Vídeo: Não é Possível Acessar Esse Site 2020 - Resolva Agora!! (Novembro 2024)
Estar seguro às vezes não é uma coisa, mas um processo contínuo. Você não é seguro porque usa uma ferramenta específica - é seguro porque aplica uma mentalidade de segurança todos os dias.
Pegue senhas. Você ouve os lembretes o tempo todo - não reutilize senhas em sites, aplicativos e serviços. Não escolha senhas fracas. Use um gerenciador de senhas para poder escolher senhas super complicadas e não ter que se preocupar em tentar lembrá-las. Ative a autenticação de dois fatores sempre que possível. Todos esses são bons conselhos para lembrar e seguir. No início desta semana, meu colega Neil Rubenking deu um passo adiante na recomendação do gerenciador de senhas e disse que entrar em sites de terceiros com seu Google, Facebook, Twitter ou outras credenciais de mídia social é um risco à segurança. Eu não compro esse argumento.
Você viu do que estou falando. Embora a maioria dos serviços exija que você crie uma conta do zero, há sites onde você pode fazer login com suas credenciais de mídia social. A Expedia, por exemplo, permite que você faça login no Facebook. Ou Inoreader (meu leitor de RSS preferido), que permite fazer login no Google. Isso permite que você pule o processo de criação da conta e faça login com uma conta que você já possui. Conveniente, certo? Muito. É uma questão de segurança, como Neil disse em seu artigo? Não.
Sempre que vejo um site que me permite entrar com outra conta, eu escolho essa opção. Não uso minha conta do Facebook para fazer login (desculpe, Expedia), mas se houver uma opção para usar minha conta do Google, sim. Eu tenho uma senha forte e complexa e também habilitei a autenticação de dois fatores. Portanto, minha conta do Google é o mais segura possível e confio no Google para tomar as medidas necessárias para manter minhas informações seguras. Nada contra o Facebook, mas acho que tomei medidas melhores para proteger minha conta do Google do que o Facebook.
Eu confio em você? Não
Quando chego a um site e tenho que criar uma conta, meu primeiro pensamento é: "Confio em você?" Confio no site para manter meus dados seguros? E não me refiro apenas a senhas e números de cartão de crédito. Confio no site para tomar as medidas necessárias para proteger meu número de telefone, endereço para correspondência e minha data de nascimento em seu banco de dados? Honestamente? Para a maioria das empresas, não, eu não. A segurança de aplicativos é difícil - a maioria dos desenvolvedores ainda está aprendendo práticas seguras de codificação -, assim como proteger o banco de dados de maneira eficaz. Este é um trabalho em andamento, e muitas empresas ainda não existem em termos de segurança. Como não posso sair perguntando às empresas: "Confio em você para manter minha senha segura e não roubada por hackers?" Pego o caminho mais fácil e presumo que não posso.
Lembra da violação de Gawker há alguns anos atrás? Todos esses endereços de email e senhas expostos porque os desenvolvedores da Gawker não tomaram medidas para protegê-los adequadamente. Não estou dizendo que Gawker estava errado - é uma empresa de mídia e ninguém imaginou que alguém iria atrás do sistema de comentários do site. Mas aconteceu. Como consumidor, não tentarei avaliar quais empresas têm a segurança necessária para confiar em seus aplicativos e quais não. Vou focar em quem está fazendo o trabalho corretamente.
O importante sobre o logon com minhas credenciais do Google: o site não mantém minha senha ou outras informações. Quando clico no botão do Google+, sou redirecionado para uma página do Google e me autentico nos servidores do Google. O Google diz ao site que sim, sou quem afirmo ser e me envia de volta ao site. O que significa que minhas informações permanecem no Google e o site recebe apenas um token que diz "ela fez login com êxito, deixe-a passar".
Considere todas as violações do site que vimos nos últimos dois anos. Existem sites nos quais me inscrevo apenas para ver como é e depois abandonar depois de alguns dias porque não é o que eu precisava. Se eu criei uma conta no site, minhas informações estarão no banco de dados do site. Mesmo depois que eu abandonei esse site, minha conta continua viva. (É por isso que não gosto de sites que não permitem excluir contas, mas isso é uma história diferente para outro dia.) Existem muitos lugares em potencial para os meus dados serem roubados. Se eu usar minha conta do Google para fazer login, o site não terá nenhuma informação sobre mim para ser roubado. Isso é tranquilizador. Se eu abandonar esse site, o Google permitirá que eu revogue as permissões da conta para que ninguém mais possa fazer login como eu.
Vamos falar sobre revogação. O objetivo principal de permitir que o Google, Facebook e Twitter manejem o login significa que você também pode usá-los para bloquear o acesso. Por exemplo, eu uso o Google para fazer login no Inoreader. Diga que não quero mais usar o Inoreader. Basta acessar as configurações da minha Conta do Google e clicar em "revogar acesso". E é isso. É também por isso que uso o Twitter para entrar em alguns sites. O Twitter facilita extremamente a desconexão de aplicativos quando terminar.
Meu objetivo é ter o menor número possível de bancos de dados do mundo, contendo um registro com minhas informações pessoais.
Outra coisa de que gosto em fazer login no Google: senhas específicas da conta. Eu gero uma senha aleatória, que o Google agora sabe que é a senha desse site. Essa senha funciona apenas para esse site e não dá acesso a mais nada. Em vez de gerar senhas por meio de um gerenciador de senhas e criar uma conta totalmente nova, mantenho o processo com o Google. Eu uso uma senha diferente da minha senha de e-mail e estou pulando todo o processo de criação da conta aderindo aos mecanismos do Google. Isso é bastante útil se eu estiver entrando em um aplicativo móvel, por exemplo. O Google agora sabe como verificar minha identidade e, como o login normal, revoguei a senha e o aplicativo não pode mais fazer login.
Fique com quem você confia
Neil fez uma pergunta muito boa: pergunte a si mesmo se esse site precisa saber alguma coisa sobre você. O site sobre você precisa saber seu nome, endereço de email, endereço físico e número de telefone ou qualquer outra informação de perfil? Caso contrário, não entregue. Mantenha com quem você confia.
Se sua senha do Facebook for "Senha1" e alguém com intenção nefasta descobrir isso, sim, essa pessoa poderá prosseguir e entrar em qualquer outro site vinculado à sua conta. Mas como isso é diferente de você ter selecionado "Senha1" para esse site, para começar? Se você estiver usando uma senha fácil de lembrar para o seu site de e-mail ou mídia social, provavelmente não está usando uma sequência de caracteres difíceis de lembrar na sua conta de milhas frequentes, certo? Portanto, é essa senha fraca que está gritando "Hack me!" não é o fato de você ter feito login com uma conta diferente. E se alguém descobriu sua senha do Google, não acho que sua maior preocupação seja se essa pessoa agora pode fazer login nas suas contas vinculadas. Não é tão fácil pedir e-mails de redefinição de senha.
A segurança não tem uma bala mágica. Uma determinada ferramenta pode ser usada tanto para o bem quanto para o mal. Está tudo na maneira como você a aborda. Minha preferência é ficar de fora dos bancos de dados. O que é seu?