Video: Website Aanmelden bij Google: in 2 Minuten Geregeld (November 2024)
Veilig zijn is niet soms iets, maar een doorlopend proces. U bent niet veilig omdat u een bepaalde tool gebruikt - u bent veilig omdat u elke dag een beveiligingsmentaliteit toepast.
Neem wachtwoorden. U hoort altijd de herinneringen - gebruik wachtwoorden niet opnieuw voor sites, applicaties en services. Kies geen zwakke wachtwoorden. Gebruik een wachtwoordbeheerder zodat u supergecompliceerde wachtwoorden kunt kiezen en u zich geen zorgen hoeft te maken dat u ze probeert te onthouden. Schakel waar mogelijk tweefactorauthenticatie in. Dit zijn allemaal goede adviezen om te onthouden en op te volgen. Eerder deze week nam mijn collega Neil Rubenking de aanbeveling van de wachtwoordbeheerder nog een stap verder en zei dat inloggen op websites van derden met uw Google, Facebook, Twitter of andere inloggegevens voor sociale media een veiligheidsrisico is. Ik geloof dat argument niet.
Je hebt gezien waar ik het over heb. Hoewel de meeste services vereisen dat u helemaal opnieuw een account maakt, zijn er sites waarop u zich kunt aanmelden met uw inloggegevens voor sociale media. Met Expedia kunt u bijvoorbeeld inloggen met Facebook. Of Inoreader (mijn favoriete RSS-lezer), waarmee u kunt inloggen met Google. Hiermee kunt u het maken van een account overslaan en u gewoon aanmelden met een account dat u al hebt. Handig toch? Heel. Is het een beveiligingsprobleem zoals Neil in zijn stuk zei? Nee.
Wanneer ik een site zie waarmee ik me met een ander account kan aanmelden, kies ik die optie. Ik gebruik mijn Facebook-account niet om in te loggen (sorry, Expedia), maar als er een optie is om mijn Google-account te gebruiken, doe ik dat wel. Ik heb een sterk en complex wachtwoord en ik heb ook tweefactorauthenticatie ingeschakeld. Dus mijn Google-account is zo veilig als ik kan en ik vertrouw erop dat Google de nodige stappen neemt om mijn informatie te beveiligen. Niets tegen Facebook, maar ik denk dat ik betere stappen heb genomen om mijn Google-account te beschermen dan Facebook.
Vertrouw ik je? Nee
Als ik op een site kom en een account moet maken, is mijn eerste gedachte: "Vertrouw ik je?" Vertrouw ik op de site om mijn gegevens veilig te houden? En ik bedoel niet alleen wachtwoorden en creditcardnummers. Vertrouw ik erop dat de site de nodige stappen heeft genomen om mijn telefoonnummer, postadres en mijn geboortedatum in de database te beschermen? Eerlijk? Nee, voor de meeste bedrijven niet. Applicatiebeveiliging is moeilijk - de meeste ontwikkelaars leren nog steeds alleen veilige codeermethoden - net als het beveiligen van de database. Dit is een work in progress, en veel bedrijven zijn er nog steeds niet in termen van beveiliging. Omdat ik niet aan bedrijven kan blijven vragen: 'Vertrouw ik erop dat u mijn wachtwoord veilig houdt en niet door hackers laat stelen?' Ik neem het gemakkelijke pad en neem aan dat ik dat niet kan.
Herinner je de Gawker-inbreuk een paar jaar geleden? Al die e-mailadressen en wachtwoorden worden weergegeven omdat de ontwikkelaars van Gawker geen stappen hebben ondernomen om ze goed te beveiligen. Ik zeg niet dat Gawker ongelijk had - het is een mediabedrijf en niemand had gedacht dat iemand achter het reactiesysteem van de site zou komen. Maar het gebeurde. Als consument ga ik niet proberen na te gaan welke bedrijven beveiligingsbewust genoeg zijn om hun applicatie te vertrouwen en welke niet. Ik ga me concentreren op wie het werk goed doet.
Het belangrijkste bij aanmelden met mijn Google-inloggegevens: de site bewaart mijn wachtwoord of andere informatie niet. Wanneer ik op de Google+ knop klik, word ik doorgestuurd naar een Google-pagina en verifieer ik me tegen de servers van Google. Google vertelt de site vervolgens dat ja, ik ben wie ik zeg dat ik ben en stuurt me terug naar de site. Wat betekent dat mijn informatie bij Google blijft en dat de site alleen een token krijgt met de tekst: "Ze heeft zich succesvol aangemeld, laat haar door."
Overweeg alle inbreuken op de site die we de afgelopen twee jaar hebben gezien. Er zijn sites die ik registreer om te zien hoe het is, en na een paar dagen verlaten omdat het niet is wat ik nodig had. Als ik een account op de site heb gemaakt, staat mijn informatie in de database van die site. Zelfs nadat ik die site heb verlaten, blijft mijn account bestaan. (Daarom houd ik niet van sites waarop je geen accounts kunt verwijderen, maar dat is een ander verhaal voor een andere dag.) Dat zijn veel potentiële plaatsen waar mijn gegevens kunnen worden gestolen. Als ik mijn Google-account gebruik om in te loggen, heeft de site geen informatie over mij om gestolen te worden. Dat is geruststellend. Als ik die site verlaat, laat Google me accountrechten intrekken zodat niemand anders als mij kan inloggen.
Laten we het hebben over intrekking. Het hele punt van het laten inloggen door Google, Facebook en Twitter betekent dat je ze ook kunt gebruiken om toegang te blokkeren. Ik gebruik bijvoorbeeld Google om in te loggen bij Inoreader. Stel dat ik Inoreader niet meer wil gebruiken. Ik ga gewoon naar mijn Google-accountinstellingen en klik op 'Toegang intrekken'. En dat is het. Dit is ook de reden waarom ik Twitter gebruik om me aan te melden bij sommige sites. Twitter maakt het uiterst eenvoudig om applicaties los te koppelen als ik klaar ben.
Mijn doel is om zo weinig mogelijk databases ter wereld te hebben met een record met mijn persoonlijke gegevens.
Iets anders wat ik leuk vind aan inloggen met Google: account-specifieke wachtwoorden. Ik genereer een willekeurig wachtwoord, waarvan Google nu weet dat het het wachtwoord voor die site is. Dat wachtwoord werkt alleen voor die site en geeft geen toegang tot iets anders. In plaats van wachtwoorden te genereren via een wachtwoordbeheerder en een geheel nieuw account te maken, bewaar ik het proces met Google. Ik gebruik een ander wachtwoord dan mijn e-mailwachtwoord en sla het hele proces van het maken van het account over door me aan de mechanismen van Google te houden. Dit is heel handig als ik me bijvoorbeeld aanmeld bij een mobiele app. Google weet nu hoe ik mijn identiteit kan verifiëren en net als bij de reguliere aanmelding heb ik het wachtwoord ingetrokken en kan die app niet meer inloggen.
Blijf bij wie je vertrouwt
Neil stelde een zeer goede vraag: stel jezelf de vraag of die site iets over jou moet weten. Moet de site over u uw naam, e-mailadres, fysiek adres en telefoonnummer of andere profielinformatie weten? Als dit niet het geval is, geef het dan niet af. Houd het bij wie je vertrouwt.
Als uw Facebook-wachtwoord "Wachtwoord1" is en iemand met snode bedoelingen komt hierachter, dan kan die persoon doorgaan en zich aanmelden bij elke andere site die u aan uw account hebt gekoppeld. Maar hoe verschilt dat van het feit dat u "Wachtwoord1" voor die site hebt geselecteerd om mee te beginnen? Als u een gemakkelijk te onthouden wachtwoord gebruikt voor uw e-mail of sociale mediasite, gebruikt u waarschijnlijk geen reeks moeilijk te onthouden tekens voor uw frequent flyer-mijlenaccount, toch? Dus het is dat zwakke wachtwoord dat schreeuwt "Hack me!" niet het feit dat u zich met een ander account heeft aangemeld. En als iemand uw Google-wachtwoord heeft ontdekt, denk ik niet dat uw grootste zorg is of die persoon nu kan inloggen op uw gekoppelde accounts. Niet wanneer het zo eenvoudig is om gewoon om e-mails voor wachtwoordreset te vragen.
Beveiliging heeft geen magische kogel. Een gegeven hulpmiddel kan zowel goed als slecht worden gebruikt. Het gaat er allemaal om hoe je het benadert. Mijn voorkeur is om uit databases te blijven. Wat is van jou?
