Video: TAL - Le Sens de la Vie (Clip Officiel) (Listopad 2024)
Být v bezpečí není někdy věc, ale trvalý proces. Nejste v bezpečí, protože používáte konkrétní nástroj - jste v bezpečí, protože každý den aplikujete bezpečnostní přístup.
Vezměte si hesla. Připomenutí neustále uslyšíte - hesla znovu nepoužívejte napříč weby, aplikacemi a službami. Nevyberejte slabá hesla. Použijte správce hesel, abyste si mohli vybírat složitá hesla a nemuseli se starat o to, abyste si je pamatovali. Pokud je to možné, zapněte dvoufaktorové ověřování. To vše jsou dobré rady k zapamatování a následování. Začátkem tohoto týdne můj kolega Neil Rubenking udělal doporučení správce hesel ještě o krok dále a řekl, že přihlášení na webové stránky třetích stran pomocí vašich pověření Google, Facebook, Twitter nebo jiných sociálních médií představuje bezpečnostní riziko. Tento argument si nekoupím.
Viděl jsi, o čem mluvím. Zatímco většina služeb vyžaduje vytvoření účtu od nuly, existují weby, na kterých se můžete přihlásit pomocí svých sociálních médií. Například Expedia vám umožní přihlásit se přes Facebook. Nebo Inoreader (můj RSS čtečka výběru), která vám umožní přihlásit se pomocí Google. To vám umožní přeskočit proces vytváření účtu a stačí se přihlásit pomocí účtu, který již máte. Pohodlné, že? Velmi. Je to bezpečnostní problém, jak řekl Neil ve svém díle? Ne.
Kdykoli vidím web, který mi umožňuje přihlásit se pomocí jiného účtu, vyberu tuto možnost. K přihlášení nepoužívám svůj účet Facebook (omlouvám se, Expedia), ale pokud existuje možnost používat můj účet Google, tak ano. Mám silné a složité heslo a povolil jsem také dvoufaktorové ověření. Můj účet Google je tak bezpečný, jak to dokážu, a věřím společnosti Google, že podnikne nezbytné kroky, aby moje informace zůstala v bezpečí. Nic proti Facebooku, ale myslím, že jsem podnikl lepší kroky k ochraně svého účtu Google než Facebook.
Věřím ti? Ne
Když přijdu na web a musím si vytvořit účet, první myšlenkou je: „Věřím ti?“ Věřím webu, že moje data budou v bezpečí? A nemyslím jen hesla a čísla kreditních karet. Věřím webu, že v jeho databázi podnikl nezbytné kroky k ochraně mého telefonního čísla, poštovní adresy a mého data narození? Upřímně řečeno? Pro většinu společností ne, nemám. Zabezpečení aplikací je obtížné - většina vývojářů se stále jen učí bezpečnému kódování - stejně jako efektivní zabezpečení databáze. Toto je nedokončená práce a mnoho společností stále z hlediska bezpečnosti stále neexistuje. Vzhledem k tomu, že se nemohu obracet na společnosti, ptám se: „Věřím vám, že si zachováte své heslo v bezpečí a nezkradnete ho hackery?“ Beru snadnou cestu a předpokládám, že nemůžu.
Vzpomínáte si na porušení Gawkeru před několika lety? Všechny tyto e-mailové adresy a hesla byly odkryté, protože vývojáři společnosti Gawker neučinili kroky k jejich řádnému zabezpečení. Neříkám, že se Gawker mýlil - je to mediální společnost a nikdo si nepředstavoval, že by někdo šel po systému komentování stránek. Ale stalo se to. Jako spotřebitel se nebudu snažit prověřit, které společnosti jsou dostatečně zaměřené na bezpečnost, aby důvěřovaly své aplikaci a které nikoli. Zaměřím se na to, kdo dělá práci správně.
Důležitá věc přihlašování pomocí mých pověření Google: web nezachovává moje heslo ani jiné informace. Po kliknutí na tlačítko Google+ jsem přesměrován na stránku Google a ověřuji se proti serverům Google. Google poté webu řekne, že ano, jsem tím, kdo říkám, že jsem, a pošle mě zpět na web. Což znamená, že moje informace zůstane v Googlu a web jen získá token, který říká: „úspěšně se přihlásila, nechte ji projít.“
Zvažte všechna porušení stránek, které jsme za poslední dva roky viděli. Existují weby, které se zaregistruji, abych viděl, jaké to je, a poté se po několika dnech vzdám, protože to není to, co jsem potřeboval. Pokud jsem na webu vytvořil účet, moje informace jsou v databázi tohoto webu. I poté, co jsem opustil tento web, můj účet žije dál. (To je důvod, proč se mi nelíbí weby, které vám nedovolují mazat účty, ale to je jiný příběh na jiný den.) To je spousta potenciálních míst pro ukradení mých dat. Pokud se přihlašuji pomocí svého účtu Google, pak web nemá žádné informace o mně, abych byl odcizen. To je uklidňující. Pokud tento web opustím, společnost Google mi umožní zrušit oprávnění účtu, aby se nikdo jiný nemohl přihlásit jako já.
Pojďme mluvit o odvolání. Celý bod umožňující přihlašování Google, Facebook a Twitter znamená, že je můžete také použít k zablokování přístupu. Používám například Google k přihlášení do aplikace Inoreader. Řekněme, že už nechci používat Inoreader. Jednoduše přejdu do nastavení svého účtu Google a kliknu na „Odepřít přístup“. A to je vše. To je také důvod, proč používám Twitter k přihlášení na některé weby. Po dokončení aplikace Twitter je velmi snadné odpojit aplikace.
Mým cílem je mít co nejméně databází na světě, které by obsahovaly záznam s mými osobními údaji.
Další věc, kterou se mi líbí přihlašování pomocí Google: hesla pro konkrétní účet. Generuji náhodné heslo, které Google nyní ví, že je heslo pro tento web. Toto heslo funguje pouze pro daný web a neposkytuje přístup k ničemu jinému. Namísto generování hesel pomocí správce hesel a vytváření zcela nového účtu si tento proces ponechám v Googlu. Používám jiné heslo než své e-mailové heslo a přeskočím celý proces vytváření účtu pomocí mechanismů Google. To je docela užitečné, když se například přihlašuji do mobilní aplikace. Google nyní ví, jak ověřit moji totožnost, a stejně jako běžné přihlášení, jen jsem zrušil heslo a aplikace se již nemůže přihlásit.
Držte se, komu důvěřujete
Neil položil velmi dobrou otázku: zeptejte se sami sebe, zda tento web potřebuje něco vědět o vás. Potřebuje váš web znát vaše jméno, e-mailovou adresu, fyzickou adresu a telefonní číslo nebo nějaké další informace o profilu? Pokud tomu tak není, nepředávejte to. Zachovejte to s tím, komu důvěřujete.
Pokud je vaše heslo na Facebooku „Heslo1“ a někdo s úmyslným úmyslem to zjistí, pak ano, tato osoba může pokračovat a může se přihlásit na jakékoli jiné stránky, které jste propojili s vaším účtem. Jak se to však liší od toho, že jste pro tento web vybrali „Heslo1“? Pokud používáte snadno zapamatovatelné heslo pro svůj e-mail nebo web pro sociální média, pak pravděpodobně nepoužíváte řetězec těžko zapamatovatelných znaků pro svůj účet s častými lety na míle, že? Takže je to slabé heslo, které křičí "Hack me!" ne skutečnost, že jste se přihlásili pomocí jiného účtu. A pokud někdo zjistil vaše heslo Google, nemyslím si, že vaše největší starosti je, zda se tato osoba může nyní přihlásit k propojeným účtům. Ne, když je tak snadné požádat o e-maily pro obnovení hesla.
Zabezpečení nemá magickou kulku. Daný nástroj lze použít pro dobré i špatné. Všechno je v tom, jak k tomu přistupujete. Upřednostňuji, abych zůstal mimo databáze. Co je tvoje?
