이 더 안전한 옵션일 수 있습니다. 하지만 개발자는 소셜 로그인 데이터도 남용하는 것으로 알려져 있습니다. (참조: Cambridge Analytica )."
일부 앱은 연결된 계정을 사용하여 유용한 파일을 가져올 수도 있습니다. 예를 들어 Dropbox를 사용하면 Facebook에서 클라우드 스토리지로 사진을 직접 가져올 수 있습니다. Zoom 및 Slack 과 같은 생산성 제품군 도 Google 캘린더와 동기화할 수 있습니다. 그러나 이러한 기능을 활용하기 위해 반드시 싱글 사인온을 사용할 필요는 없습니다.
싱글 사인온의 단점
SSO의 단점은 모두 개인의 취향과 보안에 있습니다. 이 방법 은 등록 중에 공유되는 항목 의 선택을 제한합니다 . 앞서 언급했듯이 앱에서 이름, 사진 및 연락처 정보를 긁어내는 것이 허용될 수 있지만 어떤 방법을 사용하든 가입하는 동안 이러한 항목을 많이 입력했을 수 있습니다. 경우에 따라 새 앱에서 나이, 위치 또는 관심사와 같은 더 많은 개인 정보에 액세스할 수 있습니다. 이러한 세부 정보는 개인 맞춤 광고 를 제공하는 데 사용 되거나 데이터 수집 회사에 판매 될 수 있습니다 .
Sysfi 클라우드 의 최고 기술 책임자인 Dan Fritcher는 "소셜 로그인을 사용하면 공유 식별자를 보유하는 사이트 네트워크가 생성됩니다. 해당 식별자를 사용하여 각 사이트에서 사용자의 활동을 기반으로 공유 광고 프로필을 생성할 수 있습니다."라고 말했습니다. 서비스 . "시간이 지남에 따라 그 프로필은 점점 더 커지고 있습니다. 대부분의 사람들에게 그것은 별로 중요하지 않을 것이지만 위험은 그것이 미래에 무엇에 사용될지 알 수 없다는 것입니다."
궁극적으로 각 계정이 어떤 데이터를 공유할지 알고 있어야 하며 액세스 권한을 부여하는 것이 편리한지 여부를 결정해야 합니다. 예를 들어, 자체적으로 신뢰할 수 있는 평판을 구축하지 못한 사이트는 귀하의 연락처 정보를 가져 와서 빠른 돈을 위해 사기꾼에게 판매할 가능성이 더 높을 수 있습니다. 신뢰할 수 있는 사이트에는 수집하는 데이터와 일반적으로 개인정보 보호정책 으로 알려진 데이터가 정확히 어떻게 사용되는지에 대한 차트를 제공하는 액세스 가능한 문서가 있습니다 .
SSO는 또한 일반 등록 보다 사이버 보안 위험 이 더 높을 수 있습니다. 해커가 피싱 이나 비밀번호 유출 을 통해 소셜 미디어 로그인 정보를 얻을 수 있는 경우 해당 정보를 사용하여 등록한 다른 계정을 자유롭게 장악할 수도 있습니다. 계정이 잠겨 싱글 사인온을 사용한 사이트에 대한 액세스가 차단될 수도 있습니다. 또한 Facebook 또는 Google에서 서비스 중단 이 발생 하면 전반적으로 해당 서비스의 SSO 기능이 일시적으로 중단될 수 있습니다.
그런 의미에서 SSO를 제공할 가능성이 가장 높은 회사의 데이터 공유 정책을 살펴보겠습니다.
Facebook의 데이터 공유 정책
Like other services, Facebook will provide your name, email address, and profile photo when a single sign-on is initiated. However, Facebook can also give the third party access to information it labels under the "public profile" umbrella. This essentially covers anything that is made available on your profile page, including more personal details like your age, gender, birthdate, relationship status, family details, hobbies and devices used. It may even serve up things such as your hometown, work and education history, religion and political leanings.
The data that Facebook collects is extensive, and it's more than willing to share that data with third parties, as recent scandals and lawsuits have shown. However, some of this info can be flagged as non-public using Facebook's privacy options.
Google's Policy
At a minimum, Google will share your name, email address and profile photo with the third party during single sign-on. Some apps may also attempt to retrieve files, photos, messages, or calendar events stored on your Google Drive. However, they will have to specifically request those permissions to be granted access.
Twitter's Policy
Apps registered through Twitter will be granted read access, which includes screen name, profile photo, bio, general location, preferred language and time zone. The app can also see all your tweet analytics, as well as follower, mute and block lists. On the other hand, Twitter does not share your email address during sign-on, unless specifically requested.
Apple's Policy
Apple's SSO process is unique compared to others. When the registry is initiated, name and email are shared with the third-party app. However, users have the option of editing their name before it's sent. They can also choose to hide their email address, at which point Apple will generate a dummy address which automatically forwards back to your account. Forwarding can also be turned off in the future to prevent spam, if needed. Two factor authentication is also a requirement to sign in with Apple. The company says it doesn't collect any data about your interaction with the app.
What to Do About SSO
If you plan on using single sign-on, be aware what info gets carried over. If you are offered a choice of companies, go with the service that will share the least amount of data. Based on what information is shared, and what users have control over, Apple appears to be one of the best services to use when it comes to SSO. You can create an Apple account even if you don't have any Apple devices.
Or you could opt for Twitter as Bischoff prefers. "Compared to other networks where I store a lot of private information and data, almost everything related to my Twitter account is public, so there's not much more data an app can glean from you logging in with Twitter," he says. However, not every app will have every sign-on option available.
You should also beef up your social media security by enabling two factor authentication, which generates a temporary passcode to be sent to your personal email or phone number. This is one of the quickest and most effective methods to prevent unwanted online access, and it will have the added benefit of protecting your single sign-on accounts as well. The most secure practice is to create unique passwords for every service you use, and an encrypted password manager will be useful in keeping track of all of them.
Now That's Useful
One secure alternative to SSO is a dedicated password manager such as 1Password. This program stores all your login data in an encrypted folder that can only be accessed with a "master password" set by the user. This master key is only ever stored locally, offline, making it practically impossible for hackers to obtain the data without physical access to your computer. Many web browsers also provide built-in password managers, using their own methods of encryption.