Pense duas vezes antes de usar o Facebook, Google ou Apple para fazer login em todos os lugares

Views: 444
0 0
Read Time:5 Minute, 49 Second

As chamadas opções de login único oferecem muita conveniência. Mas eles têm desvantagens que um bom e velho gerenciador de senhas não tem.

SE VOCÊ ESTÁ SE AFOGANDO em logins de sites e constantemente usando pedidos de esquecia minha senha para entrar em contas aleatórias, um botão “Faça login com o Google” ou “Faça login com o Facebook” pode parecer muito com uma linha de vida. Os serviços fornecem uma maneira rápida de continuar o que você está fazendo sem ter que configurar uma conta inteira e escolher uma nova senha para guardá-la. Mas enquanto essas ferramentas de “login único” são convenientes, e oferecem alguns benefícios de segurança, eles não são a panaceia que você pode pensar.

Os esquemas SSO oferecidos pelas grandes empresas de tecnologia têm algumas vantagens óbvias. Por exemplo, eles são desenvolvidos e mantidos por empresas com recursos para assar em fortes recursos de segurança. Faça login com a Apple, que permite que você use TouchID ou FaceID para fazer login em qualquer número de sites.

Mas, para toda a sua conveniência, o SSO do consumidor também tem algumas desvantagens reais. Cria um único ponto de falha se algo der errado. Se sua senha ou token de acesso for roubado de uma conta que você usa para sso, todos os outros sites que você usou para fazer login podem ser expostos. E não só você tem que confiar nas empresas que oferecem SSO para proteger sua privacidade e segurança, você também tem que confiar em todos os sites de terceiros que oferecem essas opções para implementá-los corretamente.

“É difícil”, diz Wendy Knox Everette, conselheira sênior de segurança da empresa de consultoria de gerenciamento de riscos e segurança Leviathan Security. “Se as pessoas fossem realmente boas em usar senhas de um único site, então talvez fazer contas pontuais em sites de terceiros faria mais sentido. Mas as pessoas os reutilizam. Então, para mim, depende.

Os riscos inerentes não são apenas hipotéticos.

Se uma de suas senhas de acesso estiver comprometida, os enchas de credenciais e phishers poderão acessar todas as contas que você garantiu com essa senha. A melhor maneira de contornar isso é usar um gerenciador de senhas, que cria senhas fortes e seguras onde você precisar. (Você pode encontrar nossos favoritos aqui.) Como o SSO, os gerenciadores de senhas também podem se tornar um único ponto de falha se um invasor assumir o controle de seus dispositivos ou roubar sua senha principal única. Mas, ao contrário das configurações de login único, um gerenciador de senhas não exige que você confie em várias entidades aleatórias na web.

Os riscos inerentes não são apenas hipotéticos. Em setembro de 2018, o Facebook divulgou uma enorme violação de dados que impactou pelo menos 50 milhões de seus usuários e, entre outras coisas, expôs qualquer outra conta que essas pessoas fizeram ao usar o Facebook SSO. O Facebook invalidou os tokens de acesso assim que detectou a violação, mas o incidente ressaltou os potenciais efeitos de ondulação de qualquer violação do SSO do consumidor.

Um estudo de 2018 também encontrou inúmeros erros na forma como 95 serviços web e móvel implementaram o SSO do consumidor. Em mais de uma dúzia de sites, um usuário logado poderia alterar o endereço de e-mail associado à conta sem precisar reentrar na senha. Se você acidentalmente se deixou conectado a uma conta em um computador de biblioteca, ou seu token de acesso do Facebook fosse vazado em uma violação maciça, os atacantes poderiam assumir o controle da sua conta de forma oportunista. Em outros casos, os pesquisadores descobriram que muitos sites haviam implementado um único login de tal forma que eles criaram o potencial para um hacker lançar ataques de imitação.

“Em geral, sou contra os esquemas de SSO do consumidor porque eles não apenas apresentam um único ponto de falha, mas também permitem ataques adicionais que não são viáveis com a autenticação tradicional baseada em senha”, diz Jason Polakis, pesquisador da Universidade de Illinois em Chicago e um dos autores do estudo. “Sinto que estamos em um ponto em que os gerenciadores de senhas amadureceram e são fáceis de usar o suficiente para começarmos a educar os usuários sobre eles e pressionar por sua adoção.”https://4d8378003eebd314e0e84d7ff0602261.safeframe.googlesyndication.com/safeframe/1-0-37/html/container.htmlMais Popular

Muitos esquemas SSO do consumidor também apresentam questões práticas com a recuperação de contas. Se você usa o Twitter para fazer login em, digamos, uma plataforma de armazenamento de fotos e anos depois perder o controle de sua conta do Twitter, é difícil saber se o Twitter ou o site de fotos são responsáveis por ajudá-lo a solucionar problemas. Pode não haver uma maneira de restaurar o acesso às suas fotos.

Um exemplo real disso surgiu no início deste mês, quando a empresa de jogos Epic avisou que a Apple iria revogar a capacidade da Epic de oferecer o Sign In com a Apple. A Apple inicialou o jogo Fortnite da Epic na App Store em agosto e, em seguida, cortou a assinatura do programa de desenvolvedores da Apple sobre disputas de compra no jogo. A Epic se esforçou para oferecer recursos para os usuários transferirem suas contas de login com a Apple para outros mecanismos de login para que eles não perdessem o acesso permanentemente. Em última análise, a Apple estendeu o sign in da Epic com o suporte à Apple e diz que nunca teve a intenção de revogá-lo, mas o incidente destacou as desvantagens de introduzir um terceiro no acesso à conta.

Para o usuário médio da Web, pode parecer que há um número assustador de fatores na escolha de se comprometer com um gerenciador de senhas versus usar o SSO. De qualquer forma, o uso da autenticação de dois fatores em todos os lugares oferecidos tornará suas contas mais seguras e muito mais difíceis para os invasores phish — seja adicionando um segundo fator de autenticação a contas individuais ou a uma conta de alto valor que você usa para um único login.

“É impossível ter certeza de que um é melhor do que o outro, porque não podemos saber todos os detalhes sobre como as empresas gerenciam internamente suas credenciais”, diz Teri Radichel, CEO da empresa de segurança na nuvem 2nd Sight Lab. “Além disso, cada usuário doméstico pode ter uma rede doméstica mais ou menos segura, e diferentes gerenciadores de senhas podem ser mais ou menos seguros. Eu escolho não contar com nenhuma fonte única para todo o meu gerenciamento de senhas.”

Se você não tem tempo ou energia para se dedicar a se preocupar com as nuances, porém, muito menos gerenciar senhas diferentes de maneiras diferentes, um gerenciador de senhas é uma solução única que é sempre útil — se um determinado site oferece SSO ou não. A única coisa em que todos concordam? Não reutilize senhas. Só não faça isso.

FONTE: WIRED

POSTS RELACIONADOS