Empresa apresentou os prós e contras de se registrar em diferentes contas com as credenciais do Facebook ou do Google, e o que deve ser observado em relação à segurança da informação
Usar contas de redes sociais para iniciar uma sessão em um site é uma prática que facilita bastante para quem navega na Internet. Quando o usuário vincula um acesso ao Google ou Facebook a outro serviço, está autorizando a empresa a compartilhar informações pessoais em troca de facilidade de acesso e conveniência. Para ajudar a encontrar um equilíbrio entre segurança e conveniência, a ESET analisou os prós e contras do uso desse método de autenticação chamado de “início de sessão único” (SSO, na sigla em inglês), também conhecido como “início de sessão social”.
O SSO é um esquema de autenticação que permite a uma organização obter acesso consentido às informações pessoais de um usuário, ao mesmo tempo em que permite o registro e login nos serviços, em vez de exigir um registro por meio de um formulário – o que poupa uma burocracia para o usuário.
Embora o SSO ofereça algumas vantagens significativas para o usuário, também há riscos que seu uso poderia representar:
- Todos os ovos estão na mesma cesta: se as credenciais do Facebook ou do Google caírem nas mãos erradas, os cibercriminosos não terão apenas acesso a essa conta, mas também a todos os sites aos quais ela está vinculada.
- Proteger a conta principal “como se sua vida dependesse disso”: uma senha segura – talvez na forma de uma frase que misture maiúsculas, minúsculas e números – pode ser crucial para proteger as contas e dados pessoais. Se, por algum motivo, o usuário não estiver usando um gerenciador de senhas que auxilie na criação, é útil escolher uma parte da senha em um formato que permita adicionar o nome do site, mas sem que toda a cadeia seja muito previsível.
- Questões de privacidade: ao vincular contas, está permitindo que informações pessoais sejam transmitidas ao site e, devido à facilidade de configuração, pode estar consentindo a transferência de mais informações do que o esperado. Embora o Facebook, o Google, a Microsoft ou a Apple permitam verificar todas as conexões com terceiros, revogar o acesso não significa que também esteja revogando o consentimento do site para usar os dados.
- Atração e captação de usuários (e as implicações para a pegada digital): ao se registrar em aplicativos ou sites que não são utilizados com frequência, é fácil esquecer sua existência ou login. Para evitar isso, é melhor manter um registro de todos os sites nos quais o usuário faz login das informações pessoais que são armazenadas lá; por exemplo, as informações do cartão de crédito podem estar armazenadas em um site que tenha sido utilizado apenas uma vez.
Em resumo, o uso do SSO é recomendado apenas se a autenticação de dois fatores (2FA) estiver habilitada na conta principal, pois isso tornará mais difícil para alguém se passar pelo usuário na internet. Também é preciso confiar na plataforma que está sendo usada para acessar o outro site; no entanto, a confiança é algo volátil e outras precauções devem ser tomadas.
A ESET também aconselha a utilizar serviços de pagamento como PayPal ou um cartão de crédito virtual como opções de pagamento para qualquer site acessado usando SSO; isso ajudará a evitar que dados bancários sejam comprometidos. Também é legal usar as configurações da conta principal para acompanhar todos os sites aos quais ela está vinculada.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e Twitter.
