TIP#2356: Proč (rozhodně) nepoužívat “přihlášení přes Seznam” (Google, Facebook, atd)

Probíhající Konec API u Twitteru je dobrý důvod se vrátit k jednomu staršímu tématu. Probíranému v Sociální přihlašování? K čemu je to dobré. A na co si dát pozor. Tentokrát i pro tvůrce webů.

Možná jste to nepoužili, ale možná to tak máte. Některé aplikace či služby používáte tak, že jste se tam přihlásili (a prvotně založili účet) přes Facebook, Google, Twitter, dříve i Google+, nověji Apple a ještě nověji také Seznam. 

Ten do “sociálních přihlášení” a “identit” přišel až velmi pozdě, ale o to více tuto “funkčnost” tlačí a vydává ji za revoluční a výhodnou a kdo ví co ještě. Realita je ale poněkud problematičtější.

Ano, sociální přihlášení používat můžete, byť je zásadně rizikové a také zásadně problematické. 

Hacknuté účty

Především, pokud vám někdo hackne sociální síť (nebo třeba Seznam, což je u řady lidí běžné) tak automaticky může využít všechno, co máte přes danou službu založené. Bude to mít velmi usnadněno tím, že se prostě podívá co všechno tam takto máte propojené. 

Je tedy nutné dbát na ochranu – tedy dvoufaktor a vůbec všechna obvyklá bezpečnostní opatření. 

Samozřejmě, pokud pro aplikace služby používáte klasické přihlášení e-mailem, riziko je dost stejné – hacknutý e-mail bude znamenat i hack všeho, kde ho používáte. Proto první věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.

Zablokovaný účet

Horší je to v okamžiku, kdy o ono sociální přihlášení přijdete – nejenom hacknutím, ale prostě třeba tím, že zapomenete heslo a nedokážete si ho resetovat. Nebo, velmi časté, dostanete ban – může to být několikadenní (na Facebooku běžné), nebo trvalý (tedy zrušení účtu). 

V takovém případě přijdete o všechno, co je na tento způsob přihlašování napojené. Nedostanete se nikam.  

Jediná možná záchrana bude, pokud daná služba získala váš e-mail a vám se podaří resetnout přihlášení na e-mail a heslo. Ale ne všude k tomu došlo. Třeba u přihlášení přes Apple s Apple e-mailem vám to moc nepomůže, protože e-mail buď bude dočasný nebo ten o který jste přišli (ostatně viz Jak funguje nové Přihlašování s Apple (Sign in with Apple)). 

Tuhle nepříjemnou situaci byste měli vyřešit co nejdříve, než nastane. Každá služba musí umožnit nastavit klasické přihlašovací údaje fungují současně se sociálním přihlašováním. Příklad viz Jak aplikace založené přes Facebook převést na klasické přihlášení e-mailem? Včetně Spotify a princip bývá jednoduchý – v nastavení účtu si můžete nastavit e-mail (pokud už tam není) a také nastavit (nebo resetovat) heslo.

Kontaktovat podporu?

Pokud si snad myslíte, že v případě problémů budete moci kontaktovat nějakou tu zákaznickou podporu, tak na to zapomeňte. Facebook žádnou nemá, Twitter už také ne, Apple jakž takž, Seznam se s vámi o problémech s účty moc bavit nebude, ostatně stejně tak jako ostatní – prostě “bezpečnostní opatření” proti sociálnímu inženýrství. 

Když už to ale půjde, tak zpravidla velmi pomalu a může jít i o dny či týdny, než se něco podaří vyřešit. Což u přihlašování může být doslova vražedné.

Negativní dopad na soukromí

Jednu “drobnost” je třeba u sociálních přihlášení ještě zmínit – tím že (například) budete používat Facebook pro přihlašování mu budete dávat další informace o vás. Bude vědět do čeho se přihlašujete i jak často a využije to doslova “proti vám”. 

Pár dalších argumentů

Popravdě, nemusíte mít ani zablokovaný účet. Stačí abyste byli někde, kde je právě ta vaše sociální síť blokovaná a vy se nebude moci přihlásit. Nebude ani nutné kvůli tomu cestovat do něčeho jako Číny, stačí mít hyperaktivního zaměstnavatele.

Existuje ale i další nepříjemný vedlejší efekt. Uživatele si nepamatují jaké sociální přihlášení vlastně použili u které služby – ve vlastním zájmu byste si to měli někde evidovat. Nebo se smířit s tím, že budete vytvářet další a další účty při přihlášení přes “něco jiného”. 

Bezpečnost na Internetu pro (nejen) novináře

Bezpečnost Heslo Přihlašování Soukromí Zapomenuté heslo