“Continuar com o Google” – uma forma tão simples de se inscrever e iniciar sessão num website ou aplicação, especialmente porque provavelmente já tem sessão iniciada na sua conta Google. Tudo o que tem de fazer é tocar ou clicar no botão e permitir que alguns dos seus dados pessoais da sua conta Google sejam partilhados com o serviço online de terceiros. Mas será boa ideia usar SSO?
SSO: Quando associa o seu início de sessão do Google (ou outro) está a partilhar as suas informações…
A ESET, a maior empresa europeia de cibersegurança com soluções para consumo e empresas, indica que deve estar atento neste processo facilitador.
Uma vez que a conveniência é frequentemente valorizada nos dias de hoje, muitos websites permitem-lhe iniciar sessão utilizando a sua conta do Facebook, Google, Microsoft, LinkedIn, Apple ou outra conta de uma grande empresa tecnológica. Normalmente não há falta de opções para escolher e satisfazer todos os gostos.
De acordo com Ricardo Neves, Marketing Manager da ESET Portugal…
quando associa o seu início de sessão do Google a outro serviço, está a autorizar a Google a partilhar as suas informações pessoais em troca de facilidade de acesso e conveniência…
Quão seguro pode ser este processo?
Para o ajudar a encontrar um equilíbrio entre segurança e conveniência, reunimos os prós e a ESET os contras de utilizar o método de autenticação denominado início de sessão único (SSO), também conhecido como início de sessão social, para as suas contas pessoais online.
Antes de mais, o que é exatamente o SSO? É um método de autenticação que permite a uma organização obter acesso consentido às suas informações pessoais, ao mesmo tempo que lhe permite inscrever-se e iniciar sessão nos seus serviços, em vez de lhe exigir o registo através de um formulário. Não é de admirar que esta prática seja tão comum em toda a Internet:
- Facilidade de registo e acesso
- Em vez de ter de preencher mais um formulário com o seu nome, apelido, número de telefone ou endereço de email, pode simplesmente clicar na sua opção de SSO preferida e partilhar esses (mas possivelmente também outros) detalhes com a nova aplicação ou website.
- [É importante notar que a sua palavra-passe nunca é partilhada com o website – em vez disso, a sua identidade é verificada através de um token de autenticação].
- Atração e aquisição de utilizadores
- Os serviços online sabem muito bem que quanto mais fácil for para o utilizador inscrever-se e iniciar sessão, maior será a probabilidade de o fazer – e de voltar a fazê-lo.
- Acabou-se o cansaço das palavras-passe
- Websites diferentes têm requisitos de palavra-passe diferentes; além disso, devemos utilizar sempre uma combinação única de nome de utilizador e palavra-passe. Mas, graças a esta implementação de SSO, a definição de uma palavra-passe forte com apenas uma das grandes plataformas da Internet pode dar-lhe acesso a centenas de outros websites, reduzindo consideravelmente o número de palavras-passe que tem de criar e memorizar.
- Melhor prevenção de comprometimentos de contas autoinfligidos (em alguns casos)
- À medida que as nossas listas de palavras-passe se tornam demasiado extensas para recordar, muitas pessoas podem manter um registo das suas credenciais em papel ou numa folha de cálculo do Excel. Mas o que acontece se alguém deitar as mãos a essa lista de palavras-passe?
- Ter de se lembrar apenas da palavra-passe da sua conta Google e proteger a conta adequadamente pode reduzir a necessidade de criar, e depois depender, de uma lista de palavras-passe mal protegida (por exemplo, se não gostar de gestores de palavras-passe).
Então, deve utilizar sempre o SSO?
De acordo com Ricardo Neves da ESET, a resposta é clara: não. “Também há algumas desvantagens. Mais especificamente, embora o SSO ofereça alguns benefícios sérios para o utilizador, traz consigo riscos que podem não se revelar até ser demasiado tarde.”
Entre estes riscos, destaca-se:
- Se as suas credenciais destas plataformas caírem nas mãos erradas, não só os cibercriminosos terão acesso a essa conta, terão também acesso a todos os outros websites a que a associou.
- Existem ainda preocupações com a privacidade. Quando liga contas, está a permitir que as suas informações pessoais sejam transmitidas aos websites e, devido à facilidade de configuração, pode estar a consentir a transferência de mais informações do que espera.
- Se acabar por se registar em aplicações ou websites de que não utiliza assim tanto, certamente vai esquecer que tem uma conta criada e informações partilhadas. Para ajudar a contrariar esta situação, certifique-se de que controla todos os websites em que se registou e quais as informações pessoais que guardam sobre si. Por exemplo, as informações do seu cartão de crédito podem ser guardadas num website que utilizou uma vez e do qual se esqueceu. Embora isto possa acontecer independentemente da forma como se inicia sessão, a natureza fácil do método “expresso” pode torná-lo mais propenso a esquecer-se de todas as aplicações ou websites em que se registou com a sua conta Google ou Facebook.
Ricardo Neves acrescenta ainda que..
quando associados a outras medidas de segurança e privacidade, os logins sociais podem ser uma grande poupança de tempo. Mas no caso de websites que guardam as suas informações pessoais, como o seu nome completo, morada, dados bancários ou números de cartão de crédito, é mais seguro optar por uma conta protegida por uma frase-chave complexa e única. A juntar a isso, deve optar pela autenticação de dois fatores (2FA)…
Em suma, considere a utilização do SSO apenas se:
- Ativar a autenticação de dois fatores (2FA) na conta principal, uma vez que isso tornará mais difícil que alguém se faça passar por si online.
- Confiar na plataforma que está a utilizar para aceder ao outro website – no entanto, isto não basta, é necessário tomar outras precauções.
- Utilize serviços de pagamento como o PayPal ou um cartão de crédito virtual como opções de pagamento para qualquer website a que tenha acedido utilizando o SSO; isto ajudá-lo-á a evitar a divulgação dos seus dados bancários.
- Utilizar as definições da sua conta principal para controlar todos os websites a que a associou.
Equilibrar o acesso fácil a todas as suas contas online e mantê-las seguras pode ser um desafio. A melhor forma de conseguir isto sem recorrer a SSO é com gestores de passwords incluído em alguns antivírus da ESET ou de outra marca.