Devriez-vous réfléchir deux fois avant de vous connecter à l'aide de comptes sociaux?

Publicité

C'est comme à chaque fois que vous vous inscrivez à un nouveau service, vous pouvez choisir de choisir un nom d'utilisateur et un mot de passe ou simplement vous connecter avec Facebook ou Twitter. La connexion avec votre compte Google est également souvent une option. C'est rapide et c'est facile. Mais faut-il le faire?

Comment ça marche?

La connexion à l'aide de votre compte social utilise un protocole appelé OAuth, qui (en bref) autorise une application ou un service (le demandeur ou service auquel vous vous inscrivez) pour vous connecter à un autre (le fournisseur de services ou le réseau existant que vous utilisez pour vous inscrire) et agir sur votre nom. Cela se fait en émettant des «jetons» à l'application demandeuse. Ces jetons fonctionnent un peu comme votre nom d'utilisateur et votre mot de passe, car ils donnent à l'application demandeuse l'accès à un service protégé par mot de passe (par exemple, Facebook).

L'important ici est que votre réel le nom d'utilisateur et le mot de passe ne sont jamais communiqués entre les applications, et que l'application demandeuse n'a accès qu'à une partie limitée de votre compte protégé par mot de passe.

Voyons un exemple rapide. Dites que vous utilisez Blurb pour transformer vos photos Facebook en livre Trois façons simples de transformer votre Facebook en un vrai livre [Astuce Facebook hebdomadaire]Avez-vous déjà voulu faire un véritable livre papier des choses que vous avez sur Facebook? Peut-être que vous avez des parents qui ne sont pas sur Facebook, mais que vous aimeriez voir les photos que vous avez ajoutées ... Lire la suite . Vous allez à Blurb (le demandeur) et lui dites que vous souhaitez imprimer des photos à partir de Facebook. Blurb vous redirige vers Facebook (le fournisseur de services), où vous entrez vos identifiants de connexion (envoyé directement à Facebook, pas à Blurb) et dites à Facebook que vous autorisez Blurb à accéder à votre Photos. Maintenant, Blurb peut télécharger ces photos afin qu'elles puissent être imprimées. Si Blurb essaie d'accéder à votre chronologie, il sera refusé, car le jeton qu'il possède ne lui donne accès qu'à vos photos et à votre profil public.

OAuth ne partage jamais votre nom d'utilisateur ou votre mot de passe avec l'application demandeuse, l'idée étant que la confidentialité de votre nom d'utilisateur et de votre mot de passe les sécurise. Et pour empêcher une application ou un service demandeur d'accéder à votre compte, il vous suffit de cliquer sur «révoquer l'accès» au lieu de modifier votre mot de passe.

Est-ce sûr?

D'accord, le processus semble donc assez simple jusqu'à présent. Mais est-ce sûr? Faut-il s'inquiéter de la sécurité des sites OAuth?

Du point de vue de la sécurité, OAuth semble plutôt bien. Le pire des cas n’entraîne toujours pas la révélation de vos mots de passe sociaux. Et la possibilité de révoquer instantanément l'accès à toute application dotée d'un jeton signifie que même si un site Web est piraté et que certains sont néfastes les personnages mettent la main sur toutes les données de jeton, vous pouvez simplement appuyer sur le bouton d'accès de révocation et ils n'auront pas accès à votre réseau social site.

Le fait que vous ne partagiez l'accès qu'à un sous-ensemble spécifique de données sur votre site social est également assez attrayant - si quelqu'un pirate Snapfish et accède à vos photos Facebook, ne vous inquiétez pas trop (tu sont attention aux photos que vous postez, non?).

Malgré la récente découverte dramatisée d'une faille de sécurité dans OAuth, le système est plutôt bon.

Cependant, la sécurité en ligne ne se limite pas au chiffrement et aux jetons. L'une des meilleures façons de vous assurer que vous êtes en sécurité en ligne est d'utiliser bonnes pratiques de mot de passe Guide de gestion des mots de passeNe vous sentez pas submergé par les mots de passe, ou utilisez simplement le même sur chaque site pour que vous vous en souveniez: concevez votre propre stratégie de gestion des mots de passe. Lire la suite . Et OAuth y contribue beaucoup. Comment? En vous connectant via Twitter ou Google, vous n'avez pas encore besoin de créer un autre mot de passe dont vous devez vous souvenir. Si vous avez un mot de passe Facebook très sécurisé, vous pouvez l'utiliser pour accéder à un certain nombre de choses sans utiliser le même mot de passe exact pour plus de sites.

Il s'agit d'un avantage distinct d'OAuth — et le fait que vous limitez le nombre de sites Web qui ont vos mots de passe est un gros plus.

Il est également important de mentionner que les sites accédant à vos profils sociaux ne peuvent entreprendre aucune action majeure. Ils ne sont pas en mesure de supprimer votre compte, de modifier votre mot de passe ou d'apporter d'autres modifications importantes. Ce qui est rassurant.

Quels risques prenez-vous?

Malheureusement, rien n'est simple en matière de sécurité et de sûreté en ligne. L'utilisation d'OAuth comporte certains risques, principalement liés à la confidentialité.

Par exemple, à quelle fréquence prenez-vous le temps d'examiner vraiment les autorisations que vous accordez lorsque vous utilisez Facebook Connect? Alors que les applications ne doivent demander l'accès qu'aux informations dont elles ont besoin pour mieux vous servir, elles demandent souvent beaucoup plus - votre chronologie, les informations de vos amis et la possibilité de publier, pour exemple.

Parfois, c'est une bonne chose: vous souhaiterez peut-être intégrer Twitter à votre application de contacts ou à un lecteur de nouvelles. Ou vous voudrez peut-être publier vos résultats d'entraînement à partir de RunKeeper Gardez une trace de vos objectifs d'entraînement pendant que vous vous entraînez avec RunKeeper [Android]Dans MakeUseOf, nous aimons trouver des applications et d'autres motivations en ligne pour rester en forme et en bonne santé. Après avoir étudié ces applications de fitness à maintes reprises, RunKeeper se révèle toujours être l'un des meilleurs. Ses... Lire la suite ou MapMyFitness. Mais il n'y a rien dans les autorisations qui empêchera l'application ou le service de publier ce qu'ils veulent. Il n'y a pas d'option "publier uniquement les résultats de l'enquête". Vous devez juste avoir confiance que l'application ne publiera que les choses que vous voulez ou leur dira, et non des annonces.

Et vous pourriez donner plus d'informations que vous ne l'aviez prévu. Peu importe si votre magasin préféré voit ce que vous publiez sur Facebook, non? Eh bien, ils pourraient obtenir plus d'informations que vous ne l'imaginiez.

Par exemple, lors d'une conférence de 2012, une société de catalogue japonaise parlé de la façon dont il utilisait les informations sur le profil Facebook d'un utilisateur pour déduire des choses «sur le« stade de vie »d'un client (qu'il soit marié ou célibataire, enceinte, suivant un régime, planifiant une fête, etc.) "Ménage" (s'ils ont un enfant, un parent vieillissant, un animal de compagnie, un condo, etc.) et "personnalité" (sont-ils dans le bénévolat, la bonne aventure, la nourriture, les voyages, les sports, courir, etc.?).

Un membre de l'équipe marketing a déclaré que l'équipe «peut apprendre le contexte de vie de nos clients - leur style de vie et leur psychologie. Nous pouvons alors cibler nos catalogues en conséquence. Et nous pouvons prédire quand quelqu'un a besoin d'un produit en fonction de ce qu'il dit sur les réseaux sociaux. »

Vous ne pensiez pas que vous donniez autant d'informations, n'est-ce pas?

Bien sûr, vous avez un contrôle total sur ce que vous partagez avec une entreprise à l'aide des connexions sociales et comment qu'ils peuvent publier pour vous, mais seulement si vous prenez le temps de lire les autorisations qu'ils demandent pour. Et ne donnez pas accès à des choses que vous préférez garder privées. Mais ce n'est pas toujours facile, car certaines applications et certains services utilisent désormais une connexion Facebook ou Twitter uniquement, ce qui signifie que si vous n'acceptez pas leurs autorisations, vous ne pourrez pas utiliser le service.

Leçons à emporter: que devez-vous faire?

Comme pour la plupart des choses, l'histoire de la connexion à l'aide de comptes sociaux a deux côtés. C’est généralement assez sûr, et vous avez en fait un certain contrôle sur la quantité d’informations que vous partagez.

D'un autre côté, vous pourriez donner beaucoup de contrôle si vous ne faites pas attention. Alors, que devez-vous faire?

• Lisez les demandes d'autorisation avant de les accorder.

C'est important, et cela ne fera que gagner en importance à mesure que les services Web s'intégreront. Si vous ne souhaitez pas qu'une application collecte des données sur vos amis Facebook, ne lui permettez pas d'accéder à Facebook.

• Vérifiez fréquemment les autorisations de votre application.

Sur Facebook, allez sur le Onglet Applications sur l'écran Paramètres. Sur Twitter, allez sur le Onglet Applications dans Paramètres, aussi. Google est un peu plus compliqué: allez sur accounts.google.com, puis cliquez sur Sécurité, puis Tout afficher sous Autorisations de compte. Regardez quelles applications ont accès à vos données et révoquez l'accès à celles que vous n'utilisez plus. Et si vous voyez une application qui a plus d'autorisations qu'elle ne le devrait, pensez à révoquer l'accès et à voir si vous pouvez vous connecter à ce service avec un nom d'utilisateur et un mot de passe traditionnels.

Pour accélérer le processus, vous pouvez utiliser MyPermissions Trop d'applications? Comment révoquer des autorisations d'application de plusieurs sites Web en 2 minutesLe monde en ligne présente de nombreux problèmes de confidentialité. Nous savons tous que nous ne devons pas publier de choses privées sur Facebook, nous ne devons pas écrire notre adresse e-mail dans des endroits bien en vue, et nous devons vraiment faire attention, car ... Lire la suite , qui vous aide à gérer vos autorisations sur Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox, etc.

• Ignorez les autorisations et définissez les audiences autorisées pour le partage.

Si une application demande l'autorisation de partager en votre nom via un service social, vous pourriez avoir la possibilité de ne pas donner cette autorisation (vous le verrez sur Facebook lorsque vous verrez un bouton "Ignorer"). Si c'est une option, utilisez-la! Vous pouvez également définir l'audience pour le partage autorisé. Par exemple, vous pouvez partager avec tous vos amis, une audience personnalisée ou uniquement vous-même.

• Traitez les demandes d'autorisations différemment en fonction des comptes.

Que postez-vous sur Instagram? Que postez-vous sur Twitter? Une demande de lecture de vos messages Foursquare pourrait être beaucoup moins effrayante que l'octroi des privilèges "Composer et envoyer de nouveaux messages" à votre compte Gmail.

• Changez régulièrement vos mots de passe.

Lorsque vous modifiez vos mots de passe, un certain nombre de jetons OAuth seront immédiatement invalidés, vous obligeant à vous reconnecter et à réapprouver les jetons. Pour autant que je sache, Gmail et Facebook invalident les jetons lorsque vous modifiez votre mot de passe, mais pas Twitter et Google+. Pour ces autres services, vous devrez révoquer l'accès, puis émettre à nouveau les autorisations.

Conclusion: la commodité pour un prix

La connexion à des sites et services avec vos identifiants sociaux ajoute beaucoup de confort et même un peu de sécurité. Mais ça pouvez être risqué, tant du point de vue de la vie privée que, dans une moindre mesure, de la sécurité. Mais si vous pratiquez les cinq conseils de sécurité ci-dessus, vous ne devez accorder que les autorisations que vous souhaitez.

À quelle fréquence utilisez-vous vos informations de connexion sociale sur un autre site? Vous sentez-vous en sécurité en le faisant? Lisez-vous et revérifiez-vous régulièrement les autorisations? Partagez vos pensées ci-dessous!

Crédits image: Marc Falardeau via Flickr, Rob Pongsajapan via Flickr, Iván Melenchón Serrano via MorgueFile