安全性を確保することは時々起こることではなく、継続的なプロセスです。 特定のツールを使用しているため安全ではありません。毎日セキュリティの考え方を適用しているため安全です。
パスワードを取得します。 リマインダーは常に聞こえます。サイト、アプリケーション、およびサービス間でパスワードを再利用しないでください。 弱いパスワードを選択しないでください。 パスワードマネージャーを使用して、非常に複雑なパスワードを選択し、それらを思い出そうとすることを心配する必要がないようにします。 可能な限り2要素認証を有効にします。 これらはすべて、覚えて従うべき優れたアドバイスです。 今週の初めに、私の同僚であるニール・ルーベンキングは、パスワードマネージャーの推奨事項をさらに一歩進め、Google、Facebook、Twitter、またはその他のソーシャルメディアの資格情報でサードパーティのWebサイトにサインインすることはセキュリティリスクであると述べました。 私はその議論を買いません。
あなたは私が話していることを見ました。 ほとんどのサービスではアカウントを最初から作成する必要がありますが、ソーシャルメディアの資格情報でログインできるサイトがあります。 たとえば、ExpediaではFacebookでログインできます。 または、Inoreader(選択したRSSリーダー)を使用すると、Googleでログインできます。 これにより、アカウント作成プロセスをスキップして、既にお持ちのアカウントでログインすることができます。 便利でしょ? 非常に。 ニールが彼の作品で言ったように、それはセキュリティの問題ですか? 番号。
別のアカウントでサインインできるサイトが表示されるたびに、そのオプションを選択します。 ログインにFacebookアカウントを使用しません(申し訳ありませんが、Expedia)が、Googleアカウントを使用するオプションがある場合は使用します。 強力で複雑なパスワードを使用しており、2要素認証も有効にしました。 したがって、私のGoogleアカウントはできる限り安全であり、情報を安全に保つために必要な措置を講じることをGoogleに信頼しています。 Facebookに対しては何もありませんが、Googleアカウントを保護するためにFacebookよりも優れた手段を講じていると思います。
あなたを信頼しますか? 番号
サイトにアクセスしてアカウントを作成する必要があるとき、最初に考えたのは「あなたを信頼しますか?」です。 データを安全に保つためにサイトを信頼していますか? そして、私はパスワードとクレジットカード番号を意味するだけではありません。 データベースで電話番号、郵送先住所、生年月日を保護するために必要な措置を講じたサイトを信頼していますか? 正直? ほとんどの企業では、そうではありません。 データベースを効果的に保護するのと同様に、アプリケーションのセキュリティは困難です。 これは進行中の作業であり、多くの企業はまだセキュリティの面でそこにいません。 私は会社に尋ねることができないので、「パスワードを安全に保ち、ハッカーに盗まれないようにあなたを信頼していますか?」 私は簡単な道を歩み、できないと思います。
数年前にゴーカー違反を覚えていますか? Gawkerの開発者がそれらを適切に保護するための措置を講じなかったために公開されたすべての電子メールアドレスとパスワード。 私はGawkerが間違っていたと言っているわけではありません。Gawkerはメディア企業であり、サイトのコメントシステムに追随する人は誰もいません。 しかし、それは起こりました。 消費者として、どの企業が自社のアプリケーションを信頼するのに十分なセキュリティ志向であり、どの企業がそうでないかを吟味するつもりはありません。 誰が仕事を正しく行っているかに焦点を当てます。
Googleの認証情報を使用してサインオンする際の重要なこと:サイトはパスワードやその他の情報を保持しません。 Google+ボタンをクリックすると、Googleページにリダイレクトされ、Googleのサーバーに対して認証されます。 その後、Googleはサイトに「はい、私は自分が自分だと言う人であり、サイトに送り返します」と伝えます。 つまり、私の情報はGoogleに保持され、サイトは「彼女は正常にログインしました。許可する」というトークンを取得するだけです。
過去2年間に見たすべてのサイト違反を考慮してください。 それがどんなものかを見るためだけにサインアップしたサイトがありますが、それが必要なものではないので、数日後に放棄します。 サイトにアカウントを作成した場合、私の情報はそのサイトのデータベースにあります。 そのサイトを放棄した後でも、私のアカウントは存続します。 (これが、アカウントを削除させないサイトを嫌う理由です。しかし、それは別の日に別の話です。)それは私のデータが盗まれる多くの潜在的な場所です。 Googleアカウントを使用してログインした場合、サイトには盗まれた情報がありません。 それは心強いです。 そのサイトを放棄した場合、他の誰も私としてログインできないように、アカウントの許可を取り消すことができます。
失効について話しましょう。 Google、Facebook、Twitterがログインを処理できるようにするということは、アクセスをブロックするためにも使用できることを意味します。 たとえば、Googleを使用してInoreaderにログインします。 もうInoreaderを使いたくないと言ってください。 Googleアカウントの設定に移動して、[アクセスを取り消す]をクリックするだけです。 以上です。 これが、私がTwitterを使用していくつかのサイトにサインインする理由でもあります。 Twitterを使用すると、完了したらアプリケーションを簡単に切断できます。
私の目標は、個人情報の記録を含むデータベースを世界でできるだけ少なくすることです。
Googleでサインインすることでもう1つ気に入っているのは、アカウント固有のパスワードです。 ランダムパスワードを生成します。Googleは、そのサイトのパスワードであることを認識しています。 そのパスワードはそのサイトでのみ機能し、他にはアクセスできません。 パスワードマネージャーを使用してパスワードを生成し、新しいアカウントを作成する代わりに、Googleでプロセスを続けます。 メールパスワード以外のパスワードを使用しており、Googleのメカニズムに準拠してアカウントを作成するプロセス全体をスキップしています。 これは、たとえばモバイルアプリにサインインする場合に非常に便利です。 Googleは本人確認方法を認識し、通常のサインインと同様に、パスワードを無効にするだけで、そのアプリはサインインできなくなります。
信頼できる人に固執する
ニールは非常に良い質問をしました:そのサイトがあなたについて何かを知る必要があるかどうかを自問してください。 あなたのサイトはあなたの名前、メールアドレス、住所、電話番号、その他のプロフィール情報を知る必要がありますか? そうでない場合は、引き渡さないでください。 信頼できる人と一緒に保管してください。
Facebookのパスワードが「Password1」で、悪意のあるユーザーがこれを把握している場合、そのユーザーはアカウントにリンクしている他のサイトにログインしてログインできます。 しかし、そもそもそのサイトで「Password1」を選択したこととはどう違うのでしょうか? メールやソーシャルメディアサイトで覚えやすいパスワードを使用している場合、マイレージプログラムのマイレージアカウントで覚えにくい文字列を使用していない可能性があります。 そのため、「Hack me!」と叫んでいるのは、その弱いパスワードです。 別のアカウントでサインインしたという事実ではありません。 そして、誰かがあなたのGoogleパスワードを見つけたとしても、あなたの最大の心配は、その人があなたのリンクされたアカウントにログインできるかどうかだとは思いません。 パスワードリセットメールを要求するだけでは簡単ではありません。
セキュリティには特効薬はありません。 特定のツールは、良い面と悪い面の両方に使用できます。 それはあなたがそれにどのようにアプローチするかにかかっています。 私の好みは、データベースから離れることです。 君は?
