Otázka čitateľa: Na mnohých stránkach vidím možnosť registrácie a prihlásenia cez Google alebo Facebook konto. Chcel by som sa opýtať, ako je to vlastne bezpečné. Hrozí mi, že ak stránka nie je dôveryhodná, prezradím tým svoje heslá k sociálnym účtom alebo mailu? Dávam takýmto stránkam plný prístup k svojim účtom? Alebo ako to vlastne funguje?
Je nutné upozorniť, že vaša otázka sa týka dvoch rozličných vecí. V prvom rade sa pýtate, či je takéto prihlásenie bezpečné z hľadiska kompromitácie vášho hesla. V tom druhom či je takéto prihlásenie bezpečné z hľadiska vášho súkromia. Odpovede na tieto otázky sú výrazne odlišné.
Pozrime sa najprv na to, či je takéto prihlásenie alebo registrácia bezpečná z hľadiska vašich prihlasovacích údajov. Rýchla odpoveď je nekompromisné áno. Prihlasovanie do rôznych internetových služieb, stránok a aplikácií pomocou Google, alebo Facebook účtu je dokonca obvykle výrazne bezpečnejšie, ako alternatívne prihlásenie klasického typu, pri ktorom si vytvárate nový špecializovaný účet s menom a heslom.
Dôvodom pre tento stav je to, aké gigantické sú spoločnosti v podobe Facebooku a Goooglu v rámci IT odvetvia. Kvalitné a takmer neprelomiteľné zabezpečenie používateľských účtov a hesiel je náročná úloha. Či už ide o dvojfaktorovú autentifikáciu, kontrolu histórie prihlásení a lokality a odolnosť proti prieniku a ukradnutiu databázy, to všetko si na špičkovej úrovni vyžaduje nemalé investície.
Bežná spoločnosť takéto prostriedky nemá a preto môžete mnohokrát naraziť na správy o únikoch hesiel, čo znamená to, že v rámci webovej služby alebo stránky došlo k prieniku a ukradnutiu databázy so všetkými prihlasovacími menami a heslami používateľov. Koniec koncov, práve takto sa takmer výhradne heslá kompromitujú z pohľadu používateľa, pretože ukradnuté zoznamy sú následne predávané na čiernom trhu za pár desiatok až stoviek dolárov (prihlasovacie mená a heslá obvykle fungujú aj na mnohých iných stránkach, pretože používatelia obvykle volia všade rovnaké). Tomuto pri registrácii alebo prihlásení cez Facebook/Google účet zabránite. Prebieha to nasledovne.
Predstavte si, že si kúpite napríklad smarthodinky Fitbit a následne si u tejto firmy vytvárate používateľský účet, aby ste mohli používať ich cloudové funkcie. Ak použijete klasickú registráciu, pri ktorej si zvolíte prihlasovacie meno, heslo a zadáte pre potvrdenie napríklad e-mailovú adresu, tak účet na servery Fitbitu sa vytvorí a spolu s ním sa v databáze tejto spoločnosti uloží vaše meno a heslo. Pri nasledovnom prihlasovaní sa kontroluje správnosť vášho hesla podľa uložených dát v databáze tejto firmy.
Ak ale naopak pri registrácii kliknite na možnosť prihlásenia cez účet Facebooku alebo Google, účet sa na serveri Fitbitu vytvorí takisto, ale namiesto vytvorenia mena a hesla vás stránka len požiada, aby ste potvrdili svoju identitu v okne s Facebookom alebo Googlom, ktoré otvorí. Autentifikácia prebieha na pozadí pomocou rôznych typov protokolov (obvykle OAuth alebo OpenID), ale obrazne povedané ide o to, že Fitbit vás pošle napríklad k dverám Facebooku a povie vám, aby ste od neho doniesli potvrdenie, že ste jeho používateľ. Facebook si na svojej stránke od vás vypýta vaše prihlasovacie údaje a ak ich zadáte, dá vám do ruky unikátny opečiatkovaný papierik s potvrdením, ktorý hovorí „Áno, toto je náš používateľ a práve to potvrdil prihlásením do nášho systému“. S tým sa vrátite automaticky nazad na stránku Fitbitu, kde si stránka overí, či je potvrdenie pravé a je hotovo.
Ako vidíte, Fitbit, či akékoľvek iná stránka v takomto prípade vaše meno a heslo do Facebooku nedostane. To dostane len Facebook a stránke už odovzdávate len Autorizačný kód, teda potvrdenie, že ste procesom prihlásenia na Facebooku prešli. Toto potvrdenie si znova stránka od Facebooku/Googlu vyžiada zakaždým, keď sa k svojmu účtu na Fitbite budete prihlasovať. Keďže Fitbit vaše heslo nepozná, nemá ho u seba ani uložené a nemôže byť teda pri prieniku do ich služby kompromitované.
Vo výsledku je teda tento typ registrácie nielen omnoho rýchlejší a pohodlnejší (nie je nutné si pamätať heslá pre každú službu zvlášť), ale takisto bezpečnejší, pretože autentifikácia vašej identity je prenechaná systému IT giganta (to platí pravdaže iba ak ide o stránku či službu bežného typu. Ak sa prihlasujete cez Facebook konto napríklad do nejakej služby Microsoftu, tak táto výhoda nevzniká, pretože Microsoft je z hľadiska bezpečnosti vášho internetového prihlasovania na úrovni svojich konkurentov).
Jediné nebezpečenstvo, ktoré pri tomto type prihlasovania vzniká je to, že môžete naletieť nejakej podvodnej stránke v rámci phishingu. Pri Fitbite to samozrejme nehrozí, ale ak sa registrujete na nejakej podozrivej stránke alebo službe, ktorá nie je nijak verejne známa, vždy sa uistite, že otvorené okno s prihlásením do Facebooku alebo Googlu má naozaj v adresnom riadku adresu Googlu a Facebooku, vrátane https predpony a nejde teda len o napodobeninu na adrese typu www.daj-mi-tvoje-heslo-som-facebook.com.
Nevýhodou takisto je, že ak o účet na Facebooku alebo Googlu v budúcnosti prídete (napr. z dôvodu vedomého porušenia podmienok, nevedomého porušenia omylom, alebo aj bez viny pri omyle zo strany poskytovateľa), stratíte aj prístup ku každému účtu vytvorenému týmto spôsobom.
Registrácia v službe TripCase
Druhá otázka sa týka toho, či je takéto prihlasovanie bezpečné z hľadiska vášho súkromia. Tu je rýchla odpoveď taká, že nie celkom. Prihlásením týmto spôsobom totiž firme odovzdávate niektoré informácie o vašom Facebook/Google účte. Stupeň prezradenia informácií je prípad od prípadu odlišný. V základe ale počítajte s tým, že v rámci Facebooku je odovzdané všetko, čo je na vašom verejnom účte, ako napríklad meno či profilová fotografia. Google okrem mena obvykle odovzdáva e-mailovú adresu a prípadne aj telefónne číslo.
Ak chce nejaký web, služba či aplikácia získať viac dát, obvykle to znamená, že u Facebooku/Googlu už musí prejsť náročnejším schvaľovacím procesom. Takéto povolenia už teda dostanú len legitímne a overené spoločnosti. Tie si v rámci prihlásenia môžu od Facebooku vyžiadať napríklad zoznam vašich priateľov, vaše záujmy či napríklad fotografie, na ktorých je vložená vaša menovka. Preberanie dát tohto typu je dnes navrhnuté tak, že pri registračnom prihlásení vám Google alebo Facebook ukáže, aké dáta si od nich stránka alebo aplikácia žiada. Niektoré, ako napríklad už spomenuté zdieľanie verejných dát, môžete iba akceptovať, avšak iné, ako napríklad poskytnutie vašich fotografií, môžete zakázať. V minulosti udelené povolenia môžete v nastavení Facebooku odobrať aj dodatočne, avšak to už na dátach, ktoré boli odovzdané pravdaže nič nezmení. Zvážte, aké dáta poskytnete, pretože nikdy si nemôžete byť úplné istí, na čo ich daná firma použije a komu všetkému ich poskytne za vaším chrbtom.
Okrem toho pamätajte na to, že zdieľanie dát ide obvykle oboma smermi a Facebook a Google ich neponúkajú webom či aplikáciám len tak zadarmo alebo bez protislužby. Ak sa napríklad prihlasujete týmto spôsobom do nejakej streamingovej služby hudby či videa, Facebook si od nej neskôr veľmi rád prevezme podrobné reporty o vašej aktivite a preferenciách, čo využíva na lepšiu znalosť o vás a lepšie cielenie reklamy.
V niektorých prípadoch, a to najmä pri prihlasovaní v rámci mobilných aplikácií, si spoločnosti vypýtajú od Facebooku aj možnosť vkladať na vašu stenu príspevky (napríklad o tom, že aplikáciu používate). Takýto externý prístup k vášmu účtu neprebieha cez vaše prihlasovacie údaje, ale na základe prístupového tokenu, ktorý Facebook vydá presne pre danú aplikáciu/službu. Ide prakticky o sekundárne prístupové dvere do vášho účtu, určené len pre nich. Toto povolenie je obvykle len dočasné a je nutné ho pravidelne obnovovať (takýto obnovovací token Facebook udelí firme v prípade, že danú službu naďalej používate), pričom sa riadi pomerne prísnymi pravidlami a limitmi, aby to používateľ nevnímal ako veľkú inváziu do svojho obsahu.
