Na przeczytanie potrzebujesz 3 minut(y).
Jak podaje serwis mobirank.pl, zgodnie z raportem “Digital 2019”, na świecie jest obecnie aż 4,39 mld (!!!) internautów. Każdy z nich posiada kilkanaście - kilkadziesiąt kont w różnych serwisach internetowych (poczta, media społecznościowe, sklepy internetowe, fora itd.). Jako, że sensowne zarządzanie loginami i hasłami powoli staje się nie lada wyzwaniem, a wielkie firmy chcą wiedzieć o nas coraz więcej i więcej (o czym pisaliśmy w artykule Co wie o Tobie Google), w sieci od pewnego czasu zaczęły się pojawiać opcje “Zaloguj z Facebookiem”, “Zaloguj z Google” i tym podobne. Czy korzystanie z nich jest bezpieczne? Zapraszam do krótkiej analizy.
Jak działa logowanie z Facebookiem?
Aby odpowiedzieć sobie na pytanie postawione w tytule tego artykułu, warto zacząć od wytłumaczenia Wam (jak zwykle w prostych słowach) jak działa ten mechanizm. W technicznym żargonie informatycznym nazywamy go “Federated Single Sign On”, co w tłumaczeniu na polski możemy podsumować jako zasada zaufania.
Zasada działania mechanizmu jest prosta. Opiera się ona na zaufaniu do innej strony internetowej. Skoro np. jesteśmy zalogowani do Facebooka, to wystarczy, że strona na ktorej chcemy założyć konto zapyta go, czy rzeczywiście jesteśmy tą osobą, za którą się podajemy. Spójrzcie na poniższy rysunek.
Wygodne prawda? Przeanalizujmy co tu tak naprawdę się wydarzyło.
- Wchodzimy na dowolną stronę internetową, na której chcemy założyć konto (w naszym przykładzie www.airbnb.com). Widzimy możliwość “klasycznego” założenia konta, gdzie musimy podawać wszystkie niezbędne dane lub kuszącą opcję założenia konta za pomocą jednego kliknięcia.
- Wybieramy opcję logowania z Faebookiem (równie dobrze może to być konto Google lub inne oferujące taką możliwość).
- Zostajemy w sposób automatyczny przekierowani ze strony www.airbnb.com na stronę Facebooka. Pojawia się prośba o potwierdzenie, że chcemy wykorzystać logowanie przez Facebooka. Zatrzymajmy się tu na chwilę i przeczytajmy dokładnie jakie uprawnienia otrzyma aplikacja Airbnb:
Jak widzicie wygoda ma swoją cenę. Za to, że możemy wygodnie (jednym kliknięciem) założyć konto strona airbnb.com otrzyma dostęp do naszego:
- imienia i nazwiska,
- zdjęcia profilowego,
- listy naszych znajomych,
- daty urodzin,
- miejscowości rodzinnej,
- aktualnego miejsca zamieszkania,
- listy polubionych stron,
- i adresu e-mail.
Najważniejsze jednak jest to, że “Aplikacja nie będzie mieć możliwości publikowania na Facebooku” (widoczne na dole komunikatu). Warto zwracać na to uwagę, ponieważ nie chcielibyśmy, aby ktoś w naszym imieniu publikował posty bez naszej wiedzy na naszym profilu.
Całkiem sporo danych prawda? 🙂 Oczywiście wszystko tłumaczone jest troską o jak najlepsze dopasowanie oferty serwisu do naszych oczekiwań. Czy rzeczywiście takie dane warto przekazać? Pozostawiam już to Waszej oceny.
Nie zawsze jest źle
Oczywiście specjalnie wybrałem ten przykład, aby zobrazować Wam jakie zagrożenia ze sobą niesie korzystanie z tej metody logowania na różnych stronach internetowych. Nie każda strona jednak wymaga pobrania tak dużego zakresu danych w momencie zakładania konta tą metodą. Przykład poniższy wydaje się całkiem rozsądny:
Są to dane, które i tak i tak musielibyśmy podać zakładając konto w sposób “klasyczny” za pomocą formularza.
Jak sprawdzić jakim stronom udostępniłem swoje dane?
Na szczęście, w łatwy sposób możecie zweryfikować jakie strony mają już dostęp do Waszych danych oraz zweryfikować zakres udostępnianych informacji. W tym celu należy:
- Zalogować się do Facebooka.
- Kliknąć w strzałkę po prawej stronie niebieskiego menu i wybrać opcję “Ustawienia”
- Z menu po lewej stronie wybrać opcję “Aplikacje i witryny”
- Naszym oczom ukaże się lista aplikacji, które w tym momencie mają uprawnienia do odczytywania naszych danych z Facebooka. W moim przykładzie są to dwie aplikacje. Po kliknięciu w dowolną z nich, możemy zweryfikować zakres danych, do których ma ona dostęp.
- W moim przykładzie, strona “Buy Me A Coffee” ma możliwość dostępu jedynie do informacji o moim adresie e-mail.
Gorąco zachęcam Was do przejrzenia wszystkich aplikacji w Waszych profilach i usunięcia tych zbędnych lub przynajmniej odebrania im części uprawnień za pomocą niebieskich suwaczków.
Czy warto logować się za pomocą Facebooka?
Żeby nie było tak czarno… Moim zdaniem (mimo wszystko) warto logować się tą metodą wszędzie tam, gdzie zakres danych o które jesteśmy proszeni jest sensowny (czytaj: minimalny). Zwalnia nas to z konieczności zarządzania loginami i hasłami do kolejnych stron internetowych. W przypadku wycieku haseł z jakiejś strony internetowej (jak to się często zdarza), Wasze hasło nie wycieknie, bo Facebook nie przekazuje Waszego hasła innym stronom internetowym, a jedynie potwierdza Waszą tożsamość.
Warto jednak być świadomym tego, że w przypadku przejęcia konta na Facebooku, atakujący przejmuje równocześnie dostęp do Wszystkich stron internetowych, do których logujecie się tą metodą. Należy więc zabezpieczyć swoje konta w mediach społecznościowych. Poświęcimy temu zagadnieniu niebawem osobny artykuł.
[EDIT: 14.06.2019]
Jak słusznie wskazują nasi czytelnicy, należy wziąć pod uwagę również ryzyko związane z tym, że Facebook potencjalnie może w dowolnej chwili zablokować nasze konto. Wiąże się to oczywiście z natychmiastowym brakiem dostępu do wszystkich stron internetowych do których logujemy się tą metodą.
Podsumowanie
- Logowanie za pomocą Facebooka (lub Google’a) jest metodą bezpieczną.
- Należy dokładnie czytać o jakie dane na nasz temat wnioskuje witryna, na której się logujemy tą metodą. Może czasem warto zrezygnować z niej na rzecz klasycznego logowania.
- Facebook nie przekazuje innym stronom naszego hasła do Facebooka, a jedynie potwierdza naszą tożsamość.
- Warto poświęcić chwilę na przegląd listy stron, które mają dostęp do naszych danych i ograniczyć je tam gdzie są nadmiarowe.
- Warto zabezpieczyć swoje konto Facebooka silnym hasłem oraz dodatkowym krokiem logowania z wykorzystaniem kodu jednorazowego (jak np. SMS).
Na co dzień zajmujący się bezpieczeństwem IT w jednej z polskich instytucji finansowych. Entuzjasta nowych technologii. Fan nadgryzionego jabłuszka. Wielbiciel alternatywnych metod parzenia kawy.
Odśwież artykuł jak wejdzie „Sign with Apple”
Dzięki. Taki jest plan 🙂
Nie przewidziałeś tego, że samo konto na fb może zostać czasowo zablokowane np. wrzuciłeś posta, który dla pewnej grupy odbiorców jest niewygodny i teraz go zgłaszają jako treść naruszająca zasady publikowania treści.
Co do kont w wielu serwisach to zarządzanie hasłami do nich jest banalne jeśli się korzysta z managera haseł, a wtedy mamy 100% kontrolę jakie dane im chcemy przekazać.
Oczywiście chodzi o to, że wtedy blokowany jest dostęp do wszystkich serwisów, do których logowanie odbywa się przez fb.
Łukasz, słuszna uwaga. Uzupełnię wpis o to ryzyko. Odnośnie managera haseł, to pełna zgoda, że fajnie się w nim zarządza hasłami, natomiast zadajmy sobie pytanie: „ilu z naszych znajomych korzysta z managera haseł, a ilu loguje się Facebookiem”. Wpis miał pokazać potencjalne ryzyka związane z tą metodą logowania. Oczywiście manager haseł jest najlepszym rozwiązaniem i poświęcimy mu osobny artykuł.
A dlaczego nie ma ani slowa o tym, ze autoryzujac sie facebookiem automatycznie na Twoj login odkladane sa dane behawioralne w ciasteczku odnosnie do Twojego zachowania w sieci i potem jestes targetowany reklamami? To jest najwieksze zagrozenie tego rozwiazania.
Dzięki. Podzielisz się jakimś źródłem?
"Warto zabezpieczyć swoje konto Facebooka silnym hasłem oraz dodatkowym krokiem logowania z wykorzystaniem kodu jednorazowego (jak np. SMS)."
Po wpadce FB z używaniem do swych celów numerów telefonów wykorzystanych do dodatkowej autentykacji trzeba naprawdę z dużym dystansem podchodzić do tej strony 🙂
Czy logowanie do innych stron z wykorzystaniem kont typu FB czy Google jest jednostronne, czy jednak tamte firmy też będą miały dostęp do danych np. naszych zakupów?
Bardziej od aplikacji przeszkadzałoby mi, że Facebook dostanie kolejne dane na mój temat.
Jeśli ktoś nie używa tego samego hasła wszędzie to nie widzę żadnej zalety takiego logowania.
Cześć, bardzo fajny artykuł. Zastanawiam się tylko czy jeżeli zalogujemy się w jakimś serwisie za pomocą np. facebooka/google/apple/... to czy ten serwis nie tworzy jakiegoś domyślnego hasła u siebie w bazie, o którym możemy nie mieć pojęcia, a w przypadku wycieku danych jesteśmy narażeni na niepowołany dostęp. Posiadasz jakąś wiedzę na ten temat? Pozdrawiam.
Nie tworzy. Ten mechanizm został zaprojektowany w ten sposób od strony technicznej, aby uniknąć tworzenia i przechowywania jakichkolwiek haseł. Osoby zainteresowane mogą dokładnie zapoznać się z techniczną dokumentacją tych protokołów.
Ok, brzmi nieźle. A co w przypadku, kiedy ktoś utworzył konto np. na allegro, a po jakimś czasie dodali możliwość zalogowania się poprzez google, z której chcesz skorzystać i robisz to. Stare hasło wtedy funkcjonuje czy jest usuwane?
Turaj już wszystko zależy od tego, w jaki sposób twórca danej strony już sobie to dalej zaimplementuje. Może wystąpić zarówno sytuacja, gdzie będziesz mógł zalogować się na dwa sposoby (hasło lub faceboom) jak i blokada możliwości logowania hasłem i pozostawienie jedynie logowania z użyciem fb.
https://support.apple.com/pl-pl/HT210318 - „zaloguj się przez Apple”.
Warto byłoby zaaktualizować artykuł o tę metodę.
Witam, widzę, że temat poruszony 2 lata temu, ale może ktoś mi odpowie. Mianowicie, mam 2 konta na fb, na OLX założyłem konto z 3 lata temu. Kiedy teraz chcę zalogować się na OLX za pomocą Fb, pokazuje mi zaloguj jako 2 konto (a konto olx założone na koncie 1). Jak zmienić osobę logującą w takim przypadku?