Sei stato su Internet di recente?

Allora, mentre cercavi di accedere a un nuovo sito o un nuovo servizio, probabilmente ti è già capitato più volte di imbatterti in pulsanti di questo tipo:

Pulsanti per eseguire l'accesso tramite Facebook o Google

Alcuni servizi offrono anche la possibilità di eseguire la registrazione con gli account di Twitter, Linkedin o Microsoft. Altri ancora non prevedono nemmeno più la possibilità di accedere utilizzando l'indirizzo email o creando un account specifico.

Probabilmente avrai pensato: Ottimo! Evvai! e hai accettato le condizioni. Ma poi ti sei fermato e ti sei domandato: Aspetta un attimo... Sarà sicuro?

Si chiama OAuth, ovvero standard Open Authorization, ed ecco come funziona.

Che cosa succede quando ti registri tramite l'account di Facebook o Google?

Supponiamo tu voglia accedere al sito gliamantideicupcake.com perché senti il bisogno di conoscere altre persone che adorano i cupcake.

Perché no? Qui nessuno giudica nessuno.

Normalmente ti verrebbe chiesto di creare un apposito account per poter accedere al sito gliamantideicupcake.com, il che significa creare un nuovo nome utente (l'ennesimo...) e fornire un indirizzo email a cui il sito invierà il messaggio di conferma per accertarsi che sei una persona vera e non qualche tipo di bot.

Utilizzando Facebook o Google per eseguire la registrazione, con sia tu che il sito potete evitare questa trafila. affidandovi a uno di questi servizi, che garantirà la tua identità e gestirà il tuo account.

La cosa importante è che la tua password non verrà mai fornita al nuovo servizio.

Quando esegui la registrazione, gliamantideicupcake.com ti rimanda a Facebook o a Google e vieni registrato tramite questi servizi. Facebook o Google quindi restituisce al sito un token che sostanzialmente dice: "Questa persona è chi dice di essere. Procedete pure".

In questo modo sarai libero di esplorare il meraviglioso mondo degli amanti dei cupcake.

Dov'è l'inghippo?

Perché ovviamente l'inghippo c'è. In fondo, è di Facebook e Google che stiamo parlando.

Per lo più, il servizio a cui stai accedendo avrà accesso a qualche aspetto dei tuoi account.

Nel migliore dei casi, si tratterà del tuo profilo pubblico di Facebook o del tuo indirizzo email. Ma in alcuni casi potrebbe andare oltre: potrebbe accedere all'elenco dei tuoi contatti o riuscire a pubblicare qualcosa a nome tuo.

Facebook consente di esercitare un controllo a un certo livello di dettaglio su quello che condividi. E Google probabilmente ne seguirà le orme. Tieni presente che alcuni servizi si avvalgono di queste informazioni, per cui non acconsentire potrebbe compromettere il funzionamento tali servizi.

OK. Quindi è sicuro?

Per molti versi, sì. In realtà, è molto più sicuro utilizzare Google o Facebook che creare un account specifico con relativa password. Ecco perché:

  1. Una password a rischio di violazione in meno
    È un dato di fatto: la sicurezza non è un gioco da ragazzi.

    A meno che tu non utilizzi un gestore di password, più password crei (e in teoria dovresti creare una password diversa per ogni sito che utilizzi) più queste tenderanno a risultare vulnerabili.

    E se uno di questi siti venisse violato, gli hacker sarebbero in grado di ricostruire la logica che segui per creare le tue password. Peggio ancora, se non utilizzi password univoche, disporrebbero della chiave di accesso a tutti i tuoi account.

    Con OAuth puoi focalizzare l'attenzione sulla creazione di una password che non risulti vulnerabile. Che sarà anche l'unica password che dovrai ricordare.
  2. Stai facendo affidamento sulla sicurezza di Facebook o Google
    Come dicevo, la sicurezza non è un gioco da ragazzi.

    gliamantideicupcake.com sarà anche un bellissimo sito, ma probabilmente non ha risorse da investire nella sicurezza allo stesso livello di Facebook e Google.

    Puoi anche considerare la questione da un altro punto di vista e chiederti: "Mi fido di questo sito Web per la protezione delle mie informazioni?". È estremamente improbabile che un piccolo sito Web qualunque sia più affidabile di Facebook o Google.
  3. In caso di violazione, avrai ben poco da perdere
    Ricorda, gliamantideicupcake.com non possiede la tua password. Non possiede niente, a parte un token che conferma la tua identità con Google o Facebook. Nel caso in cui il sito venisse violato, non ci sarà nessun account e nessuna informazione personale da rubare.
  4. Puoi revocare l'accesso
    Anche se gliamantideicupcake.com venisse attaccato o tu decidessi di andartene, potrai sempre revocare il token e rimuovere l'accesso ai tuoi dati da parte del sito. Il che è anni luce avanti rispetto al sistema di gestione degli account utilizzato da chi gestisce il sito gliamantideicupcake.com, dato che in molti casi questi sistemi non offrono alcuna opzione per eliminare gli account.
  5. Puoi utilizzare l'autenticazione a due fattori
    Questo è indubbiamente il punto principale: indipendentemente da quanto sia sicura la password che crei, non sarà mai sicura quanto aggiungere un secondo metodo di verifica della tua identità. Nella maggior parte dei casi, può essere semplicemente un codice a tempo che viene inviato al tuo smartphone via SMS oppure un'app di autenticazione come Authy, ma esistono anche altri metodi.
    La maggior parte dei servizi che offrono OAuth dispongono anche dell'autorizzazione a due fattori. Se non l'hai ancora attivata, dovresti farlo.
Autenticazione a due fattori

 

Ma è sicuro puntare tutto su un solo cavallo?

So già cosa stai pensando: "E se Facebook o Google venisse violato?. È sicuro puntare tutto su uno stesso cavallo?".

Per certi versi hai ragione. Proprio per questo è importante disporre di una password sicura e utilizzare l'autenticazione a due fattori per questi account.

Prova a pensarci. Per gestire tutti gli account di accesso ai vari siti utilizzi il tuo indirizzo email e questo può essere violato: anche in questo caso stai scommettendo tutto su un solo cavallo. Basterebbe che un hacker riuscisse a violare la tua mail per essere in grado di reimpostare tutte le password di tutti i tuoi servizi.

In questo senso, Facebook può essere considerato un cavallo un po' più sicuro, in quanto il tuo account Facebook solitamente non viene duplicato come avviene per un account email. Ma esistono dei modi per mitigare il rischio di violazione dell'email, indipendentemente dal servizio in uso.

E se utilizzassi un gestore di password?

I gestori di password sono molto utili.

Tuttavia, in questo caso affidarsi a un prodotto di questo tipo per creare password univoche e sicure per ogni sito a cui accedi, non si traduce in una maggiore sicurezza rispetto ai login con OAuth forniti da Google o Facebook.

Per farla semplice, significa affidarsi ancora alla sicurezza di un piccolo sito come gliamantideicupcake.com per mantenere al sicuro la tua password univoca e il tuo account. Se il sito non dovesse rivelarsi all'altezza, dovrai cambiare la password, cosa che potrai fare solo dopo essere venuto a conoscenza della violazione.

E nel frattempo? Nel frattempo, qualcuno avrà utilizzato il tuo account e i tuoi dati per fare danni.

Anche in questo caso l'autenticazione a due fattori consente di evitare il problema. Non è un caso che ora sia supportata da tutti i migliori gestori di password. Se il tuo non dovesse farlo, valuta la possibilità di provarne un altro.

Però anche in questo modo stai puntando tutto su uno stesso cavallo, questa volta il gestore di password. Possiamo discutere del fatto se questo tipo di prodotto sia più valido o meno rispetto alla sicurezza di Google o Facebook. Ma è innegabile che se un hacker violasse il gestore di password potrebbe mettere le mani su tutti i tuoi account.

Senza contare che i gestori di password non sono immuni alle violazioni.

Per farla breve, posso eseguire l'accesso con Facebook o Google oppure no?

Se hai impostato una password sicura e utilizzi l'autenticazione a due fattori per il tuo account Facebook o Google, allora fai pure. Eseguire l'accesso con Facebook o con Google risulterà più sicuro della maggior parte delle alternative disponibili.

AVG AntiVirus FREE Download GRATUITO