Início » Segurança » É seguro fazer login com contas do Facebook e do Google?

É seguro fazer login com contas do Facebook e do Google?

Por
09/11/2018 às 16h00
Já conhece a nova extensão do Tecnoblog? Baixe Agora

Sites, aplicativos e até outras redes sociais oferecem o famigerado login via Facebook ou Google. Menos comuns, porém, estão os logins usando as credenciais de Twitter, LinkedIn ou Conta Microsoft. Isso se chama Oauth, um padrão de autorização de login.

Em vias normais, um site ou aplicativo de celular solicitaria a criação de uma conta tradicional na plataforma, usando e-mail, nome de usuário e senha. Isso acontece para que o sistema possa mandar uma mensagem de confirmação (para garantir que você é uma pessoa de verdade e não um bot) e, só então, criar sua conta e liberar o acesso.

Facebook Login / Instagram / Freestocks / Unsplash

Quando você — e o site — optam por usar o Google ou o Facebook Login para iniciar uma sessão, pula-se essa dança de “oi, tudo bem”, “tudo, quem é você?”, “sou eu mesmo”… Em vez disso, usa-se a sua ID nestes serviços para responder por você e gerenciar sua conta.

Ao iniciar a sessão, o site ou app direciona sua navegação a um pop-up do Facebook ou do Google (verifique sempre a URL) e você coloca suas credenciais: o gestor da sua ID envia um token de volta ao site que confirma: “sim, essa pessoa é quem diz que é”.

Let’s Go!

Vale notar que isso nada tem a ver com a sua senha do Facebook e do Google — ou do LinkedIn, do Twitter e da Microsoft. A plataforma nunca receberá a sua senha para isso.

Como funciona a privacidade ao usar o Facebook Login

De acordo com o Facebook, quando você faz login pela rede social, o site pode acessar as informações como nome e e-mail, para identificá-lo e oferecer uma experiência personalizada. “As políticas da plataforma, no entanto, restringem como esses sites podem usar suas informações”, baseadas na suas próprias decisões de que tipos de informações os aplicativos em geral e que os seus amigos usam podem acessar por lá.

Exemplos:

  • Se você bloqueou alguém, a pessoa não poderá vê-lo nos sites em que fizer login.
  • Quando as pessoas acessarem um site, não poderão ver as informações que você adicionou às quais não teriam acesso ao navegar normalmente pelo Facebook.

Mas, é só isso mesmo que eles têm acesso?

No mínimo, terão acesso ao seu perfil público do Facebook — portanto, atenção ao que é público na sua conta — e seu endereço de e-mail. Em alguns casos, porém, há plataformas que solicitam mais do que isso, especialmente as que oferecem experiências sociais, como ter acesso à sua lista de contatos ou a capacidade de publicar em seu nome no mural. Você pode autorizar ou não algumas coisas.

E a segurança das contas de Facebook e Google?

Quando você opta por usar login via Oauth, você deixa a sua segurança nas mãos de quem é o gestor daquela ID. No caso, Google, Facebook, Microsoft, LinkedIn e Twitter.

Isso pode ser um ponto positivo, se formos otimistas. O site que você quer usar pode ter uma ótima qualidade e boas intenções. Mas, provavelmente, faltam a eles recursos para investir em segurança no mesmo nível que os gigantes de busca e social media.

Alguns benefícios de usar o Oauth:

  • Menos um login e senha para você decorar;
  • Isso vai evitar que você repita senhas em vários sites;
  • Você contará com a segurança de Google, Facebook, Microsoft e afins;
  • Se o site ou app for invadido, nenhum deles tem a sua senha ou dados;
  • Você pode revogar o acesso a qualquer momento nas configurações;

Parece bom, mas você precisa ter em mente que a segurança da sua conta Google, Facebook ou Microsoft é essencial. Portanto, siga algumas dicas para se precaver:

  1. Senha forte e única;
  2. Verificação em duas etapas (dois fatores);

E se o Facebook ou o Google for invadido?

Essa é a questão.

Você está colocando todos os seus ovos em uma única cesta e ela já se mostrou furada. Como pudemos ver, o último ataque ao Facebook resultou numa invasão que afetou 90 milhões de contas — e apenas mais tarde foi declarado que a plataforma não encontrou evidência até o momento de que o incidente afetou o Facebook Login. Porque os tokens foram todos revogados imediatamente e isso evitou os acessos.

Sendo assim, além de garantir a segurança da sua cesta, você precisa confiar.

Entretanto, vale a reflexão:

Se você depende de uma conta de e-mail para se cadastrar em cada um dos sites e aplicativos para gerenciar todas essas contas separadamente, se o e-mail for invadido (ao cair em um golpe de phishing, por exemplo), o resultado prático é basicamente o mesmo.

O hacker pode usar seu e-mail para redefinir todas as suas senhas em todos os serviços, redes sociais e aplicativos em que usou o e-mail para seu cadastro.

Por outro lado, se alguém violar sua conta do Facebook ou do Google, você estará em um problema muito maior se usou essa conta para se autenticar em centenas de outros sites e apps. Sendo assim, confiar ainda é mandatório. Decida porém, em quem confiar.

Ou seja; é seguro? Tão seguro o quanto você confia nessas empresas.

Outra opção: gerenciadores de senhas

Estamos falando de outra cesta para guardar os seus ovos: gerenciadores de senhas.

Alguns são pequenos mas outros oferecem recursos premium, cobram pelo serviço ou estão presentes dentro de soluções antivírus famosas. Você pode optar por confiar em um gerenciador de senhas para criar e armazenar várias senhas fortes e exclusivas para cada site. E, nesse caso, você ainda depende da segurança do site ou aplicativo para manter essa senha exclusiva e sua conta a salvo contra uma violação de dados.

Note, que se eles não cumprirem os requisitos mínimos, você precisará alterar a senha — e só fará isso (mudar a senha) se souber da violação (e em tempo de evitar o pior).

A autenticação com dois fatores vai evitar que sua conta (em sites compatíveis com o recurso) fique exposta sem essa camada de segurança. Os melhores gerenciadores de senha são compatíveis com login em dois fatores. Se o seu não for, considere trocá-lo.

Ou seja; é seguro? Tão seguro o quanto você confia no gerenciador de senha e nos seus hábitos de não repeti-las em mais de um site, entre outras definições de segurança. A violação de uma senha em um dos sites, quase sempre, não vai prejudicar outras contas (desde que não seja a do seu e-mail). Já a violação do gerenciador de senhas (escolha um confiável) como um todo, põe em risco toda a sua estratégia.

E lembre-se, segurança não é uma coisa periódica, mas um processo contínuo. Você não está seguro porque usa uma ferramenta específica de antimalware — você está seguro porque alimenta uma mentalidade de segurança pessoal e digital todos os dias.

Com informações de AVG, Information Security, Kaspersky e PCMag

Mais sobre: ,