Il semble que chaque fois que vous vous inscrivez à un nouveau service, vous pouvez choisir un nom d'utilisateur et un mot de passe ou simplement vous connecter avec Facebook ou Twitter. La connexion avec votre compte Google est souvent également une option. C'est rapide et c'est facile. Mais devriez-vous le faire?
Comment ça marche?
La connexion à l'aide de votre compte social utilise un protocole appelé OAuth, qui permet à une application ou un service (le demandeur ou le service pour lequel vous vous inscrivez) de se connecter à un autre (le fournisseur de services ou le réseau existant). utiliser pour vous inscrire) et agir en votre nom. Ceci est fait en émettant des "jetons" à l'application qui demande. Ces jetons fonctionnent un peu comme votre nom d'utilisateur et votre mot de passe, car ils permettent à l'application qui demande l'accès d'accéder à un service protégé par mot de passe (par exemple, Facebook).
L'important ici est que votre nom d'utilisateur et votre mot de passe ne soient jamais communiqués entre les applications, et que l'application ne puisse accéder qu'à une partie limitée de votre compte protégé par mot de passe.
![blurb-request](img/social-media/877/should-you-think-twice-before-logging-using-social-accounts.jpg")
Regardons un exemple rapide. Dites que vous utilisez Blurb pour transformer vos photos Facebook en un livre Trois façons simples de transformer votre Facebook en un vrai livre [Astuce Facebook hebdomadaire] Trois façons simples de transformer votre Facebook en un vrai livre [Astuce Facebook hebdomadaire] Avez-vous déjà voulu faire un vrai livre sur papier des choses que vous avez sur Facebook? Peut-être que vous avez des parents qui ne sont pas sur Facebook mais qui aimeraient voir les photos que vous avez mises en ... Lire la suite. Vous allez à Blurb (le demandeur) et dites-lui que vous voulez imprimer des photos de Facebook. Blurb vous redirige vers Facebook (le fournisseur de services), où vous entrez vos identifiants de connexion (envoyés directement à Facebook, pas Blurb) et dites à Facebook que vous donnez à Blurb la permission d'accéder à vos photos. Maintenant, Blurb peut télécharger ces photos afin qu'elles puissent être imprimées. Si Blurb tente d'accéder à votre chronologie, il sera refusé, car le jeton qu'il a seulement lui donne accès à vos photos et à votre profil public.
OAuth ne partage jamais votre nom d'utilisateur ou votre mot de passe avec l'application qui le demande, l'idée étant que garder votre nom d'utilisateur et votre mot de passe secrets les garde en sécurité. Et pour empêcher une application ou un service demandeur d'accéder à votre compte, tout ce que vous avez à faire est de cliquer sur «révoquer l'accès» au lieu de changer votre mot de passe.
Est-ce sûr?
D'accord, le processus semble assez simple jusqu'ici. Mais à quel point est-ce sécuritaire? Devrions-nous nous inquiéter de la sécurité des sites OAuth?
Du point de vue de la sécurité, OAuth semble plutôt bien. Le pire des scénarios n'aboutit toujours pas à la révélation de vos mots de passe sociaux. Et la possibilité de révoquer instantanément l'accès à une application dotée d'un jeton signifie que même si un site Web est piraté et que certains personnages malveillants mettent la main sur toutes les données du jeton, vous pouvez simplement cliquer sur le bouton d'accès révoqué et ils n'auront pas l'accès à votre site social.
Le fait que vous partagiez seulement l'accès à un sous-ensemble spécifique de données sur votre site social est également très attrayant - si quelqu'un pirate Snapfish et accède à vos photos Facebook, vous ne devriez pas être trop inquiet (vous prenez soin des photos vous postez, non?).
Malgré la récente découverte dramatique d'une faille de sécurité dans OAuth, le système est plutôt bon.
Cependant, la sécurité en ligne ne se limite pas au cryptage et aux jetons. L'une des meilleures façons de s'assurer que vous êtes en sécurité en ligne est d'utiliser de bonnes pratiques de mot de passe. Et OAuth aide beaucoup avec ça. Comment? En étant en mesure de vous connecter en utilisant Twitter ou Google, vous n'avez pas besoin de créer un autre mot de passe dont vous devez vous souvenir. Si vous avez un mot de passe Facebook très sécurisé, vous pouvez l'utiliser pour accéder à un certain nombre de choses sans utiliser exactement le même mot de passe pour d'autres sites.
C'est un avantage certain de OAuth - et le fait que vous limitiez le nombre de sites Web qui ont vos mots de passe est un gros plus.
Il est également important de mentionner que les sites accédant à vos profils sociaux ne peuvent pas entreprendre d'actions majeures: ils ne peuvent pas supprimer votre compte, modifier votre mot de passe ou effectuer d'autres changements importants. Ce qui est rassurant.
Quels risques prenez-vous?
Malheureusement, rien n'est simple en matière de sécurité et de sécurité en ligne. L'utilisation d'OAuth comporte certains risques, principalement liés à la confidentialité.
Par exemple, à quelle fréquence prenez-vous le temps de vraiment regarder les autorisations que vous donnez lorsque vous utilisez Facebook Connect? Alors que les applications ne doivent demander que l'accès aux informations dont elles ont besoin pour mieux vous servir, elles en demandent souvent beaucoup plus: votre chronologie, les informations de vos amis et la possibilité de publier, par exemple.
Parfois, c'est une bonne chose - vous pourriez vouloir intégrer Twitter dans votre application de contacts ou un lecteur de nouvelles. Ou vous pourriez vouloir publier vos résultats d'entraînement de RunKeeper Garder la trace de vos objectifs de formation pendant que vous travaillez avec RunKeeper [Android] Gardez une trace de vos objectifs de formation pendant que vous travaillez avec RunKeeper [Android] Autour de MakeUseOf, nous aimons trouver des applications et d'autres motivateurs en ligne pour rester en forme et en bonne santé. Après avoir étudié ces applications de fitness de temps en temps, RunKeeper s'avère toujours être l'un des meilleurs. C'est ... Lire la suite ou MapMyFitness. Mais il n'y a rien dans les permissions qui empêchera l'application ou le service d'afficher ce qu'ils veulent. Il n'y a pas d'option «résultats après enquête seulement». Vous avez juste à faire confiance que l'application publiera seulement les choses que vous voulez ou dites-le, et non les annonces.
Et vous pourriez donner plus d'informations que vous avez négocié. Qui se soucie si votre magasin préféré voit ce que vous affichez sur Facebook, non? Eh bien, ils pourraient obtenir plus d'informations que vous ne l'imaginiez.
Par exemple, lors d'une conférence en 2012, une société de catalogue japonaise a expliqué comment elle utilisait des informations sur le profil Facebook d'un utilisateur pour en déduire «la vie d'un client» (mariée ou célibataire, enceinte, régime, planification d'une fête «ménage» (s'ils ont un enfant, un parent âgé, un animal de compagnie, un condo, etc.) et «personnalité» (font-ils du bénévolat, de la bonne aventure, de la nourriture, des voyages, du sport, de la course, etc. ?). "
Un membre de l'équipe de marketing a déclaré que l'équipe «peut apprendre le contexte de vie de nos clients, leur style de vie et leur psychologie. Nous pouvons ensuite cibler nos catalogues en conséquence. Et nous pouvons prédire quand quelqu'un a besoin d'un produit basé sur ce qu'il dit sur les médias sociaux. "
Je ne pensais pas que vous donniez autant d'informations, n'est-ce pas?
Bien sûr, vous avez un contrôle total sur ce que vous partagez avec une entreprise en utilisant les connexions sociales et combien ils peuvent poster pour vous - mais seulement si vous prenez le temps de lire les autorisations qu'ils demandent. Et ne donnez pas accès à des choses que vous préférez garder privées. Mais ce n'est pas toujours facile, car certaines applications et certains services utilisent maintenant la connexion Facebook ou Twitter uniquement, ce qui signifie que si vous n'acceptez pas leurs autorisations, vous n'utilisez pas le service.
Leçons à emporter: que devriez-vous faire?
Comme avec la plupart des choses, il y a deux côtés à l'histoire de se connecter en utilisant les comptes sociaux. C'est généralement assez sûr, et vous avez vraiment un peu de contrôle sur la quantité d'informations que vous partagez.
D'un autre côté, vous pourriez donner beaucoup de contrôle si vous ne faites pas attention. Alors que devriez-vous faire à ce sujet?
- Lisez les demandes d'autorisation avant de les accorder.
C'est un aspect important, et cela ne fera que gagner en importance à mesure que les services Web s'intégreront davantage. Si vous ne souhaitez pas qu'une application collecte des données sur vos amis Facebook, ne lui permettez pas d'accéder à Facebook.
- Vérifiez fréquemment les autorisations de votre application.
Sur Facebook, accédez à l'onglet Applications sur l'écran Paramètres. Sur Twitter, accédez également à l'onglet Applications dans Paramètres. Google est un peu plus compliqué: rendez-vous sur accounts.google.com, puis cliquez sur Sécurité, puis sur Tout afficher sous Autorisations de compte. Regardez quelles applications ont accès à vos données et révoquez l'accès à celles que vous n'utilisez plus. Et si vous voyez une application qui a plus d'autorisations qu'elle ne le devrait, envisagez de révoquer l'accès et de voir si vous pouvez vous connecter à ce service avec un nom d'utilisateur et un mot de passe traditionnels.
Pour accélérer le processus, vous pouvez utiliser MyPermissions Too Many Apps? Comment révoquer des autorisations d'application de plusieurs sites Web en 2 minutes trop d'applications? Comment faire pour révoquer des autorisations d'application à partir de plusieurs sites Web en 2 minutes Le monde en ligne offre de nombreuses préoccupations de confidentialité. Nous savons tous que nous ne devrions pas poster des choses privées sur Facebook, nous ne devons pas écrire notre adresse e-mail à des endroits visibles, et nous devrions vraiment faire attention, comme ... Lire la suite, qui vous aide à gérer vos autorisations sur Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox, et plus encore.
- Ignorer les autorisations et définir les audiences autorisées pour le partage.
Si une application vous demande la permission de partager en votre nom via un service social, vous pouvez avoir l'opportunité de ne pas donner cette autorisation (vous verrez ceci sur Facebook lorsque vous verrez un bouton "Ignorer"). Si c'est une option, utilisez-la! Vous pouvez également définir l'audience pour le partage autorisé. Par exemple, vous pouvez partager avec tous vos amis, une audience personnalisée ou uniquement vous-même.
- Traitez les demandes d'autorisations différemment en fonction des comptes.
Que publiez-vous sur Instagram? Que publiez-vous sur Twitter? Une demande de lecture de vos messages Foursquare pourrait être beaucoup moins effrayante que d'accorder des privilèges "Composer et envoyer de nouveaux messages" à votre compte Gmail.
- Changez vos mots de passe régulièrement.
Lorsque vous changez vos mots de passe, un certain nombre de jetons OAuth sont immédiatement invalidés, ce qui vous oblige à vous reconnecter et à réapprouver les jetons. Pour autant que je sache, Gmail et Facebook invalident les jetons lorsque vous changez votre mot de passe, mais pas Twitter et Google+. Pour ces autres services, vous devez révoquer l'accès, puis réémettre les autorisations.
Conclusion: la commodité pour un prix
Se connecter aux sites et services avec vos informations d'identification sociale ajoute beaucoup de confort, et même un peu de sécurité. Mais cela peut être risqué, à la fois du point de vue de la protection de la vie privée et, dans une moindre mesure, de la sécurité. Mais si vous pratiquez les cinq conseils de sécurité ci-dessus, vous ne devriez donner que les autorisations que vous avez l'intention de.
À quelle fréquence utilisez-vous vos informations de connexion sociale sur un autre site? Vous sentez-vous en sécurité? Lisez-vous et revérifiez-vous les autorisations régulièrement? Partagez vos pensées ci-dessous!
Crédits image: Marc Falardeau via Flickr, Rob Pongsajapan via Flickr, Iván Melenchón Serrano via MorgueFile