Video: FACEBOOK KESESI DENGAN APLIKASI INI DIJAMIN WORK (Oktober 2024)
Menjadi aman bukan hal yang kadang-kadang, tetapi proses yang berkelanjutan. Anda tidak aman karena Anda menggunakan alat tertentu - Anda aman karena Anda menerapkan pola pikir keamanan setiap hari.
Ambil kata sandi. Anda selalu mendengar pengingat - jangan menggunakan kembali kata sandi di seluruh situs, aplikasi, dan layanan. Jangan memilih kata sandi yang lemah. Gunakan pengelola kata sandi sehingga Anda dapat memilih kata sandi yang sangat rumit dan tidak perlu khawatir mengingatnya. Nyalakan otentikasi dua faktor jika memungkinkan. Ini semua adalah nasihat yang baik untuk diingat dan diikuti. Awal minggu ini, kolega saya Neil Rubenking mengambil rekomendasi manajer kata sandi selangkah lebih maju dan mengatakan masuk ke situs web pihak ketiga dengan Google, Facebook, Twitter, atau kredensial media sosial Anda adalah risiko keamanan. Saya tidak membeli argumen itu.
Anda telah melihat apa yang saya bicarakan. Meskipun sebagian besar layanan mengharuskan Anda membuat akun dari awal, ada beberapa situs tempat Anda dapat masuk dengan kredensial media sosial Anda. Expedia, misalnya, memungkinkan Anda masuk dengan Facebook. Atau Inoreader (pembaca RSS pilihan saya), yang memungkinkan Anda masuk dengan Google. Ini memungkinkan Anda melewati proses pembuatan akun dan masuk dengan akun yang sudah Anda miliki. Nyaman bukan? Sangat. Apakah ini masalah keamanan seperti yang dikatakan Neil dalam karyanya? Tidak.
Setiap kali saya melihat situs yang memungkinkan saya masuk dengan akun lain, saya memilih opsi itu. Saya tidak menggunakan akun Facebook saya untuk masuk (maaf, Expedia), tetapi jika ada opsi untuk menggunakan akun Google saya, saya lakukan. Saya memiliki kata sandi yang kuat dan kompleks dan saya juga mengaktifkan otentikasi dua faktor. Jadi akun Google saya seaman saya bisa membuatnya, dan saya percaya Google untuk mengambil langkah-langkah yang diperlukan untuk menjaga keamanan informasi saya. Tidak ada yang melawan Facebook, tetapi saya pikir saya telah mengambil langkah yang lebih baik untuk melindungi akun Google saya daripada Facebook.
Apakah saya mempercayai Anda? Tidak
Ketika saya datang ke sebuah situs dan saya harus membuat akun, pikiran pertama saya adalah, "Apakah saya mempercayai Anda?" Apakah saya mempercayai situs untuk menjaga data saya aman? Dan saya tidak hanya bermaksud kata sandi dan nomor kartu kredit. Apakah saya percaya situs telah mengambil langkah-langkah yang diperlukan untuk melindungi nomor telepon saya, alamat surat, dan tanggal lahir saya di basis datanya? Secara jujur? Bagi sebagian besar perusahaan, tidak, saya tidak. Keamanan aplikasi sulit - kebanyakan pengembang masih mempelajari praktik pengkodean yang aman - seperti halnya mengamankan basis data secara efektif. Ini adalah pekerjaan yang sedang berjalan, dan banyak perusahaan masih tidak ada dalam hal keamanan. Karena saya tidak bisa berkeliling bertanya pada perusahaan, "Apakah saya percaya Anda menjaga keamanan kata sandi saya dan tidak mencurinya oleh peretas?" Saya mengambil jalan yang mudah dan menganggap saya tidak bisa.
Ingat pelanggaran Gawker beberapa tahun yang lalu? Semua alamat email dan kata sandi terbuka karena pengembang Gawker tidak mengambil langkah-langkah untuk mengamankannya. Saya tidak mengatakan bahwa Gawker salah - itu adalah perusahaan media dan tidak ada orang di sana yang membayangkan orang akan mengikuti sistem komentar situs tersebut. Tetapi itu terjadi. Sebagai konsumen, saya tidak akan mencoba memeriksa perusahaan mana yang cukup memikirkan keamanan untuk memercayai aplikasi mereka dan mana yang tidak. Saya akan fokus pada siapa yang melakukan pekerjaan dengan benar.
Yang penting tentang masuk dengan kredensial Google saya: situs tidak menyimpan kata sandi saya atau informasi lainnya. Ketika saya mengklik tombol Google+, saya diarahkan ke halaman Google, dan saya mengautentikasi terhadap server Google. Google kemudian memberi tahu situs itu bahwa ya, saya adalah orang yang saya katakan dan mengirim saya kembali ke situs tersebut. Yang berarti informasi saya tetap dengan Google dan situs hanya mendapat token yang mengatakan "dia berhasil masuk, biarkan dia masuk."
Pertimbangkan semua pelanggaran situs yang kami lihat selama dua tahun terakhir. Ada situs yang saya daftar hanya untuk melihat seperti apa, dan kemudian meninggalkannya setelah beberapa hari karena itu bukan yang saya butuhkan. Jika saya membuat akun di situs, informasi saya ada di database situs itu. Bahkan setelah saya meninggalkan situs itu, akun saya tetap hidup. (Inilah sebabnya saya tidak suka situs yang tidak membiarkan Anda menghapus akun, tetapi itu adalah cerita yang berbeda untuk hari lain.) Itulah banyak tempat potensial untuk data saya dicuri. Jika saya menggunakan akun Google saya untuk masuk, maka situs tersebut tidak memiliki informasi tentang saya untuk dicuri. Itu meyakinkan. Jika saya meninggalkan situs itu, Google memungkinkan saya mencabut izin akun sehingga tidak ada orang lain yang bisa masuk seperti saya.
Mari kita bicara tentang pencabutan. Inti dari membiarkan Google, Facebook dan Twitter menangani login berarti Anda juga dapat menggunakannya untuk memblokir akses. Misalnya, saya menggunakan Google untuk masuk ke Inoreader. Katakanlah saya tidak lagi ingin menggunakan Inoreader lagi. Saya baru saja masuk ke pengaturan Akun Google saya dan klik "cabut akses." Dan itu saja. Ini juga mengapa saya menggunakan Twitter untuk masuk ke beberapa situs. Twitter membuatnya sangat mudah untuk memutuskan aplikasi setelah saya selesai.
Tujuan saya adalah memiliki sesedikit mungkin basis data di dunia yang berisi catatan dengan informasi pribadi saya.
Hal lain yang saya sukai tentang masuk dengan Google: kata sandi khusus akun. Saya membuat kata sandi acak, yang sekarang diketahui Google adalah kata sandi untuk situs itu. Kata sandi itu hanya berfungsi untuk situs itu dan tidak memberikan akses ke hal lain. Alih-alih menghasilkan kata sandi melalui pengelola kata sandi dan membuat akun baru, saya tetap menggunakan Google. Saya menggunakan kata sandi selain kata sandi email saya dan saya melewatkan seluruh proses pembuatan akun dengan tetap menggunakan mekanisme Google. Ini cukup berguna jika saya masuk ke aplikasi seluler, misalnya. Google sekarang tahu cara memverifikasi identitas saya, dan seperti masuk biasa, saya hanya mencabut kata sandi dan aplikasi itu tidak bisa lagi masuk.
Tetap dengan Siapa yang Anda Percayai
Neil mengajukan pertanyaan yang sangat bagus: tanyakan pada diri sendiri apakah situs itu perlu tahu tentang Anda. Apakah situs tentang Anda perlu mengetahui nama, alamat email, alamat fisik, dan nomor telepon Anda, atau informasi profil lainnya? Jika tidak, jangan serahkan. Simpan dengan siapa yang Anda percayai.
Jika kata sandi Facebook Anda adalah "Kata Sandi1" dan seseorang dengan niat jahat mengetahui hal ini, maka ya, orang itu dapat melanjutkan dan dapat masuk ke situs lain yang Anda tautkan dengan akun Anda. Tapi apa bedanya dengan Anda memilih "Kata Sandi1" untuk memulai situs itu? Jika Anda menggunakan kata sandi yang mudah diingat untuk email atau situs media sosial Anda, maka kemungkinan besar Anda tidak menggunakan serangkaian karakter yang sulit diingat untuk akun miles frequent flier Anda, bukan? Jadi, kata sandi yang lemah itu berteriak, "Retas aku!" bukan fakta bahwa Anda masuk dengan akun yang berbeda. Dan jika seseorang mengetahui kata sandi Google Anda, saya tidak berpikir kekhawatiran terbesar Anda adalah apakah orang itu sekarang dapat masuk ke akun tertaut Anda. Tidak begitu mudah untuk hanya meminta email pengaturan ulang kata sandi.
Keamanan tidak memiliki peluru ajaib. Alat yang diberikan dapat digunakan untuk yang baik dan yang buruk. Ini semua dalam cara Anda mendekatinya. Preferensi saya adalah tidak menggunakan database. Apa milikmu?
