Часто на различных сайтах и в приложениях мы можем видеть кнопки под названием «Войти с социальной учетной записью». Наиболее распространенными являются вход с помощью Google, Facebook, Twitter и других подобных известных веб-сайтов. Попробуем разобраться, для чего нужны эти кнопки, в чем преимущества этих кнопок, вытекающий из них информационный риск и способы защиты информации.
Цель
Для чего нужны эти кнопки?
Они позволяют приложениям и веб-сайтам идентифицировать пользователей.
Кто такой пользователь?
Когда вы используете какое-либо приложение или веб-сайт, вы автоматически становитесь его пользователем. Даже если сайт не имеет никакой информации о вас в своей базе данных, вы все равно являетесь пользователем этого сайта.
Зачем нужна идентификация?
В зависимости от приложения или веб-сайта идентификация может быть необходима для разных целей. Например, вы входите в свою учетную запись электронной почты, чтобы просматривать свои сообщения, или входите в различные интернет-магазины, чтобы сообщить этому магазину, куда отправлять купленные вещи.
Какие способы идентификации существуют?
1. Наиболее распространенным способом идентификации является ввод в формы всех необходимых данных, которые требуются от пользователя. Пользователь нажимает на кнопку «Зарегистрироваться», вводит свои личные данные, создает пароль, подтверждает свой адрес электронной почты или номер телефона. После регистрации пользователь должен сделать еще один шаг, чтобы стать идентифицированным пользователем. Пользователь должен войти в свою учетную запись, используя свой адрес электронной почты (имя пользователя/номер телефона) и пароль, созданный им при регистрации. Все, теперь он идентифицированный пользователь и приложение уже имеет информацию о нем в своей базе.
2. Чтобы избежать описанных выше шагов, была разработана концепция входа через социальные сети, которая позволяет получать те же результаты, не сильно беспокоя людей. Идентификация с помощью социальной учетной записи требует всего лишь нажатия нескольких кнопок. Давайте посмотрим, как работает этот второй способ идентификации.
Компании
Как мы все знаем, есть ИТ-компании, которые являются лидерами в этой области. Это Google, Facebook, Amazon и другие подобные компании. Эти компании пользуются большим авторитетом и доверием в мире. Практически все события, происходящие в ИТ-сфере, связаны с этими компаниями.
Таким образом, ряд компаний, пользуясь своей репутацией и доверием, дают другим компаниям возможность идентифицировать пользователей на основе их баз данных.
Как работает вход через социальные сети?
Концепция социального входа очень проста, это делается в следующие шаги:
- Пользователь открывает приложение или веб-сайт и видит кнопку «Войти с социальной учетной записью».
- Нажав кнопку, он перенаправляет на сайт социальной сети.
- Затем социальный сайт пытается идентифицировать пользователя.
- После идентификации сайт информирует пользователя о передаче его персональных данных, показывая список данных, которые будут переданы, и просит подтвердить это. Обычно на этом шаге пользователь может выбрать только те разрешения, которые он хочет разрешить.
- Здесь пользователь может либо отменить процесс идентификации, либо принять его и перенаправить на исходный веб-сайт/приложение с уже идентифицированным статусом.
Войти с Facebook
В качестве примера давайте посмотрим на «Войти через Facebook», который выполняется в следующие шаги:
1. Пользователь запускает приложение и видит кнопку «Войти через Facebook».
2. Нажав на эту кнопку, он перенаправляет на страницу со следующим содержанием:
- Название и логотип приложения
- Список информации, которая будет отправлена в приложение
- Кнопки продолжения и отмены
3. Нажав кнопку «Продолжить», пользователь перенаправляется на страницу, где он может ограничить разрешения и информацию, которые он не хочет, чтобы были доступны для приложения.
4. Теперь на этой странице он завершает процесс идентификации, нажав на кнопку подтверждения.
5. Таким образом, пользователь перенаправляется обратно к исходному приложению с идентифицированным статусом и может отображаться на разных страницах в зависимости от приложения.
Часто задаваемые вопросы
Вопрос 1. Помимо риска утечки информации, какие риски может вызвать такой способ входа в систему?
Существуют различные типы веб-сайтов и приложений, которые управляют социальными учетными записями пользователей. Например, есть приложения, которые управляют страницами Facebook, создавая сообщения, запуская рекламу и отвечая на сообщения. Обычно такие приложения запрашивают не только личную информацию пользователя, но и некоторые разрешения, чтобы иметь возможность выполнять перечисленные действия на странице facebook.
Вот и получается, что давая такие разрешения приложению, вы автоматически разрешаете приложениям, например, создавать посты на вашей странице в фейсбуке без вашего ведома.
Предлагается давать такие разрешения только надежным приложениям и веб-сайтам. В противном случае есть вероятность, что ваша социальная учетная запись окажется под контролем какого-то неизвестного веб-сайта или компании, которая сможет совершать нежелательные действия с вашей учетной записью без вашего ведома.
Вопрос 2. Есть ли какая-либо компания или система, которая не позволит злоупотреблять доверием пользователей?
Почти все социальные веб-сайты, которые позволяют другим приложениям использовать свои базы данных, имеют свои собственные группы рецензентов, которые контролируют всю пользовательскую информацию и разрешения, которые собираются использовать другие приложения и веб-сайты.
Вопрос 3. Можно ли отменить уже принятые разрешения?
да. Пользователи имеют возможность управлять списком приложений, которым они дали разрешение. Это можно сделать, войдя на сайт социальной сети и перейдя в раздел подключенных приложений.
Вопрос 4. Как обнаружить, что приложение злоупотребляет доверием пользователей и берет данные, которые ему не нужны?
Необходимо, чтобы пользователь точно знал, зачем он заходит в приложение и какие возможности это приложение ему предоставит.
Например, если это приложение, где номер телефона пользователя не имеет значения, но приложение пытается его получить, то, скорее всего, это злоупотребление доверием. В этом случае рекомендуется либо отменить вход в систему, либо запретить передачу информации, вызывающей подозрения.
Вопрос 5.Если есть разные способы входа в систему, какой из них предпочтительнее с точки зрения безопасности?
С точки зрения безопасности предпочтительнее авторизоваться наиболее распространенным способом, когда пользователь заполняет свою личную информацию вручную, не подключая свою учетную запись в социальной сети к веб-сайту или приложению. В этом случае необходимо быть внимательным и не вводить нежелательную личную информацию.
Однако у этого способа есть недостаток, он трудоемок и требует определенных действий от пользователей. Люди предпочитают входить в систему одним касанием, а не заполнять сложные регистрационные формы. Принимая во внимание этот факт, также рекомендуется использовать короткий способ входа, но только путем просмотра разрешений и ограничения их при необходимости.
