Люди привыкли, что почти на любом сайте можно не регистрироваться, а нажать на кнопку «Войти через Google» или другой сервис. В этом случае сайт подтягивает всю информацию с вашего аккаунта, в том числе и фотографию — это намного быстрее и удобнее, чем вводить все вручную. Но издание Wired предупреждает, что у этого метода авторизации есть один важный недостаток, про который нельзя забывать.
Инструмент для авторизации на сайтах через сторонние сервисы называется «технологией единого входа» или Single Sign-on (SSO). Этот инструмент не только позволяет быстро входить на любые сайты через один аккаунт, но и создает уязвимое место в информационной безопасности людей.
В чем опасность
Получив доступ к аккаунту Google, злоумышленники смогут получить доступ ко всем другим сервисам и сайтам, в которых человек зарегистрировался через SSO. Это могут быть не только социальные сети, но и другие более важные ресурсы — например, облачные хранилища.
Если планируете использовать Google, Facebook и другие сервисы для авторизации на других сайтах, то этот основной пароль должен быть очень сложным и дополнительно стоит использовать двухфакторную авторизацию.
У SSO есть другие проблемы — не все разработчики правильно реализуют поддержку этих инструментов. В 2018 году после масштабной утечки Facebook обнаружилось, что 95 популярных сайтов в интернете, которые используют SSO, позволяют поменять адрес электронной почты без смены пароля. Это значит, что если оставить открытым компьютер с этим сайтом, то любой человек сможет поменять электронную почту на свою, и человек потеряет доступ к этому сайту.
Также есть проблемы с восстановлением аккаунтов через SSO. С этим столкнулись владельцы айфонов, которые играли в Fortnite через аккаунт Apple. Игру удалили из Apple Store из-за разбирательств между компаниями, а на других устройствах авторизоваться через этот сервис нельзя. Поэтому игроки вынуждены создавать новый аккаунт и терять весь прогресс.
Поэтому для авторизации на особенно важных сайтах и сервисах лучше использовать отдельный сложный пароль или хотя бы пользоваться менеджерами паролей.
Это тоже интересно: