Quando você estiver pensando em criar uma nova conta para um site, é provável que você tenha a opção de usar sua conta existente do Facebook , Google ou outra conta como login. Esse método é comumente conhecido como logon único (SSO) . A conectividade do Facebook e do Google são as ofertas mais comuns, mas alguns serviços também adicionam contas da Apple, Twitter e LinkedIn .
A questão é: você deve usar uma dessas contas existentes para fazer login neste novo site ou se dar ao trabalho de criar uma nova conta com seu endereço de e-mail?
O método de logon único pode fazer com que você se inscreva em um novo serviço muito rapidamente. No entanto, oferece menos controle sobre quais informações são compartilhadas quando a conta é ativada. Suas credenciais de mídia social provavelmente compartilharão coisas como seu endereço de e-mail, nome e foto de perfil no aplicativo, e ele poderá acessar mais detalhes pessoais, como sua data de nascimento e número de telefone. O que é ou não compartilhado, em última análise, se resume às políticas da conta preexistente e da conta que está sendo registrada. O aplicativo também deve fornecer texto deixando claro o que é compartilhado durante o processo de inscrição.
Para resolver todos os detalhes, contamos com a ajuda dos especialistas em segurança cibernética Paul Bischoff e Dan Fritcher para fornecer informações sobre como essa tecnologia de SSO funciona. Também descreveremos como Google, Facebook, Apple e Twitter lidam com terceiros que acessam seus dados por meio deles.
As vantagens do logon único
O principal ponto de venda do SSO é simplesmente economizar tempo e conveniência. Ele ignora o longo processo de registro de preenchimento de formulários e campos, pois essas informações provavelmente podem ser extraídas de sua conta de mídia social. Também reduz o incômodo de acompanhar nomes de usuários e senhas e quais correspondem a quais. Após o enésimo registro da conta, isso pode parecer uma tarefa quase impossível. Sua conta preexistente atua como uma chave que pode ser usada para acessar uma ampla variedade de serviços. Embora o terceiro possa coletar dados dessa transação, ele não poderá ver sua senha de mídia social.
"No geral, inscrever-se com um login social não é necessariamente mais ou menos seguro do que apenas se inscrever com um e-mail e senha", diz Paul Bischoff, especialista em privacidade da Comparitech , por e-mail. "Aplicativos e sites menores provavelmente têm menos segurança do que grandes redes sociais, portanto, abrir mão de uma senha e endereço de e-mail em favor de um login social pode ser uma opção mais segura. Dito isso, os desenvolvedores são conhecidos por abusar dos dados de login social também. (ver: Cambridge Analytica )."
Alguns aplicativos também podem usar uma conta vinculada para importar arquivos úteis. Por exemplo, o Dropbox permite que as fotos sejam importadas diretamente do Facebook para o armazenamento em nuvem. Pacotes de produtividade como Zoom e Slack também podem ser sincronizados com o calendário do Google. No entanto, você não precisa necessariamente usar o logon único para aproveitar essas funções.
Os contras do logon único
As desvantagens do SSO se resumem a preferências pessoais e segurança. Este método limita a escolha do que é compartilhado durante o registro. Como mencionado anteriormente, o aplicativo pode ter permissão para raspar nomes, fotos e informações de contato, embora você possa ter inserido muitas dessas coisas durante a inscrição, independentemente do método usado. Em alguns casos, o novo aplicativo obtém acesso a mais informações pessoais, como idade, localização ou interesses. Esses detalhes podem ser usados para veicular anúncios personalizados ou vendidos para empresas de coleta de dados .
"Usar um login social cria uma rede de sites que mantêm um identificador compartilhado em você. Esse identificador pode ser usado para criar um perfil de publicidade compartilhado com base em sua atividade em cada um dos sites", envia um e-mail a Dan Fritcher, diretor de tecnologia da Sysfi cloud serviços . "Com o tempo, esse perfil cresce cada vez mais. Para a maioria das pessoas, isso não importa muito, mas o risco é que não temos ideia de para que será usado no futuro."
Por fim, você deve estar ciente de quais dados cada conta compartilhará e decidir se concorda ou não em conceder acesso. Por exemplo, um site que não construiu sua própria reputação confiável pode ter mais chances de pegar suas informações de contato e vendê-las para golpistas por um dinheirinho rápido. Os sites confiáveis terão documentação acessível mostrando quais dados eles coletam e exatamente como eles devem ser usados, comumente conhecido como política de privacidade .
O SSO também pode apresentar mais riscos de segurança cibernética do que o registro regular. Se um hacker conseguir obter seu login de mídia social por meio de phishing ou vazamento de senha, ele também poderá ter domínio livre sobre outras contas que você registrou usando essas informações. A conta também pode ser bloqueada, bloqueando o acesso a sites que usaram o logon único. Além disso, se o Facebook ou o Google sofrerem uma interrupção do serviço , isso poderá travar temporariamente a função SSO desse serviço em geral.
Com isso dito, veja as políticas de compartilhamento de dados das empresas com maior probabilidade de oferecer SSO.
Política de compartilhamento de dados do Facebook
Assim como outros serviços, o Facebook fornecerá seu nome, endereço de e-mail e foto de perfil quando um login único for iniciado. No entanto, o Facebook também pode dar a terceiros acesso a informações que rotula sob o guarda-chuva " perfil público ". Isso abrange essencialmente tudo o que é disponibilizado em sua página de perfil, incluindo mais detalhes pessoais, como idade, sexo, data de nascimento, status de relacionamento, detalhes da família, hobbies e dispositivos usados. Pode até servir para coisas como sua cidade natal, história de trabalho e educação, religião e inclinações políticas.
Os dados que o Facebook coleta são extensos e está mais do que disposto a compartilhar esses dados com terceiros, como recentes escândalos e ações judiciais mostraram. No entanto, algumas dessas informações podem ser sinalizadas como não públicas usando as opções de privacidade do Facebook .
Política do Google
No mínimo, o Google compartilhará seu nome, endereço de e-mail e foto de perfil com terceiros durante o logon único. Alguns aplicativos também podem tentar recuperar arquivos, fotos, mensagens ou eventos da agenda armazenados em seu Google Drive. No entanto, eles terão que solicitar especificamente essas permissões para obter acesso.
Política do Twitter
Apps registered through Twitter will be granted read access, which includes screen name, profile photo, bio, general location, preferred language and time zone. The app can also see all your tweet analytics, as well as follower, mute and block lists. On the other hand, Twitter does not share your email address during sign-on, unless specifically requested.
Apple's Policy
Apple's SSO process is unique compared to others. When the registry is initiated, name and email are shared with the third-party app. However, users have the option of editing their name before it's sent. They can also choose to hide their email address, at which point Apple will generate a dummy address which automatically forwards back to your account. Forwarding can also be turned off in the future to prevent spam, if needed. Two factor authentication is also a requirement to sign in with Apple. The company says it doesn't collect any data about your interaction with the app.
What to Do About SSO
If you plan on using single sign-on, be aware what info gets carried over. If you are offered a choice of companies, go with the service that will share the least amount of data. Based on what information is shared, and what users have control over, Apple appears to be one of the best services to use when it comes to SSO. You can create an Apple account even if you don't have any Apple devices.
Or you could opt for Twitter as Bischoff prefers. "Compared to other networks where I store a lot of private information and data, almost everything related to my Twitter account is public, so there's not much more data an app can glean from you logging in with Twitter," he says. However, not every app will have every sign-on option available.
You should also beef up your social media security by enabling two factor authentication, which generates a temporary passcode to be sent to your personal email or phone number. This is one of the quickest and most effective methods to prevent unwanted online access, and it will have the added benefit of protecting your single sign-on accounts as well. The most secure practice is to create unique passwords for every service you use, and an encrypted password manager will be useful in keeping track of all of them.
Now That's Useful
Uma alternativa segura ao SSO é um gerenciador de senhas dedicado, como o 1Password . Este programa armazena todos os seus dados de login em uma pasta criptografada que só pode ser acessada com uma "senha mestra" definida pelo usuário. Essa chave mestra só é armazenada localmente, offline, tornando praticamente impossível para hackers obterem os dados sem acesso físico ao seu computador. Muitos navegadores da Web também fornecem gerenciadores de senhas integrados , usando seus próprios métodos de criptografia.