मैन्युअल रूप से खाते बनाना एक दर्द है:हम केवल ऐप की सेवाओं तक पहुंच बनाना चाहते हैं, ईमेल, पासवर्ड और बुनियादी जानकारी सेट करने में पांच मिनट खर्च नहीं करना चाहते हैं। यही कारण है कि "फेसबुक से लॉग इन करें" और "Google के साथ लॉग इन करें" बटन इंटरनेट पर इतने आम हो गए हैं।
उपयोगकर्ता इस फ़ेडरेटेड लॉगिन तकनीक को पसंद करते हैं क्योंकि इससे खाते बनाना बहुत आसान हो जाता है, और वेबसाइट/ऐप्स इसे पसंद करते हैं क्योंकि उन्हें खातों के लिए साइन अप करने के लिए और अधिक उपयोगकर्ता मिल सकते हैं। चूंकि आप Google, Facebook, Twitter, Microsoft, LinkedIn, Github, WeChat, VKontakte, Weibo, और बहुत कुछ का उपयोग करके खाते बना सकते हैं, संभावना है कि आपने इनमें से किसी एक सेवा का उपयोग किया है, लेकिन यह भी संक्षेप में सोचा है कि क्या यह एक अच्छा विचार है। आपको आश्चर्य हो रहा है:हाँ, यह सुविधाजनक है, लेकिन जब सुरक्षा की बात आती है तो ट्रेड-ऑफ़ होते हैं, और यह अनिवार्य रूप से एकतरफा रास्ता है जहाँ तक गोपनीयता का सवाल है।
सामाजिक लॉगिन कैसे काम करते हैं?
प्रत्येक प्रणाली समान रूप से कार्य नहीं करती है, लेकिन मूल प्रक्रिया काफी सार्वभौमिक है। अधिकांश तृतीय-पक्ष लॉगिन सेवाएँ OpenID और OAuth प्रोटोकॉल के कुछ संयोजन का उपयोग करती हैं। OpenID उपयोगकर्ताओं को अधिकृत करने से संबंधित है (Facebook में लॉग इन करने से उस साइट पर आपकी पहचान की पुष्टि होती है जिसका आप उपयोग करने का प्रयास कर रहे हैं), जबकि OAuth नियंत्रित करता है कि अन्य साइटें आपके डेटा (नाम, आयु, रुचियों, दोस्तों, आदि) तक कैसे पहुंच सकती हैं।
सामाजिक लॉगिन प्रक्रिया में तीन मुख्य खिलाड़ी शामिल होते हैं:
- उपयोगकर्ता (वह आप हैं!) किसी ऐप या साइट तक पहुंच का अनुरोध कर रहा है
- वह ऐप या साइट जिसे उपयोगकर्ता एक्सेस करना चाहता है
- वह प्राधिकरण जो आपकी पहचान की पुष्टि करता है और आपके डेटा (फेसबुक, गूगल, आदि) तक पहुंच को नियंत्रित करता है।
एक सामान्य सामाजिक लॉगिन इस प्रकार होता है:
- उपयोगकर्ता "____ के साथ लॉग इन करें" बटन दबाता है।
- ऐप एक लिंक खोलता है जिसमें उपयोगकर्ता को ऑथराइज़र की साइट पर लॉग इन करने के लिए कहा जाता है। लिंक में प्राधिकरण को यह बताने वाली जानकारी है कि कौन सी साइट अनुरोध कर रही है।
- उपयोगकर्ता प्राधिकरण की साइट में अपना उपयोगकर्ता नाम और पासवर्ड दर्ज करता है, जिसका अर्थ है कि ऐप कभी भी आपकी जानकारी नहीं देखता है।
- प्राधिकरण एक बार उपयोग होने वाला कोड बनाता है और उसे ऐप को भेजता है।
- ऐप फिर इस कोड को ऑथराइज़र को भेजता है जिसमें ऑथराइज़र के एपीआई तक पहुँच के लिए अनुरोध किया जाता है।
- प्राधिकरण कोड को मान्य करता है और ऐप को एक टोकन (आमतौर पर एक समय सीमा के साथ) जारी करता है जो ऐप को कुछ उपयोगकर्ता जानकारी के लिए प्राधिकरण से पूछने की अनुमति देता है।
सुरक्षा प्रो:ईमेल-पासवर्ड लॉगिन की तुलना में सामाजिक लॉगिन अधिक सुरक्षित हो सकते हैं
सामाजिक लॉगिन उतना ही सुरक्षित है जितना कि उन्हें प्रबंधित करने वाली कंपनियां, जो यह देखते हुए कि वे दुनिया की कुछ सबसे बड़ी तकनीकी कंपनियां हैं, उन्हें "बहुत अच्छी" श्रेणी में रखती हैं। आपने Facebook और Google को बाएँ और दाएँ हैक होते हुए नहीं देखा है, ज़्यादातर इसलिए कि वे बहुत की परवाह करते हैं उनकी साइबर सुरक्षा के बारे में और अपनी औसत खुदरा श्रृंखला की तुलना में इसमें अधिक निवेश करें।
यदि आप एक फ़ेडरेटेड लॉगिन का उपयोग करते हैं, तो जिस साइट पर आप एक खाता बना रहे हैं, वह वास्तव में आपके उपयोगकर्ता नाम और पासवर्ड तक कभी नहीं पहुंचती है, जिसका अर्थ है कि कोई भी आपका खाता नहीं चुरा सकता है (हालांकि उन्हें कुछ संबद्ध जानकारी मिल सकती है)।
आप हर जगह अपने पासवर्ड दर्ज नहीं कर रहे हैं, और यह देखते हुए कि हम अक्सर अपने पासवर्ड का पुन:उपयोग करते हैं, यह एक अच्छी बात है। हम शायद वैसे भी सर्वोत्तम पासवर्ड प्रथाओं का पालन नहीं कर रहे हैं, इसलिए जितना कम हम अपनी खराब सुरक्षा को फैलाएंगे, उतना ही बेहतर होगा।
Security Con:अगर आपका सोशल लॉगइन डाउन हो जाता है, तो अपने अकाउंट भी करें
तो क्या हुआ अगर Facebook और Google करें हैक हो जाते हैं, या कोई आपके खाते में प्रवेश करने का प्रबंधन करता है? दोनों कंपनियों के पास अतीत में डेटा समस्याएं रही हैं (कैम्ब्रिज एनालिटिका, Google+), और लिंक्डइन को सीधे हैक कर लिया गया था, इसलिए बड़ी तकनीक का वास्तव में यहां 100% ट्रैक रिकॉर्ड नहीं है।
क्या आपके सोशल मीडिया लॉगिन वाला कोई व्यक्ति यह दिखावा कर सकता है कि आप उस प्रत्येक ऐप और साइट पर हैं, जिसमें आपने लॉग इन करने के लिए सोशल मीडिया का उपयोग किया था? मूल रूप से, हाँ। चाहे वह सिस्टम-व्यापी सुरक्षा उल्लंघन हो, कमजोर पासवर्ड हो, या आपके कंप्यूटर पर मैलवेयर बस आपके फेसबुक पर साइन इन करने की प्रतीक्षा कर रहा हो, आपके लॉगिन क्रेडेंशियल वाला कोई भी व्यक्ति आपको किसी अन्य ऐप पर प्रतिरूपित कर सकता है। यह सामाजिक लॉगिन को विफलता का एकल बिंदु बनाता है, यदि आपके अधिकृत खाते का उल्लंघन होता है तो संभावित डोमिनोज़ प्रभाव पैदा करता है।
इसका मतलब है कि बहुत कुछ सुरक्षित रहकर हमारे सोशल मीडिया अकाउंट्स पर सवार है। फेसबुक, गूगल और ट्विटर ऐसा करने के लिए कड़ी मेहनत कर रहे हैं, लेकिन भले ही वे अपना अंत रोक दें, वे इतना ही कर सकते हैं यदि आपका पासवर्ड 123456789 है (एक मजबूत पासवर्ड के लिए इन युक्तियों को देखें) और आप अपना खाता लॉग इन रखते हैं साझा या भौतिक रूप से सुलभ उपकरणों पर। यदि आप किसी सामाजिक लॉगिन का उपयोग करते हैं, तो आपको इसे उन सभी खातों की कुंजी के रूप में लेना चाहिए, जिन तक यह पहुंच सकता है।
गोपनीयता पेशेवर
यह एक छोटा खंड होगा क्योंकि उपयोगकर्ताओं के लिए वास्तव में कोई गोपनीयता लाभ नहीं है। सामाजिक लॉगिन न केवल आपके डेटा को जो कोई भी इसके लिए पूछता है, उस पर फ़ायरहोज़ नहीं करेगा, जो कि न्यूनतम है जिसकी आप अपेक्षा करते हैं, लेकिन यदि आप अभी ईमेल का उपयोग करते हैं तो आप हमेशा की तुलना में बहुत अधिक व्यक्तिगत जानकारी छोड़ देंगे। पासवर्ड कॉम्बो।
गोपनीयता विपक्ष:हर कोई आपके बारे में अधिक सीखता है
आप किस सेवा का उपयोग कर रहे हैं, इस पर निर्भर करते हुए, आपके पास कमोबेश इस बात पर नियंत्रण होता है कि कौन से डेटा ऐप्स को आपकी सामाजिक प्रोफ़ाइल से खींचने की अनुमति है। हालाँकि, आपके इरादे से अधिक देना आसान है, और ऐप्स इस ज्ञान में जो कुछ भी चाहते हैं वह पूछ सकते हैं कि अधिकांश उपयोगकर्ता संभवतः "हां" के लिए डिफ़ॉल्ट होंगे। आपके मित्र, स्थान, पोस्ट का इतिहास, रुचियां, और व्यक्तिगत जानकारी के अन्य अंश आपको पूरी तरह से जागरूक किए बिना आसानी से मिटाए जा सकते हैं।
दूसरी ओर, याद रखें कि आपको लॉगिन सेवाएं प्रदान करने वाली अधिकांश कंपनियां आपके बारे में अधिक डेटा एकत्र करने में बहुत रुचि रखती हैं। उन्हें यह जानना अच्छा लगेगा कि आप किन ऐप्स का उपयोग कर रहे हैं, आप उनका कितनी बार उपयोग करते हैं, और आप उनमें क्या करते हैं, इसके बारे में और भी अधिक विस्तृत जानकारी, और लॉग इन करने के लिए उनका उपयोग करना अनिवार्य रूप से वह जानकारी सीधे उन्हें दे रहा है। फेसबुक और Google को अपनी लॉगिन सेवाओं का उपयोग करने वाले ऐप्स से कितना डेटा मिलता है, यह स्पष्ट नहीं है, लेकिन यदि आप किसी कंपनी के साथ सहज नहीं हैं, तो संभावित रूप से आप ऐप में क्या कर रहे हैं, इसके बारे में बहुत कुछ जानते हैं, तो यह सबसे अच्छा है कि आप अपनी लॉगिन सेवाओं को लिंक न करें। उस कंपनी को खाता।
तो क्या मुझे सामाजिक लॉगिन का उपयोग करना चाहिए?
कई मामलों में सामाजिक लॉगिन अधिक सुरक्षित हो सकते हैं, खासकर यदि आप अपने मुख्य खातों को बहुत कसकर बंद रखने के लिए सावधान हैं, और आप सुनिश्चित नहीं हैं कि किसी ऐप या साइट में सबसे अच्छी साइबर सुरक्षा है या नहीं। सामाजिक लॉगिन के साथ एक स्केच ऐप या साइट में लॉग इन करना वास्तव में सुरक्षित है, क्योंकि आप उस पासवर्ड को नहीं छोड़ेंगे जिसका आप शायद कई साइटों पर पुन:उपयोग करते हैं। फिर भी, यदि आप एक अच्छी तरह से सुरक्षित सेवा पर संभावित रूप से संवेदनशील जानकारी वाला खाता बना रहे हैं, तो एक मजबूत ईमेल/पासवर्ड कॉम्बो आपकी सबसे अच्छी शर्त है।
गोपनीयता के लिए, यह एक व्यक्तिगत निर्णय है। अगर आप नहीं चाहते कि ऐप आपके बारे में जरूरत से ज्यादा जान सके, तो फेसबुक से लॉग इन न करें। यह समान रूप से दूसरी दिशा में जा रहा है:किसी तृतीय-पक्ष प्राधिकरण का उपयोग न करें जब तक कि आप उस तृतीय पक्ष द्वारा आप पर कुछ अतिरिक्त डेटा एकत्र करने में सहज न हों।