El inicio de sesión social es una forma de inicio de sesión único que utiliza información existente de un servicio de red social como Facebook , Twitter o Google , para iniciar sesión en un sitio web de terceros en lugar de crear una nueva cuenta de inicio de sesión específicamente para ese sitio web. Está diseñado para simplificar los inicios de sesión para los usuarios finales y proporcionar información demográfica más confiable a los desarrolladores web. [1]
El inicio de sesión social vincula cuentas de uno o más servicios de redes sociales a un sitio web, normalmente mediante un complemento o un widget . [2] Al seleccionar el servicio de red social deseado, el usuario simplemente utiliza su inicio de sesión para ese servicio para iniciar sesión en el sitio web. Esto, a su vez, elimina la necesidad de que el usuario final recuerde la información de inicio de sesión para múltiples sitios web de comercio electrónico y otros, al tiempo que proporciona a los propietarios de sitios información demográfica uniforme proporcionada por el servicio de red social. Muchos sitios que ofrecen inicio de sesión social también ofrecen un registro en línea más tradicional para aquellos que lo deseen o que no tengan una cuenta en un servicio de red social compatible (y por lo tanto no podrán crear una cuenta en el sitio web).
El inicio de sesión social se puede implementar estrictamente como un sistema de autenticación utilizando estándares como OpenID o SAML . Para los sitios web de consumidores que ofrecen funcionalidad social a los usuarios, el inicio de sesión social a menudo se implementa utilizando el estándar OAuth . OAuth es un protocolo de autorización seguro que se utiliza comúnmente junto con la autenticación para otorgar a aplicaciones de terceros un " token de sesión " que les permite realizar llamadas API a proveedores en nombre del usuario. Los sitios que utilizan el inicio de sesión social de esta manera suelen ofrecer funciones sociales como comentar, compartir, reacciones y gamificación .
Si bien el inicio de sesión social puede extenderse a sitios web corporativos, [3] la mayoría de las redes sociales y proveedores de identidades basados en consumidores permiten identidades autoafirmadas. Por esta razón, el inicio de sesión social generalmente no se utiliza para aplicaciones estrictas y altamente seguras, como las de banca o salud.
Los estudios han demostrado que los formularios de registro de sitios web son ineficientes ya que muchas personas proporcionan datos falsos, olvidan su información de inicio de sesión en el sitio o simplemente rechazan registrarse en primer lugar. Un estudio realizado en 2011 por Janrain y Blue Research encontró que el 77 por ciento de los consumidores preferían el inicio de sesión social como medio de autenticación a los métodos de registro en línea más tradicionales. [4] Beneficios adicionales:
El uso de inicio de sesión social a través de plataformas como Facebook puede inutilizar involuntariamente sitios web de terceros dentro de ciertas bibliotecas, escuelas o lugares de trabajo que bloquean los servicios de redes sociales por razones de productividad. También puede causar dificultades en países con regímenes de censura activos , como China y su " Proyecto Escudo Dorado ", donde el sitio web de terceros puede no ser censurado activamente, pero se bloquea efectivamente si se bloquea el inicio de sesión social de un usuario. [6]
Existen varios otros riesgos que conlleva el uso de herramientas de inicio de sesión social. Estos inicios de sesión también son una nueva frontera para el fraude y el abuso de cuentas, ya que los atacantes utilizan medios sofisticados para piratear estos mecanismos de autenticación. [7] Esto puede resultar en un aumento no deseado en la creación de cuentas fraudulentas, o algo peor; Los atacantes robaron con éxito las credenciales de cuentas de redes sociales de usuarios legítimos. Una de las formas en que se explotan las cuentas de redes sociales es cuando se incita a los usuarios a descargar extensiones de navegador maliciosas que solicitan permisos de lectura y escritura en todos los sitios web. Estos usuarios no son conscientes de que más tarde, normalmente aproximadamente una semana después de su instalación, las extensiones descargarán algún malware Javascript en segundo plano desde su sitio de comando y control para ejecutarlo en el navegador del usuario. A partir de ese momento, estos navegadores infectados con malware se pueden controlar de manera efectiva de forma remota. Luego, estas extensiones esperarán hasta que el usuario inicie sesión en una red social u otra cuenta en línea, y al usar esos tokens o credenciales se registrará en otras cuentas en línea sin el permiso expreso del usuario legítimo.
Las aplicaciones de inicio de sesión social compatibles con muchos servicios de redes sociales están disponibles para los desarrolladores web que utilizan plataformas de blogs como WordPress . Empresas como Gigya , Janrain , Oneall.com, Lanoba.com y LoginRadius también ofrecen servicios de inicio de sesión social de solución única para desarrolladores web. Estas empresas pueden proporcionar acceso de inicio de sesión social a 20 o más sitios de redes sociales. [8]
En marzo de 2012, un artículo de investigación [9] informó sobre un extenso estudio sobre la seguridad de los mecanismos de inicio de sesión social. Los autores encontraron 8 fallas lógicas graves en proveedores de identificación de alto perfil y sitios web de terceros, como OpenID (incluidos Google ID y PayPal Access), Facebook , Janrain , Freelancer , FarmVille , Sears.com , etc. Porque los investigadores informaron a los proveedores de identificación. y los sitios web de terceros que dependían del servicio antes del anuncio público del descubrimiento de las fallas, las vulnerabilidades fueron corregidas y no se han reportado violaciones de seguridad. [10] Esta investigación concluye que la calidad general de la seguridad de las implementaciones de SSO parece preocupante.
Además, los inicios de sesión sociales suelen implementarse de forma insegura. Los usuarios, en este caso, deben confiar en que todas las aplicaciones que implementaron esta función manejarán su identificador de forma confidencial. [11]
Además, al confiar en una cuenta que es operable en muchos sitios web, el inicio de sesión social crea un único punto de falla, aumentando así considerablemente el daño que se causaría si la cuenta fuera pirateada.
Aquí hay una lista de servicios (comúnmente redes sociales) que brindan funciones de inicio de sesión social que alientan a otros sitios web a utilizar.