サードパーティのソーシャルログインは安全でプライベートですか？

アカウントを手動で作成するのは面倒です。メール、パスワード、基本情報の設定に5分も費やさずに、アプリのサービスにアクセスしたいだけです。そのため、[Facebookでログイン]ボタンと[Googleでログイン]ボタンがインターネット全体で非常に一般的になっています。

ユーザーは、アカウントの作成がはるかに簡単になるため、このフェデレーションログイン手法を気に入っています。また、Webサイト/アプリは、より多くのユーザーがアカウントにサインアップできるため、この手法を気に入っています。 Google、Facebook、Twitter、Microsoft、LinkedIn、Github、WeChat、VKontakte、Weiboなどを使用してアカウントを作成できるため、これらのサービスのいずれかを使用した可能性がありますが、それが良いアイデアかどうかも簡単に疑問に思います。疑問に思うのは当然です。はい、便利ですが、セキュリティに関してはトレードオフがあり、プライバシーに関しては本質的に一方通行です。

ソーシャルログインはどのように機能しますか？

すべてのシステムが同じように機能するわけではありませんが、基本的なプロセスはかなり普遍的です。ほとんどのサードパーティのログインサービスは、OpenIDプロトコルとOAuthプロトコルのいくつかの組み合わせを使用します。 OpenIDはユーザーの承認を処理し（Facebookにログインすると、使用しようとしているサイトへのIDが確認されます）、OAuthは、他のサイトがデータにアクセスする方法（名前、年齢、興味、友達など）を管理します。

ソーシャルログインプロセスに関与する主なプレーヤーは3つあります。

• アプリまたはサイトへのアクセスをリクエストしているユーザー（それはあなたです！）
• ユーザーがアクセスしたいアプリまたはサイト
• あなたの身元を確認し、あなたのデータへのアクセスを制御する承認者（Facebook、Googleなど）

一般的なソーシャルログインは次のようになります：

1. ユーザーが[____でログイン]ボタンを押します。
2. アプリは、ユーザーに承認者のサイトへのログインを求めるリンクを開きます。リンクには、どのサイトがリクエストを行っているかを承認者に伝える情報が含まれています。
3. ユーザーはユーザー名とパスワードを承認者のサイトに入力します。つまり、アプリにあなたの情報が表示されることはありません。
4. 承認者は1回限りのコードを生成し、それをアプリに送信します。
5. 次に、アプリはこのコードを承認者に送信し、承認者のAPIへのアクセスをリクエストします。
6. 承認者はコードを検証し、アプリが特定のユーザー情報を承認者に要求できるようにするトークン（通常は時間制限付き）をアプリに発行します。

Security Pro：ソーシャルログインは電子メールパスワードログインよりも安全です

ソーシャルログインは、それらを管理している企業と同じくらい安全です。これは、ソーシャルログインが世界最大のテクノロジー企業の一部であることを考えると、「かなり良い」カテゴリに分類されます。 FacebookとGoogleが左右にハッキングされることはありません。これは主に、多くのを気にかけているためです。 彼らのサイバーセキュリティについて、平均的な小売チェーンよりもはるかに多くの投資を行っています。

フェデレーションログインを使用する場合、アカウントを作成しているサイトが実際にユーザー名とパスワードにアクセスすることはありません。つまり、誰もあなたのアカウントを盗むことはできません（ただし、関連情報を取得する可能性があります）。

また、パスワードをあちこちに入力しているわけではありません。パスワードを頻繁に再利用する傾向があることを考えると、これは良いことです。いずれにせよ、私たちはおそらくパスワードのベストプラクティスに従わないので、セキュリティの悪さを広めることが少なければ少ないほどよいのです。

セキュリティ上の問題：ソーシャルログインがダウンした場合は、アカウントもダウンします

では、FacebookとGoogleが ハッキングされたり、誰かがあなたのアカウントに侵入したりしませんか？両社は過去にデータの問題を抱えており（Cambridge Analytica、Google +）、LinkedInは直接ハッキングされたため、ビッグテックはここで100％の実績を持っていません。

ソーシャルメディアにログインしている人が、ソーシャルメディアを使用してログインしたすべてのアプリやサイトであなたになりすましている可能性はありますか？基本的にはそうです。システム全体のセキュリティ違反、脆弱なパスワード、Facebookへのサインオンを待っているコンピュータ上のマルウェアなど、ログイン資格情報を持っている人は誰でも別のアプリであなたになりすますことができます。これにより、ソーシャルログインが単一障害点になり、許可アカウントが侵害された場合にドミノ効果が発生する可能性があります。

これは、安全を維持するために多くのことがソーシャルメディアアカウントに乗っていることを意味します。 Facebook、Google、Twitterはそのために一生懸命取り組んでいますが、パスワードが123456789であり（強力なパスワードについてはこれらのヒントを確認してください）、アカウントをログに記録しておけば、彼らができることは限られています。共有デバイスまたは物理的にアクセス可能なデバイスで。ソーシャルログインを使用する場合は、アクセスできるアカウントのキーのように扱う必要があります。

プライバシーの長所

ユーザーにとってプライバシー上のメリットは実際にはないため、これは短いセクションになります。ソーシャルログインは、データを要求した人にデータを送信するだけではありません。これは、予想される最小限のデータですが、ほとんどの場合、電子メールを使用した場合よりもはるかに多くの個人情報を放棄することになります。パスワードコンボ。

プライバシーの短所：誰もがあなたについてもっと学ぶ

使用しているサービスに応じて、ソーシャルプロファイルから取得できるデータアプリを多かれ少なかれ制御できます。ただし、意図した以上の情報を提供するのは簡単です。アプリは、ほとんどのユーザーがデフォルトで「はい」に設定する可能性があることを知っていれば、必要なものを何でも要求できます。友達、場所、投稿履歴、興味、その他の個人情報は、完全に気付かないうちに簡単に削除される可能性があります。

一方、ログインサービスを提供している企業のほとんどは、あなたに関するより多くのデータを収集することに非常に興味を持っていることを忘れないでください。彼らは、あなたが使用しているアプリ、それらを使用する頻度、そしてあなたがそれらで何をしているのかについてのさらに詳細な情報を知りたがっています。それらを使用してログインすると、基本的にその情報が直接彼らに提供されます。 FacebookとGoogleがログインサービスを使用するアプリから取得するデータの正確な量は明確ではありませんが、アプリで何をしているのかをよく知っている可能性のある会社に不安がある場合は、リンクしないことをお勧めします。その会社のアカウント。

ソーシャルログインを使用する必要がありますか？

多くの場合、ソーシャルログインはより安全になります。特に、メインアカウントをかなり厳重にロックするように注意し、アプリまたはサイトが最高のサイバーセキュリティを備えているかどうかわからない場合はなおさらです。ソーシャルログインを使用して大ざっぱなアプリやサイトにログインする方が実際には安全です。これは、複数のサイトで再利用する可能性のあるパスワードをあきらめることがないためです。それでも、安全性の高いサービスで機密情報を含む可能性のあるアカウントを作成する場合は、強力なメールとパスワードの組み合わせが最善の策です。

プライバシーに関しては、それは個人的な決定です。アプリに必要以上に自分のことを知らせたくない場合は、Facebookでログインしないでください。これは、他の方向にも同様に当てはまります。サードパーティが追加のデータを収集することに慣れていない限り、サードパーティの承認者を使用しないでください。