Início » Antivírus e Segurança » É seguro fazer login com contas do Facebook e do Google?

É seguro fazer login com contas do Facebook e do Google?

Melissa Cruz Cossetti Por
TB Responde

Sites, aplicativos e até outras redes sociais oferecem o famigerado login via Facebook ou Google. Menos comuns, porém, estão os logins usando as credenciais de Twitter, LinkedIn ou Conta Microsoft. Isso se chama Oauth, um padrão de autorização de login.

Em vias normais, um site ou aplicativo de celular solicitaria a criação de uma conta tradicional na plataforma, usando e-mail, nome de usuário e senha. Isso acontece para que o sistema possa mandar uma mensagem de confirmação (para garantir que você é uma pessoa de verdade e não um bot) e, só então, criar sua conta e liberar o acesso.

Facebook Login / Instagram / Freestocks / Unsplash

Quando você — e o site — optam por usar o Google ou o Facebook Login para iniciar uma sessão, pula-se essa dança de "oi, tudo bem", "tudo, quem é você?", "sou eu mesmo"... Em vez disso, usa-se a sua ID nestes serviços para responder por você e gerenciar sua conta.

Ao iniciar a sessão, o site ou app direciona sua navegação a um pop-up do Facebook ou do Google (verifique sempre a URL) e você coloca suas credenciais: o gestor da sua ID envia um token de volta ao site que confirma: “sim, essa pessoa é quem diz que é".

Let's Go!

Vale notar que isso nada tem a ver com a sua senha do Facebook e do Google — ou do LinkedIn, do Twitter e da Microsoft. A plataforma nunca receberá a sua senha para isso.

Como funciona a privacidade ao usar o Facebook Login

De acordo com o Facebook, quando você faz login pela rede social, o site pode acessar as informações como nome e e-mail, para identificá-lo e oferecer uma experiência personalizada. "As políticas da plataforma, no entanto, restringem como esses sites podem usar suas informações", baseadas na suas próprias decisões de que tipos de informações os aplicativos em geral e que os seus amigos usam podem acessar por lá.

Exemplos:

  • Se você bloqueou alguém, a pessoa não poderá vê-lo nos sites em que fizer login.
  • Quando as pessoas acessarem um site, não poderão ver as informações que você adicionou às quais não teriam acesso ao navegar normalmente pelo Facebook.

Mas, é só isso mesmo que eles têm acesso?

No mínimo, terão acesso ao seu perfil público do Facebook — portanto, atenção ao que é público na sua conta — e seu endereço de e-mail. Em alguns casos, porém, há plataformas que solicitam mais do que isso, especialmente as que oferecem experiências sociais, como ter acesso à sua lista de contatos ou a capacidade de publicar em seu nome no mural. Você pode autorizar ou não algumas coisas.

E a segurança das contas de Facebook e Google?

Quando você opta por usar login via Oauth, você deixa a sua segurança nas mãos de quem é o gestor daquela ID. No caso, Google, Facebook, Microsoft, LinkedIn e Twitter.

Isso pode ser um ponto positivo, se formos otimistas. O site que você quer usar pode ter uma ótima qualidade e boas intenções. Mas, provavelmente, faltam a eles recursos para investir em segurança no mesmo nível que os gigantes de busca e social media.

Alguns benefícios de usar o Oauth:

  • Menos um login e senha para você decorar;
  • Isso vai evitar que você repita senhas em vários sites;
  • Você contará com a segurança de Google, Facebook, Microsoft e afins;
  • Se o site ou app for invadido, nenhum deles tem a sua senha ou dados;
  • Você pode revogar o acesso a qualquer momento nas configurações;

Parece bom, mas você precisa ter em mente que a segurança da sua conta Google, Facebook ou Microsoft é essencial. Portanto, siga algumas dicas para se precaver:

  1. Senha forte e única;
  2. Verificação em duas etapas (dois fatores);

E se o Facebook ou o Google for invadido?

Essa é a questão.

Você está colocando todos os seus ovos em uma única cesta e ela já se mostrou furada. Como pudemos ver, o último ataque ao Facebook resultou numa invasão que afetou 90 milhões de contas — e apenas mais tarde foi declarado que a plataforma não encontrou evidência até o momento de que o incidente afetou o Facebook Login. Porque os tokens foram todos revogados imediatamente e isso evitou os acessos.

Sendo assim, além de garantir a segurança da sua cesta, você precisa confiar.

Entretanto, vale a reflexão:

Se você depende de uma conta de e-mail para se cadastrar em cada um dos sites e aplicativos para gerenciar todas essas contas separadamente, se o e-mail for invadido (ao cair em um golpe de phishing, por exemplo), o resultado prático é basicamente o mesmo.

O hacker pode usar seu e-mail para redefinir todas as suas senhas em todos os serviços, redes sociais e aplicativos em que usou o e-mail para seu cadastro.

Por outro lado, se alguém violar sua conta do Facebook ou do Google, você estará em um problema muito maior se usou essa conta para se autenticar em centenas de outros sites e apps. Sendo assim, confiar ainda é mandatório. Decida porém, em quem confiar.

Ou seja; é seguro? Tão seguro o quanto você confia nessas empresas.

Outra opção: gerenciadores de senhas

Estamos falando de outra cesta para guardar os seus ovos: gerenciadores de senhas.

Alguns são pequenos mas outros oferecem recursos premium, cobram pelo serviço ou estão presentes dentro de soluções antivírus famosas. Você pode optar por confiar em um gerenciador de senhas para criar e armazenar várias senhas fortes e exclusivas para cada site. E, nesse caso, você ainda depende da segurança do site ou aplicativo para manter essa senha exclusiva e sua conta a salvo contra uma violação de dados.

Note, que se eles não cumprirem os requisitos mínimos, você precisará alterar a senha — e só fará isso (mudar a senha) se souber da violação (e em tempo de evitar o pior).

A autenticação com dois fatores vai evitar que sua conta (em sites compatíveis com o recurso) fique exposta sem essa camada de segurança. Os melhores gerenciadores de senha são compatíveis com login em dois fatores. Se o seu não for, considere trocá-lo.

Ou seja; é seguro? Tão seguro o quanto você confia no gerenciador de senha e nos seus hábitos de não repeti-las em mais de um site, entre outras definições de segurança. A violação de uma senha em um dos sites, quase sempre, não vai prejudicar outras contas (desde que não seja a do seu e-mail). Já a violação do gerenciador de senhas (escolha um confiável) como um todo, põe em risco toda a sua estratégia.

E lembre-se, segurança não é uma coisa periódica, mas um processo contínuo. Você não está seguro porque usa uma ferramenta específica de antimalware — você está seguro porque alimenta uma mentalidade de segurança pessoal e digital todos os dias.

Com informações de AVG, Information Security, Kaspersky e PCMag

Mais sobre: ,

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Sandro Marques
Eu estava indo para o mesmo caminho quando tive a sacada de rolar a tela para ver se a suposta sujeira se mantinha no mesmo lugar.
André G
Depois de algumas denúncias que tive pelo Facebook minha conta foi deletada e perdi o login de todos os serviços que eu usava.Os motivos de ter meu perfil deletado é que se vc comenta algo tipo "adoro bicha e sapatão" o algoritmo do Facebook reconhece essas palavras como preconceituosas e vc fica impedido de usar o Facebook por um mês. Se vc tem uma página e algo da página é deletado por denúncia, vc tbm leva strike no seu perfil, mesmo que nem tenha sido vc que publicou aquilo na página e sim outro navegador.Você também pode se ferrar se fizer algo que é claramente errado, tipo publicar pornografia e eu fiz isso uns anos atrás em um grupo.Aí depois de vários strikes eles deletaram meu perfil e eu me fodi.
O fantástico senhor raposo
Nunca nem vi
Kodos Otros
Sim e está cada vez mais comum isso.
Alberto Prado
O foda é quando o site ou o serviço em questão só aceita login das duas plataformas...
Eduardo Braga
Ah sim
Breno Ribeiro
Porra, tentei limpar a tela umas três vezes por causa do seu avatar.
Kodos Otros
Mas foi o que acabou acontecendo. Pra eles desvincularem o facebook da minha conta, tinham que cancelar a conta do spotify, inclusive perderia o valor já pago, absurdo demais isso. Acabou que no final tudo voltou ao normal, não foi tão "danoso", pois continuei com as playlists, só perdi o histórico mesmo.
Eduardo Braga
assim era mais fácil criar outra conta
Gabriel B.R.
Eu uso pela praticidade mesmo, mas no caso do google tem vários sites que simplesmente não funcionam no Chrome, entre eles o Disqus. Migrei pro Edge pra fazer login com Google.
Palhaço dançarino B/W
LastPass e Authy para colaborar com a segurança
DeadPull
Morte aos fakes!
Valdinei Ferreira
kkkk comigo foi quase assim. Meu Spotify era conectado ao Facebook, só que eu fazia um curso um tempo atrás e o Facebook era bloqueado lá na instituição, aí tive que entrar em contato com o Spotify pra ouvir minhas músicas de boas lá. :P
Will
Eu também, até que descobri o mundo dos gerenciadores de senhas, heheh
Will
Eu uso o Bitwarden, ele é gratuito, gosto dele pois como disse, para logar nele preciso de um 2FA, e para isso uso o Authy.
Kodos Otros
Fake nem é gente.
C-Cílio
(para garantir que você é uma pessoa de verdade e não um fake)O Disqus que diga.
Kodos Otros
Qual gerenciador você usa?
Kodos Otros
Eu vinha usando só o da Google, mas até isso estou parando de usar.
Will
Eu uso gerenciador de senhas + 2FA (e para logar no meu gerenciador de senhas preciso do token de um 2FA), só logo por google e faebook (preferencia google) quando só posso me cadastrar por um deles.
X-Tudãoᴳᴼᵀ
Por isso que não uso esses logins.
Kodos Otros
Exatamente. Eu, nos primórdios do Spotify e ainda usando Facebook, fiz meu cadastro usando o login dele.Quando resolvi cancelar o Facebook, não conseguia pois ele logava automaticamente.Tive que entrar em contato com o Spotify, pedir pra desconectar meu login e criar um novo, com isso perdi todo meu histórico de música e tal, mas me livrei do link.
Valdinei Ferreira
Só uso quando não tenho outras opções, como no FreeCodeCamp e no Medium. Só uso o Google quando é algum serviço voltado ao mobile.Um "problema" que pode ocorrer (que já aconteceu com alguns) é deixar de usar o "serviço-cesta". Exemplo simples é o Facebook, que muitos deixaram de usar, mas ainda mantém ativo por conta desse tipo de login.