Por qué no debería usar Facebook para iniciar sesión en otros sitios


Dejaré de usar Facebook para iniciar sesión en aplicaciones y sitios en línea. Tu también deberías.

Esa es la forma más razonable de responder al anuncio de Facebook la semana pasada de que una brecha de seguridad permitió a los piratas informáticos infiltrarse en las cuentas de al menos 50 millones de usuarios y posiblemente decenas de millones más. El ataque les dio a los atacantes acceso no solo a su cuenta de Facebook, sino también posiblemente a las muchas cuentas con las que usó Facebook para iniciar sesión: servicios como Instagram, Spotify, Airbnb, Tinder, Pinterest, Expedia, The New York Times y más de 100,000 otros lugares en línea. .

Digo «posiblemente» porque ni Facebook ni los sitios de terceros parecen conocer el alcance exacto del daño. En un comunicado el martes, Guy Rosen, vicepresidente de gestión de productos de Facebook, dijo que la empresa «no tenía pruebas» que los atacantes violaron otros sitios a través del pirateo, pero que la empresa estaba construyendo formas más sofisticadas para que los sitios hicieran su propia investigación más profunda.

Pero la mera posibilidad es muy preocupante, y si el ataque permitió el acceso a otros sitios, Facebook debería ser descalificado para actuar como su servicio de inicio de sesión.

Esta es una situación clásica en la que tenía un solo trabajo. Como un superintendente de confianza en Brooklyn, Facebook se ofreció a llevar las llaves de cada cerradura en línea. La disposición fue conveniente: el súper siempre estaba allí, con solo presionar un botón. También era más seguro que crear y recordar docenas de contraseñas para diferentes sitios. Facebook tenía un incentivo financiero y de reputación para contratar a las mejores personas de seguridad para proteger sus claves; toneladas de sitios pequeños en línea no lo hacen, y si fueron pirateados y si reutilizó sus contraseñas en otro lugar, fue rechazado.

Pero el hackeo extenso vaporiza esos argumentos. Si la entidad con la que confió sus claves pierde sus claves, lleve sus claves a otra parte. Y hay muchas formas más seguras y convenientes de iniciar sesión en línea.

La mejor forma es utilizar un administrador de contraseñas dedicado – un servicio, como Ultimo pase o 1 contraseña, que crea y recuerda contraseñas seguras para diferentes sitios. Los sistemas operativos y los navegadores también están mejorando en la gestión de contraseñas; Los iPhones más nuevos, por ejemplo, te permiten desbloquear sitios con reconocimiento facial, que es tan conveniente como presionar el botón de Facebook.

Si por alguna razón no desea utilizar un administrador de contraseñas, puede utilizar el servicio de inicio de sesión de otro gigante tecnológico. Cuando se le presentan diferentes formas de iniciar sesión en sitios, puede elegir Google o Microsoft en lugar de Facebook.

Sí, es posible que esas empresas también sean pirateadas algún día. Después de todo, Yahoo fue pirateado, al igual que LinkedIn, al igual que Equifax. Pero en este momento, un servicio de inicio de sesión de Google o Microsoft tiene una gran ventaja sobre Facebook: esas empresas no perdieron el control de las cuentas de 50 millones de personas, y Facebook sí.

Decidí dejar de usar la red social como servicio de inicio de sesión después de charlar con Jason Polakis, profesor asistente de informática en la Universidad de Illinois en Chicago, quién tiene estudió la seguridad de los servicios de inicio de sesión como el de Facebook.

Polakis admitió que hay enormes beneficios de conveniencia e incluso algunos beneficios de seguridad para un inicio de sesión único. «Obviamente, las grandes empresas como Facebook y Google tienen ingenieros increíbles, y sus prácticas de seguridad están generalmente por delante de la curva en comparación con otros sitios web más pequeños», dijo.

Pero ninguna empresa, ni siquiera una tan grande y rica como Facebook o Google, puede garantizar una seguridad perfecta.

Y de alguna manera, dijo Polakis, el tamaño y la complejidad de Facebook van en contra de su seguridad. El hackeo de Facebook, por ejemplo, parece haber sido causado por tres errores diferentes que actúan en concierto.

«El código base de estos servicios es enorme», dijo Polakis. «Tienes diferentes equipos trabajando en diferentes componentes, y pueden interactuar de diferentes maneras, y puedes tener un truco loco que nadie espera».

El otro peligro de iniciar sesión en todo con Facebook es la amenaza del phishing. Incluso si millones de cuentas de Facebook no hubieran sido pirateadas, las cuentas individuales de las personas son pirateadas todo el tiempo mediante engaños en línea. El inicio de sesión único agrava el daño: quien hackea su cuenta de Facebook obtiene acceso a todo lo demás que haya vinculado a Facebook.

¿Por qué un administrador de contraseñas es una mejor manera de protegerse que iniciar sesión a través de una gran plataforma? Los administradores de contraseñas también pueden ser pirateados, dijo Polakis, pero «en comparación con plataformas masivas que tienen millones de líneas diferentes de códigos y diferentes funcionalidades, un administrador de contraseñas tiene un trabajo específico y, por lo tanto, minimiza las posibilidades de que algo salga mal».

Le pedí a Facebook un contraargumento para dejar de usarlo para iniciar sesión. Un portavoz dijo que el inicio de sesión de Facebook era aún más seguro que las contraseñas débiles que la gente crea y reutiliza para todo.

Ese no es un mal punto. Los administradores de contraseñas no son tan convenientes de usar como el botón de Facebook; si las personas responden al truco de Facebook introduciendo sus propias contraseñas en lugar de usar Facebook, eso puede ser peor para todos.

El portavoz también señaló que Facebook se estaba tomando muy en serio este truco y había estado invirtiendo mucho en prácticas de seguridad y privacidad durante sus dos últimos años de escándalo.

No digo lo contrario. Creo que Facebook se está tomando esto en serio. En algún momento, tal vez, Facebook recupere mi confianza lo suficiente como para manejar mis claves digitales.

Pero solo lo hará si perderlos tiene algún costo. Por ahora, ese costo es: cuando veo el botón azul de Facebook que ofrece una manera fácil de registrarme para tal o cual adorno digital, no lo estoy tocando.



Source link

Deja un comentario