¿Son los inicios de sesión sociales de terceros seguros y privados?

Crear cuentas manualmente es una molestia: solo queremos acceder a los servicios de una aplicación, no dedicar cinco minutos a configurar correos electrónicos, contraseñas e información básica. Es por eso que los botones “Iniciar sesión con Facebook” e “Iniciar sesión con Google” se han vuelto tan comunes en Internet.

característica-4

A los usuarios les encanta esta técnica de inicio de sesión federado porque facilita la creación de cuentas, y a los sitios web / aplicaciones les encanta porque pueden conseguir que muchos más usuarios se registren para obtener cuentas. Dado que puede crear cuentas usando Google, Facebook, Twitter, Microsoft, LinkedIn, Github, WeChat, VKontakte, Weibo y más, es probable que haya usado uno de estos servicios, pero también se preguntó brevemente si es una buena idea. Tiene razón en preguntarse: sí, es conveniente, pero hay compensaciones en lo que respecta a la seguridad, y es esencialmente una calle de un solo sentido en lo que respecta a la privacidad.

¿Cómo funcionan los inicios de sesión sociales?

Social-logins-openid-openauth

No todos los sistemas funcionan igual, pero el proceso básico es bastante universal. La mayoría de los servicios de inicio de sesión de terceros utilizan alguna combinación de los protocolos OpenID y OAuth. OpenID se ocupa de autorizar a los usuarios (iniciar sesión en Facebook confirma su identidad en el sitio que está intentando utilizar), mientras que OAuth gobierna cómo otros sitios pueden acceder a sus datos (nombre, edad, intereses, amigos, etc.).

Hay tres actores principales involucrados en un proceso de inicio de sesión social:

  • El usuario (¡ese es usted!) Que solicita acceso a una aplicación o sitio
  • La aplicación o sitio al que el usuario quiere acceder
  • El Autorizador que confirma su identidad y controla el acceso a sus datos (Facebook, Google, etc.)

Un inicio de sesión social típico ocurre así:

  1. El usuario pulsa el botón “Iniciar sesión con ____”.
  2. La aplicación abre un enlace que le pide al usuario que inicie sesión en el sitio del autorizador. El enlace contiene información que le indica al autorizador qué sitio realiza la solicitud.
  3. El usuario ingresa su nombre de usuario y contraseña en el sitio del autorizador, lo que significa que la aplicación nunca ve su información.
  4. El autorizador genera un código de un solo uso y lo envía a la aplicación.
  5. Luego, la aplicación envía este código al autorizador con una solicitud de acceso a la API del autorizador.
  6. El autorizador valida el código y emite a la aplicación un token (generalmente con un límite de tiempo) que le permite a la aplicación solicitar al autorizador cierta información del usuario.

Security Pro: los inicios de sesión sociales pueden ser más seguros que los inicios de sesión por correo electrónico con contraseña

social-logins-ciberseguridad

Los inicios de sesión sociales son tan seguros como las empresas que los gestionan, lo que, dado que son algunas de las empresas de tecnología más grandes del mundo, los coloca en la categoría de “bastante buenos”. No ves que Facebook y Google sean pirateados de izquierda a derecha, principalmente porque les importa un lote sobre su ciberseguridad e invierte mucho más en ella que en tu cadena minorista promedio.

Si utiliza un inicio de sesión federado, el sitio con el que está creando una cuenta nunca tendrá acceso a su nombre de usuario y contraseña, lo que significa que nadie puede robar su cuenta (aunque podrían obtener información asociada).

Tampoco está ingresando sus contraseñas por todas partes, y dado que tendemos a reutilizar nuestras contraseñas con bastante frecuencia, esto es algo bueno. Probablemente no estamos siguiendo las mejores prácticas de contraseñas de todos modos, por lo que cuanto menos difundamos nuestra mala seguridad, mejor.

Desventaja de seguridad: si su inicio de sesión social se cae, también lo hacen sus cuentas

social-logins-contraseña

¿Y si Facebook y Google hacer ser pirateado o alguien simplemente logra ingresar a tu cuenta? Ambas empresas han tenido problemas con los datos en el pasado (Cambridge Analytica, Google+), y LinkedIn fue pirateado directamente, por lo que las grandes tecnologías no tienen un historial del 100% aquí.

¿Alguien con su inicio de sesión en las redes sociales podría fingir que es usted en cada aplicación y sitio en el que utilizó las redes sociales para iniciar sesión? Básicamente sí. Ya sea que se trate de una brecha de seguridad en todo el sistema, una contraseña débil o malware en su computadora esperando a que inicie sesión en Facebook, cualquier persona con sus credenciales de inicio de sesión puede hacerse pasar por usted en otra aplicación. Esto hace que los inicios de sesión sociales sean un punto único de falla, creando un posible efecto dominó si se viola su cuenta de autorización.

Esto significa que mucho depende de que nuestras cuentas de redes sociales se mantengan seguras. Facebook, Google y Twitter están trabajando duro para hacer eso, pero incluso si aguantan su parte, solo pueden hacer mucho si su contraseña es 123456789 (consulte estos consejos para una contraseña segura) y mantiene su cuenta registrada en dispositivos compartidos o físicamente accesibles. Si usa un inicio de sesión social, debe tratarlo como la clave para cualquier cuenta a la que pueda acceder.

Pros de privacidad

Social-logins-user-privacy-2

Esta será una sección corta porque realmente no hay beneficios de privacidad para los usuarios. Los inicios de sesión sociales no solo enviarán sus datos a quien los solicite, que es lo mínimo que esperaría, pero casi siempre cederá mucha más información personal de la que haría si solo usara un correo electrónico / combo de contraseña.

Contras de privacidad: todo el mundo aprende más sobre ti

privacidad de inicio de sesión social

Dependiendo del servicio que esté utilizando, tendrá más o menos control sobre los datos que las aplicaciones pueden extraer de sus perfiles sociales. Sin embargo, es fácil dar más de lo que pretendes, y las aplicaciones pueden pedir lo que quieran sabiendo que la mayoría de los usuarios probablemente establecerán de forma predeterminada “Sí”. Tus amigos, ubicación, historial de publicaciones, intereses y otras piezas de información personal podrían fácilmente ser recogidas sin que tú lo sepas por completo.

Por otro lado, recuerde que la mayoría de las empresas que le brindan servicios de inicio de sesión están muy interesadas en recopilar más datos sobre usted. Les encantaría saber qué aplicaciones está usando, con qué frecuencia las usa e información aún más granular sobre lo que hace en ellas, y usarlas para iniciar sesión es esencialmente brindarles esa información directamente. No está claro exactamente cuántos datos obtienen Facebook y Google de las aplicaciones que utilizan sus servicios de inicio de sesión, pero si no se siente cómodo con que una empresa sepa mucho sobre lo que está haciendo en una aplicación, es mejor no vincular su cuenta a esa empresa.

Entonces, ¿debería usar inicios de sesión sociales?

Social-logins-social-media

Los inicios de sesión sociales pueden ser más seguros en muchos casos, especialmente si tiene cuidado de mantener sus cuentas principales bloqueadas bastante bien y no está seguro de si una aplicación o un sitio tiene la mejor ciberseguridad. En realidad, es más seguro iniciar sesión en una aplicación o sitio incompleto con un inicio de sesión social, ya que no perderá la contraseña que probablemente reutilice en varios sitios. No obstante, si está creando una cuenta que contiene información potencialmente confidencial en un servicio bien protegido, una combinación sólida de correo electrónico / contraseña es su mejor opción.

En cuanto a la privacidad, es una decisión personal. Si no desea que la aplicación sepa más sobre usted de lo que necesita, no inicie sesión en Facebook. Esto se aplica igualmente en la otra dirección: no use un autorizador de terceros a menos que se sienta cómodo con que ese tercero recopile algunos datos adicionales sobre usted.

Créditos de imagen: Icono de privacidad del usuario, Protección del teléfono celular Ciberseguridad de teléfonos inteligentes, Iconos de mezcla de redes sociales 3D

¿Es útil este artículo?

Puedes compartirlo con algun conocido(a) que le pueda interesar

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *