Vì sao nên suy nghĩ kỹ trước khi đăng nhập bằng tài khoản mạng xã hội?

Mỗi khi bạn đăng ký một dịch vụ mới, bạn có thể chọn cách tạo một username và mật khẩu hoặc chỉ cần đăng nhập bằng Facebook hoặc Twitter. Việc đăng nhập bằng tài khoản Google của bạn thường cũng là một tùy chọn. Nó rất nhanh chóng và dễ dàng. Nhưng bạn có nên làm điều đó không?

Việc đăng nhập bằng tài khoản mạng xã hội hoạt động như thế nào?

Đăng nhập bằng tài khoản mạng xã hội của bạn sử dụng giao thức được gọi là OAuth, giao thức này cho phép một ứng dụng hoặc dịch vụ (ứng dụng yêu cầu hoặc dịch vụ bạn đăng ký) kết nối với ứng dụng hoặc dịch vụ khác (nhà cung cấp dịch vụ hoặc mạng hiện tại bạn đang đăng nhập) và hành động thay mặt cho bạn. Điều này được thực hiện bằng cách phát hành các “mã thông báo” cho ứng dụng yêu cầu. Các mã thông báo này hoạt động giống như username và mật khẩu của bạn, vì chúng cung cấp cho ứng dụng yêu cầu quyền truy cập vào dịch vụ được bảo vệ bằng mật khẩu (ví dụ, Facebook).

Điều quan trọng ở đây là username và mật khẩu thực của bạn không bao giờ được trao đổi giữa các ứng dụng, và ứng dụng yêu cầu chỉ truy cập vào một phần giới hạn của tài khoản được bảo vệ bằng mật khẩu của bạn mà thôi.

Cơ chế hoạt động

Hãy xem một ví dụ nhanh như sau: Giả sử bạn đang sử dụng Blurb để in ảnh từ Facebook. Bạn truy cập vào Blurb (ứng dụng yêu cầu) và cho nó biết rằng bạn muốn in ảnh từ Facebook. Blurb sẽ đưa bạn trở lại Facebook (nhà cung cấp dịch vụ), nơi bạn nhập thông tin đăng nhập của mình (gửi trực tiếp lên Facebook chứ không phải Blurb) và yêu cầu bạn cho Facebook biết rằng, bạn cho phép Blurb truy cập vào phần ảnh của bạn. Bây giờ, Blurb có thể tải xuống những ảnh đó để in chúng. Nếu Blurb cố gắng truy cập dòng thời gian của bạn, nó sẽ bị từ chối vì mã thông báo chỉ cho phép truy cập vào ảnh và profile công khai của bạn mà thôi.

OAuth không bao giờ chia sẻ username hoặc mật khẩu của bạn với ứng dụng yêu cầu, vì việc giữ bí mật username và mật khẩu của bạn sẽ giúp bảo mật chúng. Và để ngăn ứng dụng hoặc dịch vụ yêu cầu truy cập tài khoản của bạn, tất cả những gì bạn phải làm là nhấp vào “revoke access” để thu hồi quyền truy cập, thay vì thay đổi mật khẩu của bạn.

Đăng nhập bằng tài khoản mạng xã hội có an toàn không?

Quá trình này có vẻ khá đơn giản. Nhưng nó an toàn đến mức nào? Chúng ta có nên lo lắng về tính bảo mật của các trang web OAuth không?

Từ quan điểm bảo mật, OAuth trông khá an toàn. Trường hợp xấu nhất vẫn không dẫn đến việc tiết lộ mật khẩu tài khoản mạng xã hội của bạn. Và khả năng thu hồi ngay lập tức quyền truy cập vào bất kỳ ứng dụng nào có mã thông báo, có nghĩa là ngay cả khi trang web bị tấn công hoặc mã thông báo có vấn đề, bạn chỉ cần nhấn nút thu hồi truy cập và chúng sẽ không thể truy cập vào trang mạng xã hội của bạn nữa.

Thực tế là bạn chỉ chia sẻ quyền truy cập vào một tập con dữ liệu cụ thể trên trang mạng xã hội của bạn. Nếu ai đó hack Snapfish và muốn truy cập vào ảnh trên Facebook của bạn, bạn cũng không nên quá lo lắng.

An toàn không

Mặc dù đã phát hiện ra một lỗ hổng bảo mật gần đây trong OAuth, hệ thống này vẫn là một hệ thống khá tốt.

Tuy nhiên, có nhiều tính năng an toàn trực tuyến hơn là chỉ dùng mã hóa và mã thông báo. Một trong những cách tốt nhất để đảm bảo rằng, bạn an toàn khi đang trực tuyến là sử dụng một mật khẩu mạnh. Và OAuth giúp ích rất nhiều cho điều đó, bằng cách đăng nhập bằng chính tài khoản Twitter hoặc Google, và bạn không phải tạo một mật khẩu khác rồi ghi nhớ chúng. Nếu bạn có mật khẩu Facebook rất mạnh, bạn có thể sử dụng mật khẩu đó để truy cập một số thứ mà không cần sử dụng cùng một mật khẩu cho nhiều trang web khác nhau.

Đây là một lợi thế đặc biệt của OAuth và thực tế, việc giới hạn số lượng trang web có cùng một mật khẩu là điều nên làm.

Điều cần lưu ý là các trang web truy cập profile trên mạng xã hội của bạn không thể thực hiện bất kỳ hành động quan trọng nào, như chúng không thể xóa tài khoản của bạn, thay đổi mật khẩu hoặc thực hiện bất kỳ thay đổi lớn nào khác, nên bạn có thể yên tâm.

Bạn đang có nguy cơ gặp phải những rủi ro gì?

Thật không may, không có gì là đơn giản khi nói đến vấn đề bảo mật và an toàn khi trực tuyến. Có một số rủi ro khi sử dụng OAuth, chủ yếu liên quan đến quyền riêng tư.

Ví dụ, bạn có thường xuyên dành thời gian để xem các quyền mà bạn đang cung cấp, khi sử dụng Facebook Connect không? Mặc dù ứng dụng chỉ nên yêu cầu quyền truy cập vào thông tin mà chúng cần để phục vụ bạn tốt hơn, chúng lại thường yêu cầu nhiều hơn thế. Ví dụ, các ứng dụng này thường muốn truy cập vào dòng thời gian, thông tin bạn bè và khả năng đăng bài của bạn chẳng hạn.

Đôi khi đây là một điều tốt, giả sử khi bạn muốn tích hợp Twitter vào ứng dụng danh bạ hoặc ứng dụng đọc tin tức của bạn. Hoặc bạn có thể muốn đăng kết quả tập luyện của mình từ RunKeeper hoặc MapMyFitness. Nhưng không có sự cho phép nào sẽ ngăn các ứng dụng hoặc dịch vụ khỏi việc đăng bất cứ điều gì chúng muốn. Không có tùy chọn "chỉ đăng kết quả khảo sát" thôi. Và bạn chỉ có thể tin tưởng rằng ứng dụng sẽ chỉ đăng những thứ bạn muốn.

Bạn cho đi những gì?

Và bạn có thể mất đi nhiều thông tin hơn bạn nghĩ. Ai quan tâm nếu cửa hàng yêu thích của bạn nhìn thấy những gì bạn đang đăng trên Facebook, phải không? Họ có thể nhận được nhiều thông tin hơn bạn tưởng tượng đấy.

Ví dụ, tại hội thảo năm 2012, một công ty của Nhật Bản đã nói về cách sử dụng thông tin trên profile Facebook của người dùng để suy luận về “giai đoạn trong cuộc sống” (cho dù họ kết hôn hoặc chưa kết hôn, có thai, đang ăn kiêng, hay đang lập kế hoạch cho một bữa tiệc, v.v...), "hộ gia đình" (nếu họ có con, cha mẹ già, thú cưng, chung cư, v.v...) và "cá tính" (họ làm tình nguyện, bói toán, thực phẩm, du lịch, thể thao, v.v...) của khách hàng.

Một thành viên của đội marketing nói rằng nhóm "có thể tìm hiểu nền tảng cuộc sống của khách hàng - lối sống và tâm lý của họ. Sau đó chúng tôi có thể nhắm mục tiêu của công ty sao cho phù hợp với từng loại đối tượng khách hàng. Và chúng ta có thể dự đoán ai đó cần một sản phẩm như thế nào, dựa trên những gì họ nói trên mạng xã hội."

Bạn không nghĩ rằng bạn đã cho đi nhiều thông tin tới như vậy, phải không?

Tất nhiên, bạn có toàn quyền kiểm soát những gì bạn đang chia sẻ với một công ty sử dụng thông tin đăng nhập mạng xã hội và số lượng thông tin họ có thể thu thập từ bạn, nhưng chỉ khi bạn dành thời gian đọc các quyền mà họ yêu cầu. Và không nên cấp quyền truy cập vào những thứ bạn muốn giữ riêng tư. Nhưng điều đó không phải lúc nào cũng dễ dàng, bởi vì một số ứng dụng và dịch vụ hiện đang sử dụng đăng nhập chỉ dành cho Facebook hoặc Twitter, nghĩa là nếu bạn không đồng ý với các điều khoản của họ, bạn sẽ không thể sử dụng dịch vụ mà họ cung cấp.

Vậy bạn nên làm gì?

Như với hầu hết mọi thứ, vấn đề đăng nhập bằng tài khoản mạng xã hội có hai mặt. Nói chung, nó khá an toàn và bạn thực sự có khá nhiều quyền kiểm soát đối với lượng thông tin mà bạn chia sẻ.

Bạn nên làm gì

Mặt khác, bạn có thể cho đi rất nhiều thông tin, nếu bạn không kiểm soát một cách cẩn thận. Vậy bạn nên làm gì trong trường hợp này?

Đọc yêu cầu cấp phép trước khi cấp quyền:

Đây là một điều quan trọng, và nó sẽ trở nên quan trọng hơn khi các dịch vụ web ngày càng mang tính tích hợp hơn. Nếu bạn không muốn dữ liệu về bạn bè trên Facebook của mình bị thu thập, thì đừng cho phép truy cập vào Facebook.

Thường xuyên xem xét quyền của ứng dụng đang sử dụng:

Trên Facebook, chuyển đến tab Apps trên màn hình Settings. Trên Twitter, bạn cũng làm tương tự như vậy. Google thì phức tạp hơn một chút. Bạn cần truy cập accounts.google.com, sau đó nhấp vào Security, sau đó nhấp vào View All under Account Permissions. Xem ứng dụng nào có quyền truy cập vào dữ liệu của bạn và thu hồi quyền truy cập cho bất kỳ ứng dụng nào bạn không sử dụng nữa. Nếu bạn thấy một ứng dụng có nhiều quyền truy cập, bạn nên xem xét việc thu hồi quyền truy cập và xem liệu bạn có thể đăng nhập vào dịch vụ đó bằng username và mật khẩu truyền thống hay không.

Để tăng tốc quá trình, bạn có thể sử dụng MyPermissions, công cụ giúp bạn quản lý các quyền của mình trên Facebook, Twitter, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox và nhiều ứng dụng khác.

Từ chối quyền và đặt đối tượng được phép chia sẻ.

Nếu ứng dụng yêu cầu quyền chia sẻ thay cho bạn qua mạng xã hội, bạn có thể không cấp quyền đó (bạn sẽ thấy điều này trên Facebook khi bạn thấy nút “Skip”). Nếu đó là điều bạn có thể lựa chọn, hãy sử dụng nó! Bạn cũng có thể đặt đối tượng được phép chia sẻ. Ví dụ, bạn có thể chia sẻ với tất cả bạn bè, đối tượng tùy chỉnh hoặc chỉ mình bạn.

Cấp quyền truy cập khác nhau với từng tài khoản:

Bạn đăng bài gì trên Instagram? Bạn đăng bài gì trên Twitter? Yêu cầu đọc bài đăng trên Foursquare của bạn có thể ít đáng sợ hơn việc cấp đặc quyền “Compose and send new mail” (Soạn và gửi thư mới) trên tài khoản Gmail của bạn.

Quyền trên Gmail

Thay đổi mật khẩu của bạn thường xuyên:

Khi bạn thay đổi mật khẩu, một số mã thông báo OAuth sẽ bị vô hiệu hóa ngay lập tức, yêu cầu bạn đăng nhập lại và phê duyệt lại mã thông báo. Gmail và Facebook sẽ vô hiệu hóa các mã thông báo khi bạn thay đổi mật khẩu của mình, nhưng Twitter và Google+ thì không. Đối với các dịch vụ như thế này, bạn cần phải thu hồi quyền truy cập và sau đó cấp lại quyền.

Đăng nhập vào các trang web và dịch vụ bằng thông tin đăng nhập mạng xã hội của bạn sẽ bổ sung nhiều điểm tiện lợi và thậm chí là giúp ích một chút cho vấn đề bảo mật. Nhưng nó có thể gây ra nguy hiểm tới sự riêng tư. Nhưng bạn có thể khắc phục vấn đề này bằng 5 lời khuyên trên đây.

Bạn có thường xuyên sử dụng thông tin đăng nhập mạng xã hội của mình trên một trang web khác không? Bạn có cảm thấy an toàn khi làm việc đó không? Bạn có đọc và kiểm tra lại quyền truy cập thường xuyên không? Chia sẻ suy nghĩ của bạn trong phần bình luận bên dưới nhé!

Xem thêm:

Chủ Nhật, 24/07/2022 08:29
51 👨 400
0 Bình luận
Sắp xếp theo
    ❖ Giải pháp bảo mật