Video: This is how Google's Chrome lets the cookies track you, imagined in real life (Oktober 2024)
Å være sikker er ikke noen ganger ting, men en pågående prosess. Du er ikke sikker fordi du bruker et bestemt verktøy - du er sikker fordi du bruker et sikkerhetstankegang hver dag.
Ta passord. Du hører påminnelsene hele tiden - ikke bruk passord på tvers av nettsteder, applikasjoner og tjenester. Ikke velg svake passord. Bruk en passordbehandling slik at du kan velge superkompliserte passord og ikke trenger å bekymre deg for å prøve å huske dem. Slå på tofaktorautentisering der det er mulig. Dette er alle gode råd å huske og følge. Tidligere denne uken tok min kollega Neil Rubenking passordsjefens anbefaling et skritt videre og sa det å være pålogging på tredjeparts nettsteder med Google-, Facebook-, Twitter- eller andre sosiale medier-legitimasjon er en sikkerhetsrisiko. Jeg kjøper ikke det argumentet.
Du har sett hva jeg snakker om. Mens de fleste tjenester krever at du oppretter en konto fra bunnen av, er det nettsteder der du kan logge deg på med sosiale medier. Med Expedia kan du for eksempel logge deg på med Facebook. Eller Inoreader (min valgte RSS-leser), som lar deg logge inn med Google. Dette lar deg hoppe over prosessen med å opprette kontoer og bare logge deg på med en konto du allerede har. Praktisk, ikke sant? Veldig. Er det et sikkerhetsproblem som Neil sa i sitt stykke? Nei.
Hver gang jeg ser et nettsted som lar meg logge på med en annen konto, velger jeg det alternativet. Jeg bruker ikke Facebook-kontoen min for å logge inn (beklager, Expedia), men hvis det er et alternativ å bruke Google-kontoen min, gjør jeg det. Jeg har et sterkt og sammensatt passord, og jeg aktiverte også tofaktorautentisering. Så Google-kontoen min er så sikker som jeg kan gjøre, og jeg stoler på at Google tar de nødvendige skritt for å holde informasjonen min sikker. Ingenting mot Facebook, men jeg tror jeg har tatt bedre skritt for å beskytte Google-kontoen min enn Facebook.
Stoler jeg på deg? Nei
Når jeg kommer til et nettsted og må opprette en konto, er min første tanke: "Stoler jeg på deg?" Stoler jeg på nettstedet for å holde dataene mine trygge? Og jeg mener ikke bare passord og kredittkortnummer. Stoler jeg på at nettstedet har tatt de nødvendige skritt for å beskytte telefonnummeret mitt, postadressen og fødselsdatoen min i databasen? Ærlig talt? For de fleste selskaper, nei, det gjør jeg ikke. Applikasjonssikkerhet er vanskelig - de fleste utviklere lærer fremdeles bare sikre kodingspraksis - og det er også å sikre databasen effektivt. Dette er et arbeid som pågår, og mange selskaper er fremdeles ikke der når det gjelder sikkerhet. Siden jeg ikke kan gå rundt og spør selskaper, "Stoler jeg på at du holder passordet mitt sikkert og ikke har det stjålet av hackere?" Jeg tar den enkle veien og antar at jeg ikke kan.
Husker du Gawker-bruddet for noen år siden? Alle disse e-postadressene og passordene som ble eksponert fordi Gawkers utviklere ikke tok skritt for å sikre dem ordentlig. Jeg sier ikke at Gawker tok feil - det er et medieselskap og ingen der forestilte at noen ville gå etter nettstedets kommentarsystem. Men det skjedde. Som forbruker skal jeg ikke prøve å veterinere hvilke selskaper som er sikkerhetsmessige nok til å stole på søknaden deres og hvilke ikke. Jeg kommer til å fokusere på hvem som gjør jobben riktig.
Det viktige med å logge på med Googles legitimasjon: nettstedet oppbevarer ikke passordet eller annen informasjon. Når jeg klikker på Google+ -knappen, blir jeg omdirigert til en Google-side, og jeg autentiserer mot Googles servere. Google forteller deretter nettstedet at ja, jeg er den jeg sier jeg er og sender meg tilbake til nettstedet. Noe som betyr at informasjonen min forblir hos Google og at nettstedet bare får et symbol som sier at hun har logget seg inn, la henne komme gjennom.
Vurder alle nettstedbrudd vi har sett de siste to årene. Det er nettsteder jeg registrerer meg bare for å se hvordan det er, og deretter forlate etter noen dager fordi det ikke er det jeg trengte. Hvis jeg opprettet en konto på nettstedet, er informasjonen min i nettstedets database. Selv etter at jeg forlater dette nettstedet, lever kontoen min videre. (Dette er grunnen til at jeg ikke liker nettsteder som ikke lar deg slette kontoer, men det er en annen historie for en annen dag.) Det er mange potensielle steder for at dataene mine blir stjålet. Hvis jeg bruker Google-kontoen min til å logge på, har ikke nettstedet noen informasjon om meg for å bli stjålet. Det er betryggende. Hvis jeg forlater dette nettstedet, lar Google meg tilbakekalle kontotillatelser slik at ingen andre kan logge inn som meg.
La oss snakke om tilbakekall. Hele poenget med å la Google, Facebook og Twitter håndtere pålogging betyr at du også kan bruke dem til å blokkere tilgang. Jeg bruker for eksempel Google for å logge på Inoreader. Si at jeg ikke lenger vil bruke Inoreader lenger. Jeg går inn på Google-kontoinnstillingene mine og klikker på "tilbakekalle tilgang." Og det er det. Dette er også grunnen til at jeg bruker Twitter for å logge på noen nettsteder. Twitter gjør det ekstremt enkelt å koble fra applikasjoner når jeg er ferdig.
Målet mitt er å ha så få databaser som mulig i verden som inneholder en post med min personlige informasjon.
En annen ting jeg liker med å logge på med Google: kontospesifikke passord. Jeg genererer et tilfeldig passord, som Google nå vet er passordet for det nettstedet. Det passordet fungerer bare for dette nettstedet og gir ikke tilgang til noe annet. I stedet for å generere passord gjennom en passordbehandler og opprette en helt ny konto, holder jeg prosessen med Google. Jeg bruker et annet passord enn e-postpassordet mitt, og hopper over hele prosessen med å opprette kontoen ved å holde meg til Googles mekanismer. Dette er ganske nyttig hvis jeg for eksempel logger på en mobilapp. Google vet nå hvordan jeg skal bekrefte identiteten min, og i likhet med den vanlige påloggingen, opphever jeg bare passordet, og den appen kan ikke lenger logge på.
Hold deg til den du stoler på
Neil stilte et veldig godt spørsmål: spør deg selv om det nettstedet trenger å vite noe om deg. Trenger nettstedet om deg å vite ditt navn, e-postadresse, fysisk adresse og telefonnummer eller annen profilinformasjon? Hvis den ikke gjør det, ikke overlever det. Hold det med den du stoler på.
Hvis Facebook-passordet ditt er "Passord1" og noen med ubehagelige hensikter finner ut av dette, kan ja, den personen kan gå videre og kan logge seg på et hvilket som helst annet nettsted du har koblet til kontoen din. Men hvordan er det forskjellig fra at du har valgt "Password1" for det nettstedet til å begynne med? Hvis du bruker et passord som er lett å huske for e-postadressen din eller sosiale medier, bruker du sannsynligvis ikke en streng med vanskelig å huske-tegn for din hyppige flymiljekonto, ikke sant? Så det er det svake passordet som skriker "Hack meg!" ikke det faktum at du logget på med en annen konto. Og hvis noen har funnet ut ditt Google-passord, tror jeg ikke at din største bekymring er om denne personen nå kan logge seg på de koblede kontoene dine. Ikke når det er så lett å bare be om tilbakestilling av passord.
Sikkerhet har ikke en magisk kule. Et gitt verktøy kan brukes på både godt og vondt. Det handler om hvordan du nærmer deg det. Min preferanse er å holde seg utenfor databaser. Hva er ditt?
