Esteve online ultimamente?<!- -mais- ->
Então, provavelmente você encontrou isso mais de uma vez ao tentar entrar em um novo site ou serviço:
Alguns serviços também oferecem iniciar a sessão com o Twitter, Linkedin ou Microsoft. Outros nem mesmo permitem iniciar a sessão com o bom e velho e-mail ou através de uma conta autônoma.
Você deve ter pensado “Tudo bem. Você venceu”e ter aceitado esses termos, mas parou no último segundo e pensou: Espere um minuto. Isso é mesmo seguro?
Bom, isso se chama Oauth (que em tradução livre significa padrão aberto para autorização) e é assim que ele funciona.
O que acontece quando você inicia a sessão com o Facebook ou Google?
Digamos que você quer entrar no site peopleeatingcupcakes.com, pois tem uma necessidade insaciável para ver outras pessoas comendo cupcakes…
Por que não? Não vamos julgá-lo aqui.
Na maneira normal de fazer as coisas, peopleeatingcupcakes.com solicitaria a criação de uma conta com eles. Isso normalmente exigiria criar (outro) nome de usuário e fornecer um endereço de e-mail para o qual eles possam mandar uma mensagem de confirmação, apenas para garantir que você é uma pessoa de verdade e não algum bot com interesses gastronômicos por cupcakes.
Ao usar o Facebook ou Google para iniciar a sessão, tanto você quanto o site pulam essa dança. Em vez disso, você depende desses serviços para responder por você e gerenciar sua conta.
A parte importante é essa: o novo serviço nunca recebe sua senha.
Ao iniciar a sessão, peopleeatingcupcakes.com direciona você ao Facebook ou Google e você inicia a sessão com eles. O Facebook ou Google então envia um token de volta ao site que essencialmente diz “sim, essa pessoa é quem diz que é. Vá em frente”.
Você então está livre para explorar o mundo maravilhoso das pessoas comendo cupcakes.
Qual é a pegadinha?
Porque, claro, há uma pegadinha. Estamos falando do Facebook e Google.
Na maioria dos casos, o serviço acessado terá acesso a alguns aspectos de sua conta.
No mínimo, eles obterão acesso ao seu perfil público do Facebook ou seu endereço de e-mail. Mas, em alguns casos, eles podem conseguir mais que isso, como acesso à sua lista de contatos ou a capacidade de publicar em seu muro.
O Facebook permite um certo nível de controle detalhado sobre o que você compartilha e o Google provavelmente seguirá a tendência. Basta ter em mente que alguns serviços dependem dessas informações, por isso, recusar a permissão poderá fazer com que eles não funcionem.
Certo. Então, é seguro?
De muitas formas, sim. De fato, é muito mais seguro entrar em outros sites com o Google ou Facebook do que criar uma conta autônoma e senha. A explicação:
-
Uma senha a menos para você lidar
Acredite em nós: segurança é difícil.
A menos que você esteja usando um gerenciador de senhas, quanto mais senhas você criar (e você deve criar senhas exclusivas para cada site que usar), mais chances elas têm de serem fracas.
Se uma dessas contas for invadida, os hackers poderão descobrir seu padrão de criação de senhas. Ainda pior, se não estiver usando senhas exclusivas, eles terão a chave de todas as suas contas.
Com o Oauth, você pode se concentrar em garantir que sua senha não seja fraca e depois, essa será a única senha que você precisará lembrar.
-
Você conta com a segurança do Facebook ou Google
Como eu acabei de dizer, segurança é difícil.
Peopleeatingcupcakes.com pode ser um excelente site. Mas, provavelmente, não tem os recursos para investir em sua segurança no mesmo nível que os Facebooks e Googles da vida.
Outra maneira de ver isso é perguntar a si mesmo: eu confio que esse site manterá minhas informações em segurança? Provavelmente, você já confia no Facebook e Google nesse aspecto, mais do que em algum site aleatório pequeno.
-
Em caso de invasão, há pouco a perder
Lembre-se, peopleeatingcupcakes.com não tem realmente sua senha. Eles não têm nada além de um token que permite confirmar sua identidade com o Google ou Facebook. Se o site for invadido, não há nenhuma conta real das suas informações para ser perdida.
-
Você pode revogar o acesso
Mesmo se peopleeatingcupcakes.com for invadido ou você tiver finalmente se cansado dos cupcakes e quiser deixá-los para trás, você pode revogar seu token e remover seu acesso a seus dados a qualquer momento. Provavelmente, isso será muito mais avançado que o sistema de gerenciamento de contas usado pelas pessoas do cupcake. Em muitos casos, esses sistemas não têm opção de excluir contas.
-
Você pode usar autenticação com dois fatores
Esse é, indiscutivelmente, o ponto mais importante: não importa o quanto uma senha criada por você seja forte, ela não é tão boa quanto adicionar um segundo método de verificar sua identidade. Na maioria dos casos, ele pode ser um simples código baseado no tempo enviado a seu telefone através de SMS ou um aplicativo de autenticação, como Authy, mas há outros métodos.
A maioria dos serviços que oferecem Oauth também oferece autenticação com dois fatores. Se ainda não ativou esse recurso, você deveria.
O problema da cesta
Mas, eu ouvi você dizer, e se o Facebook ou Google for invadido? Não é como colocar todos seus ovos em uma cesta?
Bem, até um certo grau, sim. Por isso, você precisa garantir que tem uma senha forte e autenticação com dois fatores configurada para essas contas.
Mas, pense nisso: se você depender de uma conta de e-mail para gerenciar todas essas contas separadas e ela for invadida, é basicamente a mesma história, apenas o cesto é diferente. O hacker pode usar seu e-mail para redefinir todas as suas senhas em todos os seus serviços.
Nesse aspecto, o Facebook pode ser um pouco mais seguro, pois sua conta do Facebook geralmente não é também uma conta de e-mail. Mas há outras maneiras de mitigar as violações de e-mail, independentemente do serviço.
Que tal confiar em um gerenciador de senhas?
Há certamente muitas coisas boas a dizer sobre gerenciadores de senha.
Mas, nesse caso, confiar em um gerenciador de senhas para criar várias senhas fortes e exclusivas para cada site não equivale a uma segurança melhor que os logins Oauth fornecidos pela Google ou Facebook.
Para começar, você ainda depende da segurança desse pequeno serviço, peopleeatingcupcakes.com, para manter essa senha exclusiva e sua conta a salvo contra uma violação. Se eles não cumprirem os requisitos mínimos, você precisará alterar a senha e só fará isso se souber da violação.
Enquanto isso? Você foi invadido e alguém está brincando com sua conta e dados.
Novamente, a autenticação com dois fatores pode fazer com que isso não seja um problema. Os melhores gerenciadores de senha são compatíveis com ela. Se o seu não for, considere obter um novo.
Segundo, você ainda estará brincando com uma cesta diferente: dessa vez, seu gerenciador de senhas. Se esse gerenciador é mais seguro que a segurança do Google ou Facebook é objeto de debate, mas não se pode negar que uma violação no gerenciador significaria que os bandidos teriam acesso a todas as suas contas.
E os gerenciadores de senha não são imunes a invasões.
É o bastante: devo usá-los ou não?
Desde que esteja usando uma senha forte e configurado a autenticação com dois fatores para sua conta do Facebook ou Google, use. Será mais seguro que a maioria das alternativas.