Na przeczytanie potrzebujesz 3 minut(y).
Jak działa logowanie z Facebookiem?
Aby odpowiedzieć sobie na pytanie postawione w tytule tego artykułu, warto zacząć od wytłumaczenia Wam (jak zwykle w prostych słowach) jak działa ten mechanizm. W technicznym żargonie informatycznym nazywamy go “Federated Single Sign On”, co w tłumaczeniu na polski możemy podsumować jako zasada zaufania.
Zasada działania mechanizmu jest prosta. Opiera się ona na zaufaniu do innej strony internetowej. Skoro np. jesteśmy zalogowani do Facebooka, to wystarczy, że strona na ktorej chcemy założyć konto zapyta go, czy rzeczywiście jesteśmy tą osobą, za którą się podajemy. Spójrzcie na poniższy rysunek.
Wygodne prawda? Przeanalizujmy co tu tak naprawdę się wydarzyło.
- Wchodzimy na dowolną stronę internetową, na której chcemy założyć konto (w naszym przykładzie www.airbnb.com). Widzimy możliwość “klasycznego” założenia konta, gdzie musimy podawać wszystkie niezbędne dane lub kuszącą opcję założenia konta za pomocą jednego kliknięcia.
- Wybieramy opcję logowania z Faebookiem (równie dobrze może to być konto Google lub inne oferujące taką możliwość).
- Zostajemy w sposób automatyczny przekierowani ze strony www.airbnb.com na stronę Facebooka. Pojawia się prośba o potwierdzenie, że chcemy wykorzystać logowanie przez Facebooka. Zatrzymajmy się tu na chwilę i przeczytajmy dokładnie jakie uprawnienia otrzyma aplikacja Airbnb:
Jak widzicie wygoda ma swoją cenę. Za to, że możemy wygodnie (jednym kliknięciem) założyć konto strona airbnb.com otrzyma dostęp do naszego:
- imienia i nazwiska,
- zdjęcia profilowego,
- listy naszych znajomych,
- daty urodzin,
- miejscowości rodzinnej,
- aktualnego miejsca zamieszkania,
- listy polubionych stron,
- i adresu e-mail.
Najważniejsze jednak jest to, że “Aplikacja nie będzie mieć możliwości publikowania na Facebooku” (widoczne na dole komunikatu). Warto zwracać na to uwagę, ponieważ nie chcielibyśmy, aby ktoś w naszym imieniu publikował posty bez naszej wiedzy na naszym profilu.
Całkiem sporo danych prawda? 🙂 Oczywiście wszystko tłumaczone jest troską o jak najlepsze dopasowanie oferty serwisu do naszych oczekiwań. Czy rzeczywiście takie dane warto przekazać? Pozostawiam już to Waszej oceny.
Nie zawsze jest źle
Oczywiście specjalnie wybrałem ten przykład, aby zobrazować Wam jakie zagrożenia ze sobą niesie korzystanie z tej metody logowania na różnych stronach internetowych. Nie każda strona jednak wymaga pobrania tak dużego zakresu danych w momencie zakładania konta tą metodą. Przykład poniższy wydaje się całkiem rozsądny:
Są to dane, które i tak i tak musielibyśmy podać zakładając konto w sposób “klasyczny” za pomocą formularza.
Jak sprawdzić jakim stronom udostępniłem swoje dane?
Na szczęście, w łatwy sposób możecie zweryfikować jakie strony mają już dostęp do Waszych danych oraz zweryfikować zakres udostępnianych informacji. W tym celu należy:
- Zalogować się do Facebooka.
- Kliknąć w strzałkę po prawej stronie niebieskiego menu i wybrać opcję “Ustawienia”
- Z menu po lewej stronie wybrać opcję “Aplikacje i witryny”
- Naszym oczom ukaże się lista aplikacji, które w tym momencie mają uprawnienia do odczytywania naszych danych z Facebooka. W moim przykładzie są to dwie aplikacje. Po kliknięciu w dowolną z nich, możemy zweryfikować zakres danych, do których ma ona dostęp.
- W moim przykładzie, strona “Buy Me A Coffee” ma możliwość dostępu jedynie do informacji o moim adresie e-mail.
Gorąco zachęcam Was do przejrzenia wszystkich aplikacji w Waszych profilach i usunięcia tych zbędnych lub przynajmniej odebrania im części uprawnień za pomocą niebieskich suwaczków.
Czy warto logować się za pomocą Facebooka?
Żeby nie było tak czarno… Moim zdaniem (mimo wszystko) warto logować się tą metodą wszędzie tam, gdzie zakres danych o które jesteśmy proszeni jest sensowny (czytaj: minimalny). Zwalnia nas to z konieczności zarządzania loginami i hasłami do kolejnych stron internetowych. W przypadku wycieku haseł z jakiejś strony internetowej (jak to się często zdarza), Wasze hasło nie wycieknie, bo Facebook nie przekazuje Waszego hasła innym stronom internetowym, a jedynie potwierdza Waszą tożsamość.
Warto jednak być świadomym tego, że w przypadku przejęcia konta na Facebooku, atakujący przejmuje równocześnie dostęp do Wszystkich stron internetowych, do których logujecie się tą metodą. Należy więc zabezpieczyć swoje konta w mediach społecznościowych. Poświęcimy temu zagadnieniu niebawem osobny artykuł.
[EDIT: 14.06.2019]
Jak słusznie wskazują nasi czytelnicy, należy wziąć pod uwagę również ryzyko związane z tym, że Facebook potencjalnie może w dowolnej chwili zablokować nasze konto. Wiąże się to oczywiście z natychmiastowym brakiem dostępu do wszystkich stron internetowych do których logujemy się tą metodą.
Podsumowanie
- Logowanie za pomocą Facebooka (lub Google’a) jest metodą bezpieczną.
- Należy dokładnie czytać o jakie dane na nasz temat wnioskuje witryna, na której się logujemy tą metodą. Może czasem warto zrezygnować z niej na rzecz klasycznego logowania.
- Facebook nie przekazuje innym stronom naszego hasła do Facebooka, a jedynie potwierdza naszą tożsamość.
- Warto poświęcić chwilę na przegląd listy stron, które mają dostęp do naszych danych i ograniczyć je tam gdzie są nadmiarowe.
- Warto zabezpieczyć swoje konto Facebooka silnym hasłem oraz dodatkowym krokiem logowania z wykorzystaniem kodu jednorazowego (jak np. SMS).
Na co dzień zajmujący się bezpieczeństwem IT w jednej z polskich instytucji finansowych. Entuzjasta nowych technologii. Fan nadgryzionego jabłuszka. Wielbiciel alternatywnych metod parzenia kawy.