Социальный вход - Social login

Социальный вход - это форма единого входа с использованием существующей информации из социальной сети, такой как Facebook , Twitter или Google , для входа на сторонний веб-сайт вместо создания новой учетной записи для входа специально для этого веб-сайта. Он разработан для упрощения входа в систему для конечных пользователей, а также для предоставления веб-разработчикам все более надежной демографической информации.

Как работает социальный вход

Социальный вход связывает учетные записи одной или нескольких социальных сетей с веб-сайтом, обычно с помощью подключаемого модуля или виджета . Выбирая желаемую службу социальной сети, пользователь просто использует свой логин для этой службы для входа на веб-сайт. Это, в свою очередь, устраняет необходимость для конечного пользователя запоминать информацию для входа в систему для нескольких веб-сайтов электронной коммерции и других веб-сайтов, в то же время предоставляя владельцам сайтов единообразную демографическую информацию, предоставляемую службой социальных сетей. Многие сайты, предлагающие вход через социальные сети, также предлагают более традиционную онлайн-регистрацию для тех, кто либо желает этого, либо не имеет учетной записи в совместимой социальной сети (и поэтому им будет запрещено создавать учетную запись на сайте).

Приложение

Социальный вход может быть реализован строго как система аутентификации с использованием таких стандартов, как OpenID или SAML . Для потребительских веб-сайтов, предлагающих пользователям социальные функции, вход через социальные сети часто реализуется с использованием стандарта OAuth . OAuth - это безопасный протокол авторизации, который обычно используется вместе с аутентификацией для предоставления сторонним приложениям « токена сеанса », позволяющего им выполнять вызовы API к поставщикам от имени пользователя. Сайты, использующие социальный вход таким образом, обычно предлагают социальные функции, такие как комментирование, обмен, реакции и геймификация .

Хотя социальный вход может быть распространен на корпоративные веб-сайты, большинство социальных сетей и поставщиков удостоверений на основе потребителя допускают самоутверждение. По этой причине социальный вход обычно не используется для строгих и высокозащищенных приложений, таких как банковское дело или здравоохранение.

Преимущества входа в социальную сеть

Исследования показали, что формы регистрации на веб-сайтах неэффективны, поскольку многие люди предоставляют ложные данные, забывают свои данные для входа на сайт или просто отказываются регистрироваться. Исследование, проведенное в 2011 году компаниями Janrain и Blue Research, показало, что 77 процентов потребителей предпочитают социальный вход в систему как средство аутентификации более традиционным методам онлайн-регистрации. Дополнительные преимущества:

  • Целевой контент - веб-сайты могут получать данные профиля и социальных сетей, чтобы нацеливать персонализированный контент на пользователя. Сюда входит такая информация, как имя, адрес электронной почты, родной город, интересы, занятия и друзья. Однако это может создать проблемы для конфиденциальности и привести к сужению разнообразия представлений и опций, доступных в Интернете.
  • Несколько идентификаторов - пользователи могут входить на веб-сайты с несколькими социальными идентификаторами, что позволяет им лучше контролировать свою онлайн-идентичность.
  • Регистрационные данные - многие веб-сайты используют данные профиля, полученные при входе в социальную сеть, вместо того, чтобы пользователи вручную вводили свои PII (личную информацию) в веб-формы. Это потенциально может ускорить процесс регистрации или подписки.
  • Предварительно проверенная электронная почта - поставщики удостоверений, поддерживающие электронную почту, такие как Google и Yahoo! может вернуть адрес электронной почты пользователя на сторонний веб-сайт, не позволяя пользователю указать сфабрикованный адрес электронной почты во время процесса регистрации.
  • Связывание учетной записи - поскольку для аутентификации можно использовать вход через социальную сеть, многие веб-сайты позволяют устаревшим пользователям связывать уже существующую учетную запись сайта со своей учетной записью для входа в социальную сеть без принудительной повторной регистрации.

Недостатки социального входа

Использование входа в социальные сети через такие платформы, как Facebook, может непреднамеренно сделать сторонние веб-сайты бесполезными в определенных библиотеках, школах или на рабочих местах, которые блокируют службы социальных сетей из соображений производительности. Это также может вызвать трудности в странах с активными режимами цензуры , таких как Китай и его « Проект Золотой щит» , где сторонний веб-сайт может не подвергаться активной цензуре, но эффективно блокируется, если заблокирован вход пользователя в социальную сеть.

Есть несколько других рисков, связанных с использованием инструментов входа в социальные сети. Эти учетные записи также являются новым рубежом для мошенничества и злоупотребления учетными записями, поскольку злоумышленники используют изощренные средства для взлома этих механизмов аутентификации. Это может привести к нежелательному увеличению числа мошеннических созданий учетных записей или к худшему; злоумышленники успешно воруют учетные данные учетной записи в социальных сетях у законных пользователей. Один из способов использования учетных записей социальных сетей - это побуждение пользователей загружать вредоносные расширения браузера, которые запрашивают разрешения на чтение и запись на всех веб-сайтах. Эти пользователи не знают, что позже, обычно через неделю или около того после установки, расширения затем загрузят некоторую фоновую вредоносную программу Javascript со своего сайта управления и контроля для запуска в браузере пользователя. С этого момента этими зараженными вредоносным ПО браузерами можно эффективно управлять удаленно. Затем эти расширения будут ждать, пока пользователь не войдет в социальную сеть или другую онлайн-учетную запись, и с использованием этих токенов или учетных данных будет регистрироваться для других онлайн-учетных записей без явного разрешения законного пользователя.

Агрегирование входа в социальные сети

Приложения для входа в социальные сети, совместимые со многими службами социальных сетей, доступны веб-разработчикам, использующим платформы для ведения блогов, такие как WordPress . Такие компании, как Gigya , Janrain , Oneall.com, Lanoba.com и LoginRadius, также предоставляют веб-разработчикам единые решения для входа в систему через социальные сети. Эти компании могут предоставлять доступ через социальные сети к 20 или более сайтам социальных сетей.

Безопасность

В марте 2012 года в исследовательской работе сообщалось об обширном исследовании безопасности механизмов входа в социальные сети. Авторы обнаружили 8 серьезных логических ошибок в известных поставщиках идентификаторов и веб-сайтах проверяющих сторон, таких как OpenID (включая Google ID и PayPal Access), Facebook , Janrain , Freelancer , FarmVille , Sears.com и т. Д. Поскольку исследователи сообщили поставщикам идентификаторов и сторонних веб-сайтов, которые полагались на службу до публичного объявления об обнаружении недостатков, уязвимости были исправлены, и не сообщалось о нарушениях безопасности. В этом исследовании делается вывод о том, что общее качество безопасности развертываний SSO вызывает беспокойство.

Более того, вход в социальные сети часто осуществляется небезопасно. В этом случае пользователи должны доверять каждому приложению, в котором реализована эта функция, конфиденциальность обработки своего идентификатора.

Кроме того, полагаясь на учетную запись, которая работает на многих веб-сайтах, вход через социальную сеть создает единую точку отказа, что значительно увеличивает ущерб, который может быть нанесен в случае взлома учетной записи.

Список известных поставщиков

Вот список служб (обычно социальных сетей), которые предоставляют функции входа в социальные сети, которые они поощряют использовать на других веб-сайтах.

Смотрите также

использованная литература

дальнейшее чтение