¿Es seguro iniciar sesión con cuentas de Facebook y Google?

Sitios, aplicaciones e incluso otras redes sociales ofrecen el famoso acceso a través de Facebook o Google . Sin embargo, son menos comunes los inicios de sesión que utilizan las credenciales de Twitter , LinkedIn o Cuenta Microsoft . Esto se llama Oauth, un patrón de autorización de inicio de sesión.

  • Por qué HTTPS no significa «sitio seguro»;
  • Brasil es líder en ataques a dispositivos de IO

En casos normales, un sitio web o una aplicación móvil requeriría la creación de una cuenta de plataforma tradicional, utilizando correo electrónico, nombre de usuario y contraseña. Esto sucede para que el sistema pueda enviar un mensaje de confirmación (para asegurarse de que usted es una persona real y no un bot) y sólo entonces crear su cuenta y liberar el acceso.

¿Es seguro iniciar sesión con cuentas de Facebook y Google? 1

Cuando usted y el sitio eligen utilizar Google o Facebook Login para iniciar sesión, se salta este baile de «hola, vale», «todo, ¿quién eres tú…», «soy yo…».

Cuando te registras, el sitio o la aplicación dirige tu navegación a una ventana emergente de Facebook o Google (siempre comprueba la URL) y tú introduces tus credenciales: tu gestor de identificaciones envía un token al sitio que confirma: «Sí, esa persona es quien dice ser».

Vamos!

Vale la pena señalar que esto no tiene nada que ver con su contraseña de Facebook y Google – o LinkedIn, Twitter y Microsoft -. La plataforma nunca recibirá su contraseña para esto.

Cómo funciona la privacidad al utilizar el inicio de sesión de Facebook

Según Facebook, cuando te conectas a través de las redes sociales, el sitio puede acceder a información como tu nombre y dirección de correo electrónico para identificarte y ofrecerte una experiencia personalizada. «Sin embargo, las políticas de la plataforma restringen la forma en que estos sitios pueden utilizar su información», basándose en sus propias decisiones sobre qué tipos de aplicaciones de información en general y a las que sus amigos utilizan pueden acceder desde allí.

Ejemplos:

  • Si has bloqueado a alguien, éste no podrá verte en los sitios en los que estás iniciando sesión.
  • Cuando las personas acceden a un sitio, no podrán ver la información que usted ha añadido y a la que no tendrían acceso cuando normalmente están navegando en Facebook.

Pero, ¿a eso es a lo único que tienen acceso?

Como mínimo, tendrán acceso a tu perfil público de Facebook, así que presta atención a lo que es público en tu cuenta, y a tu dirección de correo electrónico. En algunos casos, sin embargo, hay plataformas que requieren más que eso, especialmente aquellas que ofrecen experiencias sociales, como tener acceso a su lista de contactos o la posibilidad de publicar en su nombre en el Muro. Usted puede o no autorizar ciertas cosas.

¿Qué pasa con la seguridad de las cuentas de Facebook y Google?

Cuando usted elige utilizar el login a través de Oauth, deja su seguridad en manos de quien es el administrador de ese ID. En este caso, Google, Facebook, Microsoft, LinkedIn y Twitter.

Ese podría ser un punto positivo, si somos optimistas. El sitio que desea utilizar puede tener una gran calidad y buenas intenciones. Pero probablemente carecen de los recursos para invertir en seguridad al mismo nivel que los gigantes de la búsqueda y los medios sociales.

Algunos beneficios de usar Oauth:

  • Un nombre de usuario y contraseña menos para que los memorice;
  • Esto evitará que repita las contraseñas en varios sitios;
  • Usted tendrá la seguridad de Google, Facebook, Microsoft y similares;
  • Si el sitio o aplicación es pirateado, ninguno de ellos tiene tu contraseña o datos;
  • Puede revocar el acceso en cualquier momento en la configuración;

Suena bien, pero debe tener en cuenta que la seguridad de su cuenta de Google, Facebook o Microsoft es esencial. Por lo tanto, siga algunos consejos para estar seguro:

  1. Contraseña fuerte y única;
  2. Verificación de dos pasos (dos factores);

¿Qué pasa si Facebook o Google es pirateado?

Ese es el punto.

Estás poniendo todos tus huevos en una cesta y ella ya ha sido perforada. Como hemos visto, el último ataque a Facebook resultó en una invasión que afectó a 90 millones de cuentas – y sólo más tarde se declaró que la plataforma no encontró pruebas hasta el momento en que el incidente afectó a Facebook Login. Porque todas las fichas fueron revocadas inmediatamente y esto impidió el acceso.

Por lo tanto, además de garantizar la seguridad de su cesta, debe confiar en .

Mientras tanto, vale la pena pensarlo:

Si usted depende de una cuenta de correo electrónico para registrarse en cada uno de los sitios y aplicaciones para administrar todas estas cuentas por separado, si el correo electrónico es pirateado (por ejemplo, al caer en una estafa de phishing), el resultado práctico es básicamente el mismo.

El hacker puede utilizar su dirección de correo electrónico para restablecer todas sus contraseñas en todos los servicios, redes sociales y aplicaciones en las que utilizó el correo electrónico para su registro.

Por otro lado, si alguien viola tu cuenta de Facebook o Google, tendrás un problema mucho mayor si has utilizado esa cuenta para autenticarte en cientos de otros sitios y aplicaciones. Por lo tanto, la confianza sigue siendo obligatoria. Sin embargo, decida en quién confiar.

Es decir, ¿es seguro? Tan seguro como usted confía en estas compañías.

Otra opción: administradores de contraseñas

Estamos hablando de otra cesta para almacenar sus huevos: los gestores de contraseñas.

Algunos son pequeños pero otros ofrecen características premium, cobran por el servicio o están presentes en soluciones antivirus famosas. Puede elegir confiar en un administrador de contraseñas para crear y almacenar múltiples contraseñas fuertes y únicas para cada sitio. Y en este caso, usted todavía confía en la seguridad del sitio web o de la aplicación para mantener esa contraseña única y su cuenta a salvo de una violación de datos.

Tenga en cuenta que si no cumplen los requisitos mínimos, tendrá que cambiar la contraseña, y sólo lo hará (cambiar la contraseña) si conoce la violación (y a tiempo para evitar lo peor).

La autenticación de dos factores evitará que su cuenta (en sitios compatibles con la función) quede expuesta sin esta capa de seguridad. Los mejores administradores de contraseñas son compatibles con el inicio de sesión de dos factores. Si el suyo no lo es, considere cambiarlo.

Es decir, ¿es seguro? Tan seguro como usted confía en el administrador de contraseñas y en sus hábitos de no repetirlas en más de un sitio, entre otras configuraciones de seguridad. La violación de una contraseña en uno de los sitios casi siempre no dañará a otras cuentas (siempre y cuando no sea su dirección de correo electrónico). La violación del administrador de contraseñas (elija uno de confianza) en su conjunto pone en riesgo toda su estrategia.

Y recuerde, la seguridad no es algo periódico, sino un proceso continuo. No está seguro porque utiliza una herramienta específica contra el malware; está seguro porque fomenta una mentalidad de seguridad personal y digital todos los días.

Con información de AVG, Information Security, Kaspersky y PCMag

Contenido relacionado

Deja un comentario