Es rápido. Es fácil. ¿Pero es seguro? Iniciar sesión en sitios web con Facebook y Google tiene sus riesgos, pero también ventajas.
¿Has estado navegando últimamente?
Entonces seguramente te hayas topado con estos botones más de una vez al intentar iniciar sesión en una página o un servicio nuevos:
Algunos servicios también permiten iniciar la sesión con Twitter, LinkedIn o Microsoft. Otros ni siquiera permiten hacerlo con el correo electrónico de toda la vida o con una cuenta independiente.
Quizás pensarasVale. Tú ganasy aceptaras esas condiciones, pero después, en el último segundo, te preguntaras: «Un momento. ¿Esto es seguro?».
Se llama Oauth (de open standard for authorization, estándar abierto de autorización) y aquí te contamos cómo funciona.
Pongamos que quieres iniciar sesión en gentecomiendocupcakes.com porque tienes una insaciable necesidad de ver a otras personas comiendo cupcakes…
¿Por qué no? Aquí no juzgamos a nadie.
Siguiendo el modo habitual de hacer las cosas, gentecomiendocupcakes.com te pediría que crearas una cuenta en la página. Ello implicaría, normalmente, crear un nombre de usuario (otro más) e indicar una dirección de correo electrónico a la que te puedan enviar un mensaje de confirmación para asegurarse de que eres una persona real y no un robot interesado en ver gente comiendo cupcakes.
Usando Facebook o Google para iniciar sesión, tanto tú como el sitio web podéis saltaros ese paso y dejar que estos servicios respondan por ti y administren tu cuenta.
Lo importante aquí es que el nuevo servicio nunca recibe tu contraseña.
Cuando inicias sesión, gentecomiendocupcakes.com te envía a Facebook o Google, cuya sesión debes abrir. A continuación, estos servicios mandan un símbolo a la página que, básicamente, dice «Sí, esta persona es quien dice ser. Proceda».
Después ya tienes libertad para explorar el maravilloso mundo de personas que comen cupcakes.
Porque, está claro, aquí hay trampa. Estamos hablando de Facebook y Google.
Casi siempre, el servicio que visites obtendrá acceso a algunos aspectos de tus cuentas.
Como poco, tendrán acceso a tu perfil público de Facebook o a tu dirección de correo electrónico, pero en algunos casos pueden conseguir más que eso, como ver tu lista de contactos o la capacidad de publicar en tu biografía.
Facebook permite cierto nivel de control detallado sobre lo que compartes y Google hará lo mismo seguramente, pero recuerda que algunos servicios cuentan con esa información, así que denegarles el permiso les puede causar inconvenientes.
En muchos aspectos lo es. De hecho, es mucho más seguro iniciar sesión en otros sitios web con Google o Facebook que crear una cuenta y una contraseña independientes. Estos son los motivos:
Tienes una contraseña menos que pueda dar problemas
Haznos caso: la seguridad es complicada.
A no ser que tengas un administrador de contraseñas, cuantas más contraseñas crees —y deberías crear una distinta por cada página que uses—, más posibilidades hay de que sean débiles.
Si se piratea uno de estos sitios, los hackers serán capaces de descifrar tus patrones de creación de contraseñas. Peor aún: si no has usado contraseñas únicas, ahora tienen la llave de todas tus cuentas.
Con Oauth, solo necesitas asegurarte de que tu contraseña no sea débil, y será la única que tendrás que recordar.
Estarás protegido por la seguridad de Facebook o Google
Como he dicho, la seguridad es complicada.
El sitio gentecomiendocupcakes.com puede ser formidable, pero es probable que no cuenten con recursos para invertir en seguridad al nivel en que lo hacen servicios como Facebook y Google.
Otra forma de verlo es preguntarte si confías en que ese sitio web vaya a proteger tu información. Lo más probable es que pienses que Facebook y Google pueden protegerla mejor que cualquier otro sitio web pequeño.
En caso de pirateo, tienes muy poco que perder
Recuerda que, en realidad, gentecomiendocupcakes.com no tiene tu contraseña. Esta página únicamente tiene un símbolo que le permite confirmar tu identidad mediante Google o Facebook. Si les piratean la página, no tienen ninguna cuenta tuya con información que pueda filtrarse.
Puedes revocar el acceso
Aunque gentecomiendocupcakes.com llegue a ser pirateada o te hayas empachado de tantos cupcakes y quieras dejar la página, siempre puedes revocar el símbolo y eliminar su acceso a tus datos. Lo más probable es que este método sea mil veces mejor que el sistema de administración de cuentas de la página de los cupcakes; en muchos casos, estos sistemas no dan la opción de eliminar las cuentas.
Puedes usar la autenticación en dos pasos
Este podría considerarse el punto más importante: por muy fuerte que sea una contraseña que hayas creado, nunca será tan potente como añadir un segundo método de verificación de la identidad. Casi siempre, se trata de un código con validez temporal que se envía al teléfono en un SMS o a través de una aplicación de autenticación, como Authy, pero existen otros métodos.
La mayoría de los servicios que ofrecen Oauth también ofrecen la autenticación en dos pasos. Si aún no la has activado, deberías hacerlo.
Ya te entiendo, pero ¿qué pasa si piratean Facebook o Google? ¿No es como poner todos los huevos en la misma cesta?
Bueno, en cierto modo, es así, y por esta razón debes cerciorarte de que tu contraseña sea fuerte y de configurar la autenticación en dos pasos para esas cuentas.
Pero vamos a pensar: si tienes una cuenta de correo electrónico para administrar todas las demás y te piratean la primera, básicamente es el mismo problema, en otra cesta. El hacker puede usar tu correo electrónico para restablecer todas tus contraseñas en todos los dispositivos que uses.
En este sentido, Facebook tal vez sea un poco más seguro, ya que la cuenta de esta red social normalmente no funciona también como cuenta de correo electrónico. Pero hay formas de mitigar el pirateo del correo electrónico independientemente del servicio.
Indudablemente, se pueden decir muchas cosas positivas sobre los administradores de contraseñas.
No obstante, en este caso, emplear un administrador de contraseñas con el fin de crear una contraseña única y fuerte para cada página no implica una mayor seguridad que los inicios de sesión con Oauth que proporcionan Google o Facebook.
En primer lugar, sigues dependiendo de la seguridad de un servicio pequeño, gentecomiendocupcakes.com, para la protección de la cuenta y la contraseña única ante un fallo de seguridad. Si no se toman en serio la seguridad, tendrás que cambiar la contraseña, y esto solo lo harás si te enteras del fallo.
¿Y mientras tanto? Te han pirateado la cuenta y alguien está jugando con ella y con tus datos.
La autenticación en dos pasos puede hacer desaparecer los problemas de este tipo, y los mejores administradores de contraseñas ya la admiten. Si no es tu caso, convendría que usaras otro.
En segundo lugar, lo único que haces es colocarlo todo en una cesta distinta, que en esta ocasión es el administrador de contraseñas. Si ese administrador es o no más fiable que la seguridad de Google o Facebook es debatible, pero es innegable que, si quebrantan el administrador, los maleantes lograrán acceder a todas tus cuentas.
Y los administradores de contraseñas no son inmunes al pirateo.
Siempre que utilices una contraseña fuerte y hayas configurado la autenticación en dos pasos para la cuenta de Facebook o Google, puedes usarlo. Será más seguro que la mayoría de las alternativas.
Privacidad | Informar de una vulnerabilidad | Contactar con seguridad | Contratos de licencia | Declaración sobre la esclavitud moderna | Cookies | Declaración de accesibilidad | No vender mi información | | Todas las marcas comerciales de terceros son propiedad de sus respectivos propietarios.
