Авторизация через социальные сети: плюсы и минусы для пользователей и сайтов | Публикации |

Введение

Ниже речь пойдёт о протоколе авторизации, который позволяет веб-сайтам и веб-приложениям запрашивать ограниченный доступ к учётной записи пользователя в другом приложении — тем самым осуществляя вход через профиль в социальных сетях. Такой способ авторизации очень распространён, так как большинство пользователей не любят заводить новые аккаунты на различных сайтах и доверять им свои данные. Протокол OAuth 2.0 появился в 2022 году и очень отличается от предыдущей версии 2007 года.

Статья будет полезна тем, кто желает познакомиться с устройством фреймворка для авторизации и возможными тонкостями его настройки, дабы предотвратить утечку своих данных или данных пользователей.

Примером уязвимости протокола OAuth 2.0 может служить вектор кибератаки, представленный исследователями на Black Hat Europe в 2022 году. Как объяснили эксперты, в приложениях для Android и iOS небезопасно использовать технологию единого входа (Single Sign-On, SSO) через протокол OAuth 2.0.

Аутентификация на основе токенов

Аутентификация на основе токенов в последние годы стала очень популярна из-за распространения одностраничных приложений, веб-API и интернета вещей. Чаще всего в качестве токенов используются Json Web Tokens (JWT). Хотя реализации бывают разные, но токены JWT превратились в стандарт де-факто.

При аутентификации на основе токенов состояния не отслеживаются. Мы не будем хранить информацию о пользователе на сервере или в сессии и даже не будем хранить JWT, использованные для клиентов.

Процедура аутентификации на основе токенов:

Обязательная регистрация отталкивает 86% пользователей

Согласно результатам исследования компании WebHostingBuzz, обязательная регистрация не только отталкивает пользователя от совершения конверсии на всех ее этапах, но и вызывает у них утомление от паролей — чувство раздражения и усталости, возникающее из-за потребности запоминать огромное количество паролей от различных online-аккаунтов.

Распространение Личной Информации

Когда речь заходит о конфиденциальности в социальных сетях, мы сами являемся нашей первой линией обороны. Даже если ваш профиль настроен на просмотр только вашими друзьями, вы всё равно должны быть осторожными с информацией, которой вы делитесь.

Вы никогда не должны добавлять в свой профиль в социальных сетях, следующую информацию:

• Ваш домашний адрес
• Ваш номер телефона
• Личный адрес электронной почты
• Любая финансовая информация
• Точные данные вашего местоположения
• Фотографии, которые делают ваш дом узнаваемым с улицы
• Фотографии детей, и школы где они учатся
• Точные даты поездки и информация о том, когда вас не будет дома

77% пользователей находят социальную авторизацию хорошей альтернативой регистрации

Использование социальных медиа для входа на сайт позволяет людям выполнить авторизацию всего за несколько действий и не доставит им практически никаких неудобств.

Но наличие social login приносит положительные результаты далеко не всем компаниям, поскольку многое зависит от ниши бизнеса и возраста target group конкретного оффера.

Данные статистики свидетельствуют о том, что online-потребители среднего и старшего возраста не склонны использовать профили социальных медиа для входа на сайты.

Четко прослеживается тенденция: чем старше пользователь, тем больше он беспокоится за свою личную информацию, поэтому стандартная регистрация на веб-сайте кажется ему более безопасным вариантом авторизации.

Сфера деятельности бизнеса тоже имеет значение: согласно результатам использования социальной авторизации, B2C-компании получают от опции входа через социальные платформы больше пользы, чем B2B-организации.

Так, например, лишь 3.4% клиентов популярного сервиса электронной рассылки MailChimp, работающего в B2B-секторе, использовали социальные медиа для авторизации.

Несмотря на то, что количество ошибок при входе на сайт снизилось на 66%, MailChimp убрали вариант социальной авторизации, оставив лишь опцию стандартного создания аккаунта.

Бизнес B2C-сектора Easytobook, предоставляющий услуги бронирования отелей, увеличил показатель активности своих клиентов на впечатляющие 68% после внедрения опции социальной авторизации.

Авторизация ненадежных приложений

Многие люди используют сторонние приложения в своих аккаунтах в социальных сетях. Они варьируются от приложений для написания своих постов в социальных сетях до компьютерных игр, которые синхронизируются с вашим аккаунтом в социальных сетях.

Однако сторонние приложения также являются популярным инструментом, используемым добытчиками данных для получения доступа к вашей личной информации. Добытчики данных анализируют и перерабатывают эту информацию, чтобы продать её рекламодателям.

В худшем случае эти сторонние приложения могут использоваться для заражения вредоносным ПО, с целью доступа к вашим конфиденциальным данным.

Конфиденциальность в социальных сетях: Лазейка для друзей

Вам может показаться безобидным добавление незнакомых людей в социальные сети, но это может привести к различным проблемам с конфиденциальностью.

88% клиентов предоставляют неправильные данные при регистрации

Исследование, проведенное компанией Harris Interactive & Janrin в 2022 году, показало, что 74% потребителей сильно раздражаются, когда показанные им рекомендации на сайте совершенно не совпадают с их интересами. Но как же маркетологи могут персонализировать рекомендации и улучшить клиентский опыт, если всего 12% пользователей заполняют формы отзывов правильно?

Анализируя данные регистрационных форм, компании рискуют получить неправильную информацию о целевой аудитории. Кроме того, длинные и запутанные лид-формы раздражают клиентов, поэтому не рекомендуется использовать больше 5 полей: каждое лишнее снижает показатель конверсии в лид на 17%.

На картинке показано, как устранение лишних полей формы увеличило показатель конверсии с 5.4% (Before) до 11.9% (After)

Для верификации пользовательских данных многие компании либо отправляют пользователям электронное письмо с ссылкой для подтверждения регистрации, либо используют различные программы, определяющие неправильные даты рождения и email-адреса.

Правильная информация о целевой аудитории критически важна для развития бизнеса, и авторизация через Одноклассники и другие социальные сети — это отличный способ получить точные пользовательские данные.

На изображении отмечены пользовательские данные, которые маркетологи могут получить из различных социальных сетей.

Важно отметить, что поток информации в социальных сетях огромен, и поэтому данные, полученные посредством социальной авторизации, не всегда предельно точны. Их правильность во многом зависит от программного обеспечения, которое используется для сбора и анализа данных из профилей пользователей.

Защита от хакеров, использующих социальные сети в качестве инструмента

Существуют различные способы, которыми хакеры могут использовать вашу учетную запись в социальных сетях для нарушения вашей безопасности.

Несколько популярных способов, которыми хакеры используют социальные сети для поиска жертв, включают:

1. Взлом учетных записей для сбора паролей, которые могут быть повторно использованы в других учетных записях.2. Мошенничество «фишинг», когда кто-то притворяется тем, кем он на самом деле не является.3. Отправка вредоносных ссылок через личные сообщения

100% респондентов получали неправильные рекомендации и не соответствующие их интересам промоакции

Очевидно, что женщина, получившая скидку на мужские спортивные костюмы, и мужчина, приглашенный на бесплатную депиляцию в зоне бикини, будут очень раздраженны подобными предложениями.

Наилучший способ избежать подобных ошибок — разрабатывать персонализированные маркетинговые компании на основе точной информации о потенциальных клиентах, размещенной ими на своих профилях в социальных сетях.

Социальная аналитика предоставляет очень личные клиентские данные, а веб-аналитика — статистику сайта

Подавляющему большинству потребителей нравится получать персонализированный контент от бизнеса: это укрепляет их связь с брендом и увеличивает симпатию к нему. Но некоторых людей пугает факт того, что компании располагают столь точной информацией о них.

Чтобы удовлетворить покупателей с разными потребностями и убеждениями, предоставляйте им возможность выбирать между двумя вариантами авторизации: созданием аккаунта и входом через профиль социальной сети. Таким образом, клиенты смогут самостоятельно решать, насколько много информации о себе они готовы предоставить.

Изменение Условий предоставления услуг

По мере изменения моделей доходов и бизнес-структур социальных сетей могут корректировать свои условия предоставления услуг. Это особенно верно, когда одна компания приобретает другую.

78% людей распространяют информацию о понравившемся им товаре/сервисе в социальных сетях

Помимо формы авторизации, не стоит также забывать о пользе кнопок для распространения информации в социальных сетях.

Более точная информации = правильные маркетинговые решения

«Святой Грааль маркетинга: получать выгоды от каждого потенциального покупателя, определяя наиболее склонных к покупке потребителей и влияя на восприятие людей, склонных к отказу от сделки»— Доктор Эрик Сигел (Dr. Eric Siegel).

Анализ достоверной клиентской информации дает маркетологам возможность наиболее точно удовлетворять потребности целевой аудитории, следить за популярными среди потребителей трендами и предсказывать их влияние на спрос продукта в будущем.

Компания сможет создать наиболее эффективную бизнес-модель, и оправдание «мы просто не знаем, чего хотят наши покупатели» уже не будет актуальным.

Но основная проблема половины интернет-предпринимателей заключается не в том, что они не знают своих потенциальных клиентов, а в том, что они вовсе не стремятся их узнать.

Компания Pivot провела два опроса, респондентами которых были SMM-специалисты.

В первом исследовании маркетологам задали вопрос о том, спрашивают ли они у своих подписчиков, какую выгоды они хотят получить от связи с брендом в социальных медиа: положительно на этот вопрос ответили 34.8% специалистов, большая часть респондентов (53%) дала отрицательный ответ, а 12.2% онлайн-маркетологов и вовсе не знали, что ответить.

Результаты второго опроса показали, что интернет-маркетологи совершенно ничего не знают о предпочтениях своей целевой аудитории: большинство специалистов считает качественное обслуживание приоритетом своих клиентов, но для потребителей этот аспект наименее важен.

На самом деле покупателей больше всего интересуют уникальные скидки и акции, которые маркетологи поставили лишь на четвертое по важности место.

Социальные медиа дают возможность проводить разнообразные опросы и получать отзывы покупателей, на основе которых можно создать наиболее действенную маркетинговую компанию и стратегию по удержанию клиентов. Не пользуясь такими преимуществами, специалисты упускают огромные выгоды социального маркетинга.

82% людей склонны купить товар по рекомендации в социальных медиа

Что может принести больше продаж, чем «сарафанное радио» (Word-of-mouth marketing, «маркетинг из уст в уста»)? Наверное, каждый маркетолог мечтает о том, чтобы потребители активно делились информацией о продукции его компании со своими друзьями в социальных сетях.

Привлечение новых покупателей посредством рекомендаций постоянных клиентов не только обходится бизнесу намного дешевле, но и увеличивает его ROI.

Сегментация целевой аудитории в социальных сетях:

• интересы;
• «лайки»;
• возраст и пол;
• социальная платформа, которой пользуется клиент;
• влиятельность;
• количество друзей и подписчиков.

Использование социальной авторизации на сайте позволяет пойти на шаг дальше, предоставляя пользователям возможность приглашать своих друзей из социальных медиа к посещению сайта или к ознакомлению с интересным контентом. Подобный реферальный маркетинг приносит компаниям столько новых клиентов, сколько не найдет команда даже самых талантливых маркетологов.

Но, активно взаимодействуя с потребителями в социальных сетях, бизнес привлекает к себе внимание огромной аудитории, поэтому о некачественном обслуживании и проблемах с товаром могут узнать сотни тысяч людей.

Возьмем, к примеру, случай, произошедший с клиентом авиакомпании United Airlines, на глазах у которого работники аэропорта разбили его гитару. Просьбы музыканта возместить ущерб и угрозы снять музыкальное видео про ужасный сервис авиакомпании были проигнорированы всеми представителями United Airlines, о чем они впоследствии сильно пожалели.

Забавный видеоролик стал вирусным, собрав более 14 000 000 просмотров на You Tube. Но пострадавший не остановился: музыкант записал еще одну песню, выпустил книгу, создал сайт для сбора жалоб недовольных клиентов различных компаний и в настоящее время записывает третью песню.

United Airlines возместили музыканту ущерб, но вернуть себе положительную репутацию им вряд ли удастся.

Предоставляйте своим клиентам наилучший сервис, чтобы вирусный контент о вашем бизнесе был исключительно положительного характера.

Новое поколение социального взаимодействия

«У нас нет выбора, использовать социальный маркетинг или нет. От нас зависит лишь то, насколько хорошо мы будем его использовать»— Эрик Квалман (Erik Qualman).

Чтобы удерживать свои позиции на рынке и развиваться, бизнес должен адаптироваться к изменениям потребностей своих покупателей и прогнозировать возможные варианты изменения спроса в будущем. Всем известные Nokia и Blackberry, например, в свое время не последовали популярным тенденциям мобильного рынка, что стоило им потери лидерства в своей нише.

Ожидаемые убытки Blackberry во второй четверти 2022 года — $ 995 000 000

Множество маркетологов считает, что социальные медиа — это лишь временный тренд, популярность и эффективность которого со временем упадет. По словам одного из ведущих экспертов online-маркетинга Пратика Дхолокии (Pratik Dholokiya), снижение активности пользования социальными сетями гражданами США и Великобритании является первым сигналом того, что SMM-маркетинг вскоре потеряет свою действенность.

Пратик считает, что опасения за свою безопасность и всеобщая доступность персональной информации станут основными причинами отказа людей от пользования социальными платформами. Будучи скептиком, маркетолог все же не призывает полностью отказываться от социального маркетинга, акцентируя внимание, что его эффективность зависит исключительно от ниши бизнеса.

«Вы можете сегментировать свою целевую аудиторию по интересам и коммерческим намерениям, поэтому вместо того, чтобы пытаться удовлетворить абсолютного всех, сконцентрируйтесь на своих потенциальных покупателях и маркетинговой нише».

Wi-fi

Когда речь идет о безопасности, «просто» не значит «надежно». А «по умолчанию» в мире киберугроз это обычно означает «надо срочно поменять». 

Авторизация на сайте через социальные сети

Авторизация через соцсети appmaster.io

Сейчас на нашей платформе доступны основной модуль аутентификации и 4 модуля авторизации через сторонние сервисы:

В чем их особенность? Прежде всего, в простоте настройки. Только для модуля LinkedIn нужно указать Секрет клиента, URL перенаправления и ID клиента. Для остальных модулей достаточно ID клиента или приложения — в зависимости от модуля.

Настройка на стороне сторонних сервисов тоже несложно — достаточно зарегистрировать аккаунт разработчика, указав несколько основных параметров. Пошаговые инструкции по настройке модулей авторизации – в наших следующих статьях.

Если не хотите ждать — пишите в телеграм-чат сообщества AppMaster.io, чтобы напрямую задать вопросы нашим разработчикам.

Аутентификация в соцсетях

Уверен, эта картинка знакома всем:

Аутентификация или авторизация?

Некоторые путают термины «аутентификация» и «авторизация». Это разные вещи.

Ещё тут?

Поздравляю, вы успешно дочитали длинную, нудную и скучную статью.

Банковская карта

• Никому и никогда нельзя пересылать фотографию или скан карты (видны другие данные помимо номера). 

  1. Номер карты ФИО мм.ГГ = возможна оплата в некоторых интернет-магазинах. 

  2. Номер карты ФИО мм.ГГ CVV = бронь отеля/авто, привязка этой карты к Google Play, оплата на Литресе. 

  3. Номер карты ФИО мм.ГГ CVV код (SMS) = любой платеж и перевод (без исключений). 

• Зная номер карты, можно узнать Имя и Фамилию из соцсетей и подобрать механическим образом дату окончания действия карты. Теперь Интернет-магазины открыты для покупок, например Amazon. 

• Заведите спец. карту с нулевым балансом только для получения переводов (в своём же банке). 

• Установите суточный лимит по выводу и переводу средств (так вы обезопасите большую часть денег на счёте). 

• Подключите SMS-оповещение о фактах списания (мошенники пользуются тем, что интернет-магазины позволяют делать покупки на небольшие суммы без кодового подтверждения по SMS, даже если подключена двухфакторная аутентификация). 

• При списании средств без вашего ведома — успейте подать заявление в первые сутки! 

• Там, где возможно, не оставляйте реквизиты карты (интернет-магазины, электронные кошельки). Данные часто утекают в Сеть. 

Безопасность компьютера (пк)

Физический доступ

• Установите сложный пароль на компьютере. Никто не сможет получить доступ к документам, фотографиям, проектам, паролям из браузера, установить следящее ПО, отформатировать жесткий диск или ваш ребенок случайно не сможет удалить папку и т.д. А ещё ноутбук можно потерять или его украдут. 

• Меняйте рабочий пароль раз в 3 месяца (от возможного взлома путем подбора). 

• Взломать перебором пароль, состоящий из 12 символов и включающий цифры и буквы разных регистров — почти невозможно! 

• Оптимальное время автоматической блокировки экрана — через 2-3 минуты. 

• Никогда не позволяйте другим людям использовать вашу учетную запись (для каждого пользователя отдельная учетная запись — дети, гости, муж/жена, коллеги). 

• Всегда помните о шпионском ПО, установка занимает пол минуты (не давайте доступ к своим гаджетам никому). 

• Не пользуйтесь публичными компьютерами, если там нужно авторизоваться на сайте (клавиатурный шпион). Либо позднее смените пароль, если необходимо зайти. 

• Выходите из учетной записи Майкрософт (личный кабинет в Windows), чтобы не вёлся сбор данных.

Антивирус

Безопасность мобильных устройств

Физический доступ

• Всегда используйте пароль, даже если есть биометрия (отпечаток пальца, лица).  

• Максимально сложный пароль, хотя бы шесть знаков с неочевидной комбинацией (защита от детей, любопытных коллег, близких, злоумышленников). 

• Не оставляйте смартфон без присмотра, даже если рядом только ваши друзья или родственники (шпионское ПО устанавливается за пол минуты). 

• Никогда не оставляйте телефон разблокированным и не давайте свой телефон другим людям. 

• Автоматическая блокировка экрана (1 минута). 

• Отключите вывод содержания сообщений на экране блокировки (или настройте показ от кого пришло сообщение, а не само содержание). 

• Подключите спец. приложение для двухфакторной аутентификации, например Google Authenticator (надежнее SMS-кодов). 

• Настройте голосовой помощник — в режиме блокировки он работать не должен (так можно разблокировать телефон похожим голосом или сделать перевод). 

• Используйте биометрию (несколько пальцев с обеих рук, несколько выражений лица). 

• Используйте графический ключ (хотя бы 5-6 движений, сложная фигура).  

4 движения графическим ключем → 7 тыс. комбинаций (хуже, чем простейший PIN-код из 4 цифр — 10 тыс.) 

3 движения графическим ключем → 1.6 тыс. комбинаций.  

Антивирус

Берегите свою частную жизнь в социальных сетях

Вы не сможете предотвратить утечку данных или перехват со стороны любопытных компаний, но вы можете предпринять шаги для снижения рисков, которые социальные сети представляют для вашей конфиденциальности. Ещё один вариант — использование VPN(от англ.

И ещё, при пользовании браузером Chrome воспользуйтесь советами по повышению Вашей безопасности, изложенные в статье «Как включить безопасный просмотр в Chrome на Samsung Galaxy», для перехода к ней нажмите здесь.

Беспарольная аутентификация

Первой реакцией на термин «беспарольная аутентификация» может быть «Как аутентифицировать кого-то без пароля? Разве такое возможно?»

В наши головы внедрено убеждение, что пароли — абсолютный источник защиты наших аккаунтов. Но если изучить вопрос глубже, то выяснится, что беспарольная аутентификация может быть не просто безопасной, но и безопаснее традиционного входа по имени и паролю. Возможно, вы даже слышали мнение, что пароли устарели.

Беспарольная аутентификация — это способ конфигурирования процедуры входа и аутентификации пользователей без ввода паролей. Идея такая:

Вместо ввода почты/имени и пароля пользователи вводят только свою почту. Ваше приложение отправляет на этот адрес одноразовую ссылку, пользователь по ней кликает и автоматически входит на ваш сайт / в приложение. При беспарольной аутентификации приложение считает, что в ваш ящик пришло письмо со ссылкой, если вы написали свой, а не чужой адрес.

Есть похожий метод, при котором вместо одноразовой ссылки по SMS отправляется код или одноразовый пароль. Но тогда придётся объединить ваше приложение с SMS-сервисом вроде twilio (и сервис не бесплатен). Код или одноразовый пароль тоже можно отправлять по почте.

И ещё один, менее (пока) популярный (и доступный только на устройствах Apple) метод беспарольной аутентификации: использовать Touch ID для аутентификации по отпечаткам пальцев. Подробнее о технологии.

Если вы пользуетесь Slack, то уже могли столкнуться с беспарольной аутентификацией.

Главная опасность для вас

1. Иметь слабые пароли. 

2. Заразить устройство вредоносной программой. 

3. Ввод пароля в поддельном окне. 

4. Отсутствие резервных копий. 

5. Доверие (без проверки). 

Двухфакторная аутентификация (2fa)

Двухфакторная аутентификация (2FA) улучшает безопасность доступа за счёт использования двух методов (также называемых факторами) проверки личности пользователя. Это разновидность многофакторной аутентификации. Наверное, вам не приходило в голову, но в банкоматах вы проходите двухфакторную аутентификацию: на вашей банковской карте должна быть записана правильная информация, и в дополнение к этому вы вводите PIN.

Если кто-то украдёт вашу карту, то без кода он не сможет ею воспользоваться. (Не факт! — Примеч. пер.) То есть в системе двухфакторной аутентификации пользователь получает доступ только после того, как предоставит несколько отдельных частей информации.

Защита конфиденциальных данных

Рабочая информация

• Любая информация о компании по умолчанию считается конфиденциальной(расписание, переписка, заметки, наброски, аудиозаписи и даже то, что сотрудники обсуждают за обедом). Ведь вам самим она известна только потому, что вы работаете в этой компании. 

• Отсутствие регламента не снимает с сотрудника ответственности за разглашение важных сведений. 

• Если информация прямо не предназначена для обнародования — лучше не выносить её за пределы компании. 

• Если вас о чём-то просят — вы должны точно знать, что и зачем делаете (социальная инженерия). 

• Любой голос легко подделать, даже начальника (DeepFake-атака). Внутри компании и для связи с контрагентами применяйте практику введения устных паролей, кодовых слов или контрольных вопросов, ответ на которые известен только двум сторонам. 

• Проверяйте личность сотрудника, если просьба странная (социальная инженерия). 

• Помните! Если вы уступите просящему (и не сделаете всё должное), может произойти утечка конфиденциальных данных, и тогда проблемы будут грозить уже вам и всей компании в целом.

Утечка данных на работе

• Чаще всего утечка происходит в момент её передачи (по ошибки или недосмотру).  

• Последствия утечки — возможна кибератака, конкуренты сорвут сделку или получат преимущество на рынке, разрыв договора, подрыв деловой репутации, финансовый ущерб. 

• Если утечку данных допустили вы — пострадает ваша собственная репутация (карьерный рост, взыскание, годовая премия). 

• Риски разглашения — разговор с незнакомцем, интервью с прессой, встреча с друзьями, спешка. Самоустное обсуждение конфиденциальной информации, это уже разглашение. 

• Чаще всего конфиденциальные данные попадают в чужие руки по неосторожности (при потере физического устройства, документ без пароля публично в Облаке, при хранении на компьютере). 

• Большинство утечек — это неосторожность действий рядовых сотрудников. 

• Пользователь зачастую не способен и не обязан представлять, какие последствия может повлечь за собой утечка именно этой информации. Лучше всего считать конфиденциальными любые рабочие данные и обращаться с ними предельно осторожно. 

• Нелояльный или недовольный сотрудник — может воспользоваться случаем и причинить ущерб организации. 

• Атака на конференцсвязь — при атаке сама камера может масштабировать изображение, её можно направлять вверх, вниз, влево или вправо. Всё что окажется “под прицелом”, может быть использовано против вас и компании. Важно изменить настройки по умолчанию и не выставлять “всё на виду”. 

• От имени коллеги может писать злоумышленник, взломавший его. 

• Маркеры опасности:  

  1. Потеря устройства с данными.  

  2. Информация уже в Интернете.  

  3. Ошибка в адресе или отправка постороннему (автоподстановка).  

  4. Ошибка настройки доступа.  

  5. Поделились данными, а потом выяснилось, что они конфиденциальные. 

Распечатанные документы

• Защищайте распечатанную информацию о вашей компании от попадания в чужие руки. 

• Документы на рабочем месте могут увидеть посетители, клиенты, технический персонал и т.д. 

• Если забыть документы в принтере, у секретаря на столе, выбросить в урну или передать с человеком, не имеющим отношения к компании — конфиденциальная информация может быть скомпрометирована. 

• Ошибочный подход. Вы постоянно оставляете распечатанные документы на своем рабочем месте, на виду у всего офиса. Сотрудники других отделов, у которых нет допуска, могут увидеть, например, договор по проекту, который не был одобрен всеми сотрудниками, или план назначений, с которым кто-то может быть не согласен. 

• Распечатали документы — не оставляйте на рабочем месте (уберите их, и лучше в закрытый сейф). 

• Распечатываете на общем принтере — подойдите к нему раньше, чем закончится печать. 

• Настройте общие принтеры так, чтобы документы распечатывались только после введения кода сотрудника или по пропуску. 

• Все копии документов, сделанные на принтере, сохраняются на жестком диске самого принтера. При замене, следует стереть все данные. 

• На самом принтере— обновите прошивку, измените пароль устройства. При атаке через принтер можно проникнуть во всю внутреннюю сеть компании, похитить данные или включить нагрев бумаги (устроив при этом пожар). 

• Внимательно используйте оборот распечатанного листа (проверяйте возможную конфиденциальность). 

• Отдавая использованные документытретьим лицам, вы предоставляете множеству людей доступ к конфиденциальной информации и уже не можете отслеживать, как она используется (например, детям в садик для рисования). 

• Если документы больше не нужен — уничтожьте (тщательно рвите вручную или используйте шредер). 

• Информация не становится менее ценной от того, что документ побывал в мусорной корзине. 

Передача документов

Защита

• Не храните конфиденциальные данные на носителях, которые легко потерять (флешка, карта-памяти, смартфон). При необходимом использовании, убедитесь, что данные записаны во внутренней памяти устройства, а не на дополнительной карте памяти (которую можно вынуть). 

• Сохраняя файл — защитите паролем (особенно в выносимых устройствах). 

• Для защиты документов паролем — используйте встроенный функционал (Word, PDF). 

• Архив с конфиденциальными документами необходимо защитить паролем при любом способе его передачи. 

• Если файл защищен паролем — то в случае утечки владельцу будет известен круг лиц, которые могли её допустить. 

• Не пересылайте пароль по тому же каналу связи, которым вы пользовались для отправки защищенного документа. 

• Не создавайте копии документов с важными данными (без необходимости). Создайте шаблон, если нужно сделать несколько аналогичных документов (цена в прошлый раз была со скидкой, а новый договор идет без неё, можно забыть).

• Если конф. информация больше не требуется — удалите её корректным способом. 

• Передавайте данные только безопасным способом (см. выше). 

• Проверьте полученную информацию, прежде чем делиться данными (не верьте на слово, уточните по другим каналам). 

• Зашифруйте свои данные: Bitlocker (Windows Pro), FileVault (MacOS), LUKS (Linux). Либо сторонняя программа VeraCrypt. (True Crypt уязвима, не используйте!). 

• Шифрование диска целиком — при включенном компьютере любой человек, имеющий физический доступ, может получить любые данные, которые хранятся в его памяти. 

• Шифрование раздела или отдельных файлов — оставляют файлы защищенными после включения компьютера до тех пор, пока вы сами не захотите их расшифровать. Но после введения пароля на них — они останутся незащищенными до тех пор, пока вы не зашифруете их снова. 

• По возможностииспользуйте полнодисковое шифрование. 

• Защитите экран своего устройства. Используйте поляризующую плёнку, если часто работаете в общественных местах или часто работаете с конфиденциальными файлами (она затруднит считывание информации от посторонних взглядов или видеокамер). 

• Не стоит хранить то, что ценно. 

• Хранение и передача конфиденциальной информации требует постоянной бдительности. 

• Защитить информацию гораздо проще, чем решать проблемы, возникшие из-за её утечки. 

Соблюдайте правила:

1. При передачи конфиденциальной информации защищайте её надежными паролями и передавайте их отдельно. 

2. Выбирайте безопасные способы передачи конфиденциальной информации. 

3. Никогда не создавайте свободно распространяемые ссылки на конфиденциальную информацию в Облаке (доступно всем в Интернете, кто подберет ссылку).  

4. Храните конфиденциальные данные на зашифрованных разделах, если держите их на собственных носителях (CD-карта на смартфоне). 

Электронная передача

• При использовании публичных сервисов обмена файлами — обязательно защитите передаваемые документы сложным паролем (и передавайте его отдельно). 

• При использовании электронной почты пересылайте конфиденциальную информацию не в теле письма — а во вложении. Вложение в письме можно запаролить, что является обязательным при пересылке конфиденциальной информации, а тело письма — нет. 

• Копируйте адрес электронной почты, а не вводите вручную (возможна ошибочная автоподстановка имени). 

• Не храните и не передавайте конфиденциальную информацию на флешке. Если вам необходимо передать большой объем информации, принесите с собой ноутбук и скопируйте данные на флешку непосредственно перед передачей. 

• Проследите за удалением данных с накопителя сразу после того, как вы их передали. 

• Если документ больше не нужен — его следует удалить из облачного хранилища и со всех других ресурсов. Длительное хранение данных на стороннем ресурсе повышает шанс того, что информация будет скомпрометирована. 

• Особенную внимательность следует проявлять при использовании Облака (облачных хранилищ) — в них данные более уязвимы, даже если вы считаете, что об их существовании знаете только вы. 

• Если вы помещаете конфиденциальный документ в Облако — обязательно защитите документ надежным паролем. 

• Если вам нужно переслать несколько документов или фото, аудио (которые нельзя запаролить) — передавайте в защищенном паролем архиве. 

• Чем дольше документ хранится на стороннем ресурсе, тем выше вероятность того, что до него доберутся злоумышленники. Это просто вопрос времени. 

Права доступа

• Помните! Чем больше людей получило доступ к объекту, тем меньше он защищен. 

• Не соглашайтесь на просьбу передать ссылку (для доступа к конфиденциальным материалам) в рабочий чат или группу. Тот, кто просит об этом, может не понимать, чем вы рискуете, или быть злоумышленником. 

• Не соглашайтесь предоставлять кому бы то ни было доступ к конфиденциальному документу или расширять права доступа, если на это нет распоряжения или прямого согласия владельца материала. 

• Если в списке имеющих доступ к документам оказался человек, которого вы не добавляли и никому не поручали добавить — отзовите доступ. 

• Если кто-то из коллег просит позволить ему предоставить права доступа новому участнику, не соглашайтесь и свяжитесь с приглашаемым самостоятельно (возможно, аккаунт взломан). 

• Прежде чем предоставлять кому-то права доступа к конфиденциальной информации, задумайтесь, разрешено ли вам предоставлять эти права, кому именно, для чего, на какой период. 

• Будьте внимательны на каждом этапе предоставления доступа.

Правила в Облаке

• Никогда не передавайте доступ к конфиденциальным материалам с помощью свободно распространяемой ссылки (разрешено видеть всем, у кого есть ссылка). 

• Предоставляйте доступ к документу, а не к каталогу. 

• Если доступ к данным надо предоставить группе лиц, пригласите пользователей по одному и выдавайте необходимые права доступа каждому по отдельности. 

• Помните! Предоставляя права на редактирование документа, вы позволяете другому лицу изменить параметры доступа или создать свободно распространяемую ссылку. 

• При формировании ссылки укажите параметры, при которых перейти по ней сможет только пользователь, получивший приглашение от вас или от другого лица с такими же правами. 

• Если видеть данные могут “все, у кого есть ссылка” — перенастройте доступ так, чтобы он был представлен только списку лиц с соответствующим допуском. 

• Если владелец информации — вы, убедитесь, что другие понимают правила управлением доступа и осознают меру ответственности за безопасность данных. 

• Предоставлять доступ к документам можно только с одобрения их владельца. 

Почта

Метаданные

Удаление

10 ЗАКОНОВ БЕЗОПАСНОСТИ (от Microsoft) 

Закон №1. Если вы запустили на своем компьютере приложение злоумышленника, это больше не ваш компьютер.  

Закон №2. Еслизлоумышленник внес измененияв операционную систему вашего компьютера, это больше не ваш компьютер. 

Закон №3. Если у злоумышленника есть неограниченный физический доступ к вашему компьютеру, это больше не ваш компьютер.

Закон №4. Если злоумышленник смог загрузить приложения на ваш сайт, это больше не ваш сайт.

Закон №5. Ненадежные пароли делают бесполезной любую систему безопасности.

Закон №6. Безопасность компьютера напрямую зависит от надежности администратора.

Закон №7. Безопасность зашифрованных данных напрямую зависит от того, насколько защищен ключ расшифровки.

Закон №8. Устаревшее антивирусное приложение лишь немногим лучше, чем его отсутствие.

Закон №9. Абсолютная анонимность недостижима ни в жизни, ни в Интернете.

Закон №10. Технология не является панацеей. 

Интернет (web)

Самые распространенные ошибки пользователей — лень и спешка.  Эти две вещи, несомненно, ставят под удар нашу безопасность. 

Как избежать вредоносных приложений

При авторизации сторонних приложений есть несколько вещей, которые вы должны сделать, чтобы защитить свою конфиденциальность. К ним относятся:

1. Избегайте викторин и розыгрышей призов, которые требуют входа в систему с помощью социальных сетей.2. Никогда не используйте приложения, утверждающие, что они разблокируют скрытые или секретные функции.3. Разрешайте приложения только от надежных разработчиков.4.

Всегда проверяйте разрешения, которые запрашивает приложение.5. Раз в несколько недель обязательно проверяйте, какие приложения имеют доступ к вашим профилям. Эта информация обычно находится в настройках конфиденциальности. Здесь вы сможете отозвать доступ к тем приложениям, которыми вы больше не пользуетесь.

Как избежать мошенничества от «друзей»

Чтобы попытаться уменьшить риск, который ваши друзья представляют для учетной записи в этих сетях, вам следует избегать принимать запросы на подключение от незнакомцев. Вам также следует регулярно чистить свой список контактов, чтобы удалять людей, с которыми вы не заинтересованы в поддержании дальнейшей  связи.

Как избежать сбора ваших данных

Вам следует периодически просматривать настройки конфиденциальности вашей социальной учетной записи и условия платформы, чтобы уменьшить количество ваших данных, которыми вы делитесь.

Как это работает

Общий механизм такой:

Недостатки регистрации через соцсети

Конечно, они тоже есть:

От вас хотят

1. Деньги (опустошить счет, платные подписки, обман при покупке/продаже, в переписке, благотворительность и т.д.). 

2. Информация (для подмены личности; атаки на вас, на близких; для рекламы, слежки). 

3. Эксплуатация устройства (майнинг, DDoS-атаки, скрытая накрутка рекламы, накрутка голосов, рассылка спама, заражение других устройств через ваше и т. д.). 

Пароли

Компания Cisco открывает путь к беспарольному будущему. В апреле 2021 г. Cisco представила беспарольную аутентификацию Duo. Она даст пользователям возможность отказаться от паролей и безопасно регистрироваться в облачных приложениях. Duo будет доступна для открытого предварительного тестирования летом 2021 г. 

Плагины, виджеты, модули

Варианты, отлично подходящие для решений, созданных на CMS / no-code платформах. Функция авторизации и регистрации необходима как для сайтов, так и для приложений — неважно web или mobile — поэтому даже на непопулярных платформах можно найти множество вариантов, особенно если ваше комьюнити достаточно активно.

Плюсы для владельцев сайтов

Получение информации о пользователе

Дав пользователям возможность заходить на сайты через
профили в социальных сетях, бренды получают доступ к их данным. Эта информация
помогает компании строить коммуникацию со своими посетителями в правильном
направлении.

Разрешенный доступ к данным пользователя

Авторизация через соцсеть – это своего рода электронное
рукопожатие клиента и владельца сайта. Пользователь сознательно и добровольно
предоставляет доступ к своим данным. Этот прозрачный метод получения данных
оказывает влияние и на уровень лояльности к бренду, и на его окупаемость.

Превращение анонимных посетителей в клиентов «со
знакомыми лицами»

Очень часто посетители сайтов остаются анонимными до тех
пор, пока не захотят совершить покупку, а некоторые ресурсы и вовсе имеют
опцию, с помощью которой можно находиться на сайте в качестве «гостя».
Благодаря авторизации через соцсети у каждого посетителя появляется лицо,
географическое положение, хобби и т.д.

Снижение стоимости техподдержки

Почта

Проверяйте подлинность адреса Отправителя.

Правила разработчиков

Какой бы вариант вы не выбрали, стоит придерживаться основных правил.

Разбор уязвимостей авторизации

OAuth 2.0 имеет весьма гибкую конструкцию без конкретных правил реализации, за исключением некоторых обязательных компонентов, необходимых для функционирования каждого типа потока (сценария взаимодействия). Такая «плавающая» структура скрывает в себе множество возможностей для атак злоумышленников.

Помимо этого в OAuth 2.0 отсутствуют общие обязательные функции безопасности. Сама безопасность зависит от разработчиков, использующих правильную комбинацию параметров конфигурации и реализующих свои собственные дополнительные меры безопасности сверху, такие как надёжная проверка входных данных.

Также в некоторых сценариях взаимодействия высококонфиденциальные данные отправляются через браузер, что опять же даёт злоумышленникам возможность совершить перехват информации.

Уязвимости могут быть как в клиентском приложении, реализующем авторизацию через OAuth 2.0, так и в конфигурации самого сервиса. Ниже будут рассмотрены уязвимости для обоих случаев.

Самостоятельно

Придется делать это отдельно для каждой соцсети, также добавлять блоки кода, зачастую сложные для новичков настройки — как на стороне вашего сайта или приложения, так и внешнего сервиса. Для no-code решений этот вариант не особо подходит, разве что вы пришли в разработку без кода из обычного программирования и у вас уже есть подобный опыт.

Соблюдайте правила:

1. При передачи конфиденциальной информации защищайте её надежными паролями и передавайте их отдельно. 

2. Выбирайте безопасные способы передачи конфиденциальной информации. 

3. Никогда не создавайте свободно распространяемые ссылки на конфиденциальную информацию в Облаке (доступно всем в Интернете, кто подберет ссылку).  

4. Храните конфиденциальные данные на зашифрованных разделах, если держите их на собственных носителях (CD-карта на смартфоне). 

Советы по работе с авторизацией пользователей через социальные
сети

Давайте своим клиентам выбор

Социальные сети

Потеря аккаунта

Уязвимость в клиентском приложении

Неправильное использование неявного типа потока

Уязвимость в конфигурации oauth 2.0

Утечка кода авторизации и токена доступа

Эта уязвимость связана с конфигурацией сервиса OAuth 2.0, посредством которой злоумышленник может войти в приложение под видом жертвы и получить доступ к её данным.

Как было рассмотрено выше, код авторизации или токен доступа (в зависимости от сценария взаимодействия) отправляется на конечную точку, указанную в параметре «redirect_uri» запроса. Если сервису OAuth не удаётся должным образом проверить этот URI, злоумышленник может создать CSRF-подобную атаку, обманом заставив браузер жертвы инициировать поток OAuth, который отправит код или токен в адрес подконтрольного злоумышленнику redirect_uri.

Для нейтрализации уязвимости сервис OAuth 2.0 должен иметь в запросе не только конечную точку redirect_uri, но и исходный redirect_uri для отправки параметра при обмене кодом или токеном.

Ход работы oauth 2.0

OAuth 2.0 изначально был разработан как способ обмена доступом к определённым данным между приложениями. Он работает определяя ряд взаимодействий между тремя различными сторонами, а именно — клиентским приложением, владельцем ресурса и поставщиком услуг OAuth.

• Клиентское приложение — веб-сайт или веб-приложение, которое хочет получить доступ к данным пользователя.
• Владелец ресурса — пользователь, к данным которого клиентское приложение хочет получить доступ.
• Поставщик услуг OAuth — веб-сайт или приложение, которое контролирует данные пользователя и доступ к ним. Они поддерживают OAuth, предоставляя API для взаимодействия как с сервером авторизации, так и с сервером ресурсов.

Порядок авторизации через OAuth 2.0 (выполнение потока «код авторизации») следующий:

1. Клиентское приложение запрашивает доступ к подмножеству данных пользователя, указывая, какой тип потока (сценарий взаимодействия сторон) он хочет использовать и какой тип доступа он хочет получить.
2. Пользователю предлагается войти в сервис OAuth и явно дать согласие на запрашиваемый доступ.
3. Клиентское приложение получает уникальный код доступа, который доказывает, что у него есть разрешение пользователя на доступ к запрошенным данным. То, как именно это происходит, существенно варьируется в зависимости от сценария взаимодействия.
4. Клиентское приложение использует этот код доступа для выполнения вызовов API, извлекающих соответствующие данные с сервера ресурсов.

Рассмотрим этапы авторизации:

1. Запрос

Клиентское приложение отправляет запрос разрешения на доступ к определённым пользовательским данным на конечную точку сервиса OAuth:

Через специальные сервисы

Такие сервисы предоставляют не только целые списки различных ресурсов, через которые можно настроить вход, но также удобные инструменты статистики, аналитики, интеграции в личном кабинете. Это сократит время разработки, а также упростит работу с клиентами в уже готовом приложении.

Вместо заключения

Вывод из этого материала можно сделать такой: результативность SMM-кампании должна зависеть не только от привлекательности заголовков ваших постов. Цель эффективной рекламной кампании — привлекать новых качественных лидов, игнорируя уже зарегистрированных пользователей, постоянных покупателей и людей, чьи профили несхожи с психологическим портретом вашего потенциального покупателя.

Выводы

OAuth 2.0 — простой и уже не новый протокол, он имеет широкое применение — от «Яндекса» до AliExpress. Несмотря на его простое устройство, нередко возникают проблемы с реализацией этого протокола, что порождает уязвимости, и риск подмены пользователя увеличивается.

Простому пользователю сложно оценить, насколько правильно внедрена технология авторизации и попадут ли его данные к злоумышленнику. 

Единственное, что может сделать пользователь, чтобы предотвратить хищение данных при авторизации через социальные сети, — это обращать внимание на ссылки и на то, куда они ведут. Ссылки на фишинговые страницы могут быть получены по почте или скрываться на оригинальных сайтах, если разработчики допустили уязвимость типа Open Redirect.

В подобном сценарии домен может выглядеть знакомо, но конечная точка изменена; после перехода по такой ссылке и ввода данных на неподдельном сайте пользователь перебрасывается на фейковый ресурс с аналогичным дизайном и формой входа, содержащей надпись о неверном вводе пароля.