Jednotné přihlašování: Je bezpečné přihlašovat se přes Google, Facebook nebo Apple?

249
0
SDÍLET

Díky přihlašování pomocí účtů Google, Apple nebo Facebook nemusejí uživatelé neustále vytvářet nové sady uživatelských jmen a hesel. Navzdory tomuto pohodlí může jednotné přihlášení (SSO) znamenat riziko.

Pokud se ke všem službám přihlašujete účtem Googlu, musí být jeho odolnost proti hackerům opravdu robustní. Prolomení zabezpečení účtu by totiž mohlo mít neblahé následky, například kdyby hackeři získali oprávnění k přístupu ke všem propojeným profilům.

Navíc používání účtu Google nebo Facebook k přihlašování jen rozšiřuje jejich dosah do vašeho digitálního života. Vzhledem k tomu, že vás Google neúnavně sleduje online, možná byste mu nechtěli záměrně poskytovat další informace.

Podívejme se tedy, proč by volba staré dobré kombinace uživatelského jména a hesla mohla být lepší.

Jak funguje přihlašování pomocí služby Google nebo Apple?

Když se rozhodnete připojit k aplikacím nebo webům, můžete si všimnout různých možností registrace. Obvyklou cestou je zadání profilových údajů, e-mailové adresy a nastavení hesla. Jednotné přihlášení však znamená použití tokenů od vybraného poskytovatele identit (IdP) k ověření identity.

Největší hrozbou přihlašování pomocí služeb třetích stran je, když u těchto společností dojde k úniku dat. Pak by únik dat mohl usnadnit neoprávněné přihlášení.

V roce 2018 společnost Facebook oznámila narušení, které se týkalo 50 milionů účtů. Podle výzkumníků chyby zodpovědné za tento incident umožnily útočníkům získat tokeny SSO. Hackeři tak mohli dostat přístup k účtům propojeným s Facebookem.

A obavy jsou o ochranu osobních údajů jsou v tomto případě namístě – služby používané pro SSO například získávají jasný přehled o tom, kde uživatelé tráví čas a jaké mají nákupní/prohlížecí zvyky. SSO je kvůli těmto obavám méně populární. Ve skutečnosti už některé významné společnosti dokonce upustily od možnosti SSO prostřednictvím facebookového účtu.

Jednotné přihlašování a problémy se soukromím

Jednotné přihlášení je snadno dostupná možnost, která umožní vyhnout se rutinnímu vytváření další sady přihlašovacích údajů. Přihlašování přes Google nebo Facebook však jen prohlubuje závislost na těchto službách.

Například účet Google již zahrnuje podrobnosti o zvyklostech uživatele při prohlížení webu, vyhledávacích dotazech, poloze, zobrazených reklamách a další. Díky SSO získá ještě přímější přístup k aktivitě uživatele v aplikacích/stránkách třetích stran.

Studie společnosti LoginRadius naznačuje, jak rozšířené je přihlašování pomocí služby Google.

Přestože některé služby a uživatelé SSO zavrhli, je stále k dispozici u mnoha jiných, zejména mobilních her. Pohled na tuto skutečnost z hlediska ochrany soukromí bohužel naznačuje, že společnosti jako Google a Facebook generují nové příjmy ze sledování uživatelů.

Přihlašování pomocí služby Google nebo jiných poskytovatelů identit může komplikovat proces přihlašování. Může se stát, že nebudete dostávat relevantní oznámení od služeb nebo budete mít problém získat zpět přístup ke ztraceným účtům.

Uživatelé si mohou vytvořit více účtů, pokud zapomenou předchozí zvolený způsob SSO. To sice nepředstavuje hrozbu, ale dokazuje to, že SSO může být zbytečně matoucí.

Společnosti nemusejí správně integrovat jednotné přihlašování do svých služeb. Vývojáři zdůrazňují, že udržování zdravého přihlašovacího systému může být frustrující. Například je třeba vyvážit ověřování uživatelským jménem a heslem a IdP. Služby navíc budou pravděpodobně zahrnovat více poskytovatelů SSO, například Google, Facebook, GitHub, Apple, Okta, Microsoft atd. Všechny tyto integrace tedy budou muset fungovat bez problémů.

Vzhledem k tomu, že služby nedostávají e-mailové adresy uživatelů, bude zasílání oznámení nebo bezpečnostních upozornění obtížné. Poskytovatelé mohou potřebovat zasílat upozornění na různé změny. Kvůli jednotnému přihlášení mohou mít omezené možnosti kontaktování. Třeba v situaci, kdy dojde k bezpečnostnímu incidentu, je potřeba kontaktovat uživatele. Služba, ke které se uživatel připojí prostřednictvím SSO, nemá k dispozici jeho přihlašovací údaje. Pokud tedy dojde k narušení, nebudou tyto informace součástí uniklých dat. Jak je však vidět v případě Facebooku, únik může odhalit tokeny, které slouží k ověřování u jiných služeb.

SSO je zranitelné vůči různým technikám hackerských útoků. Jednou z hrozeb je pre-hijacking, který spočívá v kompromitaci ještě nevytvořených účtů.

Může být nejasné, zda potřebujete pomoc od IdP nebo od služby, která ji využívá. Proces obnovy tak může být zbytečně dlouhý a skákat od jednoho týmu podpory k druhému.

Přestat s jednotným přihlašováním?

Možnosti jednotného přihlašování celkově představují řadu rizik pro soukromí a bezpečnost. Pokud dojde k narušení bezpečnosti údajů u služby poskytovatele identit, není zaručeno, že účty s ní propojené zůstanou nedotčeny. Kromě toho je jednotné přihlašování náchylné k útokům, které nemusejí být proveditelné prostřednictvím obvyklých kombinací uživatelského jména a hesla.

Na druhou stranu je přihlašování prostřednictvím poskytovatelů služeb třetích stran rozhodně lepší než opakované používání hesel. Ve srovnání s moderními správci hesel však může být jednotné přihlášení méně bezpečnou cestou.

Vytvoření účtu se může zdát jako bezvýznamný krok k používání služby. Rozhodnutí, která v této fázi učiníte, však mohou ovlivnit vaši budoucnost. Pokud si nejste jisti možnostmi jednotného přihlášení, nevyužívejte ji a pro každý účet vytvořte jedinečné heslo.