Video: LOGIN Y REGISTRO AUTOMÁTICO CON FB [SDK FB: PHP] (Noviembre 2024)
Estar seguro no es algo a veces, sino un proceso continuo. No está seguro porque usa una herramienta en particular; está seguro porque aplica una mentalidad de seguridad todos los días.
Toma contraseñas. Escucha los recordatorios todo el tiempo: no reutilice las contraseñas en sitios, aplicaciones y servicios. No escojas contraseñas débiles. Use un administrador de contraseñas para poder elegir contraseñas súper complicadas y no tener que preocuparse por tratar de recordarlas. Active la autenticación de dos factores siempre que sea posible. Todos estos son buenos consejos para recordar y seguir. A principios de esta semana, mi colega Neil Rubenking llevó la recomendación del administrador de contraseñas un paso más allá y dijo que iniciar sesión en sitios web de terceros con sus credenciales de Google, Facebook, Twitter u otras redes sociales es un riesgo de seguridad. No compro ese argumento.
Has visto de lo que estoy hablando. Si bien la mayoría de los servicios requieren que cree una cuenta desde cero, hay sitios donde puede iniciar sesión con sus credenciales de redes sociales. Expedia, por ejemplo, te permite iniciar sesión con Facebook. O Inoreader (mi lector RSS preferido), que le permite iniciar sesión con Google. Esto le permite omitir el proceso de creación de la cuenta e iniciar sesión con una cuenta que ya tiene. Conveniente, ¿verdad? Muy. ¿Es un problema de seguridad como dijo Neil en su artículo? No.
Cada vez que veo un sitio que me permite iniciar sesión con otra cuenta, elijo esa opción. No uso mi cuenta de Facebook para iniciar sesión (lo siento, Expedia), pero si hay una opción para usar mi cuenta de Google, lo hago. Tengo una contraseña fuerte y compleja y también habilité la autenticación de dos factores. Por lo tanto, mi cuenta de Google es lo más segura posible y confío en que Google tome las medidas necesarias para mantener segura mi información. Nada en contra de Facebook, pero creo que he tomado mejores medidas para proteger mi cuenta de Google que Facebook.
¿Confío en ti? No
Cuando entro en un sitio y tengo que crear una cuenta, mi primer pensamiento es: "¿Confío en ti?" ¿Confío en el sitio para mantener mis datos seguros? Y no solo me refiero a contraseñas y números de tarjetas de crédito. ¿Confío en que el sitio haya tomado las medidas necesarias para proteger mi número de teléfono, mi dirección postal y mi fecha de nacimiento en su base de datos? ¿Honestamente? Para la mayoría de las empresas, no, no lo hago. La seguridad de las aplicaciones es difícil: la mayoría de los desarrolladores todavía están aprendiendo prácticas de codificación seguras, al igual que asegurar la base de datos de manera efectiva. Este es un trabajo en progreso, y muchas compañías aún no están allí en términos de seguridad. Como no puedo andar preguntando a las empresas: "¿Confío en ustedes para mantener mi contraseña segura y que los hackers no la roben?" Tomo el camino fácil y asumo que no puedo.
¿Recuerdas la violación de Gawker hace unos años? Todas esas direcciones de correo electrónico y contraseñas se expusieron porque los desarrolladores de Gawker no tomaron medidas para protegerlas adecuadamente. No estoy diciendo que Gawker estaba equivocado, es una compañía de medios y nadie imaginó que alguien iría tras el sistema de comentarios del sitio. Pero sucedió Como consumidor, no voy a tratar de investigar qué compañías tienen la seguridad suficiente para confiar en su aplicación y cuáles no. Me voy a centrar en quién está haciendo bien el trabajo.
Lo importante de iniciar sesión con mis credenciales de Google: el sitio no guarda mi contraseña u otra información. Cuando hago clic en el botón Google+, me redirigen a una página de Google y me autentico en los servidores de Google. Google luego le dice al sitio que sí, que soy quien digo que soy y me envía de vuelta al sitio. Lo que significa que mi información permanece en Google y el sitio solo recibe un token que dice "ella inició sesión con éxito, déjala pasar".
Considere todas las infracciones del sitio que hemos visto en los últimos dos años. Hay sitios que me inscribo solo para ver cómo es, y luego abandono después de unos días porque no es lo que necesitaba. Si creé una cuenta en el sitio, mi información está en la base de datos de ese sitio. Incluso después de abandonar ese sitio, mi cuenta sigue viva. (Esta es la razón por la que no me gustan los sitios que no te permiten eliminar cuentas, pero esa es una historia diferente para otro día). Esos son muchos lugares potenciales para que me roben mis datos. Si uso mi cuenta de Google para iniciar sesión, entonces el sitio no tiene ninguna información sobre mí para que me roben. Eso es tranquilizador. Si abandono ese sitio, Google me permite revocar los permisos de la cuenta para que nadie más pueda iniciar sesión como yo.
Hablemos de revocar. El punto completo de permitir que Google, Facebook y Twitter manejen el inicio de sesión significa que también puede usarlos para bloquear el acceso. Por ejemplo, uso Google para iniciar sesión en Inoreader. Digamos que ya no quiero usar Inoreader más. Solo accedo a la configuración de mi cuenta de Google y hago clic en "revocar acceso". Y eso es. Por eso también uso Twitter para iniciar sesión en algunos sitios. Twitter hace que sea extremadamente fácil desconectar aplicaciones una vez que haya terminado.
Mi objetivo es tener la menor cantidad de bases de datos posible en el mundo que contenga un registro con mi información personal.
Otra cosa que me gusta de iniciar sesión con Google: las contraseñas específicas de la cuenta. Genero una contraseña aleatoria, que Google ahora sabe que es la contraseña para ese sitio. Esa contraseña funciona solo para ese sitio y no da acceso a nada más. En lugar de generar contraseñas a través de un administrador de contraseñas y crear una cuenta nueva, mantengo el proceso con Google. Utilizo una contraseña que no es mi contraseña de correo electrónico y estoy omitiendo todo el proceso de creación de la cuenta al apegarme a los mecanismos de Google. Esto es bastante útil si estoy iniciando sesión en una aplicación móvil, por ejemplo. Google ahora sabe cómo verificar mi identidad y, al igual que el inicio de sesión habitual, revoco la contraseña y esa aplicación ya no puede iniciar sesión.
Quédate con quién confías
Neil hizo una muy buena pregunta: pregúntese si ese sitio necesita saber algo sobre usted. ¿El sitio sobre usted necesita saber su nombre, dirección de correo electrónico, dirección física y número de teléfono, o cualquier otra información de perfil? Si no es así, no lo entregue. Mantenlo con quien confías.
Si su contraseña de Facebook es "Password1" y alguien con intenciones nefastas lo resuelve, entonces sí, esa persona puede seguir adelante y puede iniciar sesión en cualquier otro sitio que haya vinculado con su cuenta. Pero, ¿en qué se diferencia eso de que haya seleccionado "Contraseña1" para ese sitio? Si está utilizando una contraseña fácil de recordar para su correo electrónico o sitio de redes sociales, entonces es probable que no esté utilizando una cadena de caracteres difíciles de recordar para su cuenta de millas de viajero frecuente, ¿verdad? Así que es esa contraseña débil la que grita "¡Hackame!" no es el hecho de que haya iniciado sesión con una cuenta diferente. Y si alguien descubrió su contraseña de Google, no creo que su mayor preocupación sea si esa persona ahora puede iniciar sesión en sus cuentas vinculadas. No cuando es tan fácil solo pedir correos electrónicos de restablecimiento de contraseña.
La seguridad no tiene una bala mágica. Una herramienta determinada se puede usar tanto para bien como para mal. Todo depende de cómo lo abordes. Mi preferencia es permanecer fuera de las bases de datos. ¿Lo que es tuyo?
