Inicio de sesión social

Iniciar sesión usando una cuenta de red social

El inicio de sesión social es una forma de inicio de sesión único que utiliza información existente de un servicio de redes sociales como Facebook , Twitter o Google para iniciar sesión en un sitio web de terceros en lugar de crear una nueva cuenta de inicio de sesión específicamente para ese sitio web. Está diseñado para simplificar los inicios de sesión para los usuarios finales, así como para proporcionar información demográfica más confiable a los desarrolladores web. ^[1]

Cómo funciona el inicio de sesión social

El inicio de sesión social vincula cuentas de uno o más servicios de redes sociales a un sitio web, generalmente mediante un complemento o un widget . ^[2] Al seleccionar el servicio de redes sociales deseado, el usuario simplemente utiliza su nombre de usuario para ese servicio para iniciar sesión en el sitio web. Esto, a su vez, elimina la necesidad de que el usuario final recuerde la información de inicio de sesión para múltiples sitios web de comercio electrónico y otros, al tiempo que proporciona a los propietarios del sitio información demográfica uniforme tal como la proporciona el servicio de redes sociales. Muchos sitios que ofrecen inicio de sesión social también ofrecen un registro en línea más tradicional para aquellos que lo deseen o que no tengan una cuenta en un servicio de redes sociales compatible (y, por lo tanto, no podrían crear una cuenta en el sitio web).

Solicitud

El inicio de sesión social se puede implementar estrictamente como un sistema de autenticación utilizando estándares como OpenID o SAML . Para los sitios web de consumidores que ofrecen funcionalidad social a los usuarios, el inicio de sesión social se implementa a menudo utilizando el estándar OAuth . OAuth es un protocolo de autorización seguro que se utiliza comúnmente junto con la autenticación para otorgar a las aplicaciones de terceros un " token de sesión " que les permite realizar llamadas API a los proveedores en nombre del usuario. Los sitios que utilizan el inicio de sesión social de esta manera suelen ofrecer funciones sociales como comentarios, uso compartido, reacciones y gamificación .

Si bien el inicio de sesión social se puede extender a los sitios web corporativos, ^[3] la mayoría de las redes sociales y los proveedores de identidad basados ​​en el consumidor permiten identidades autoafirmadas. Por este motivo, el inicio de sesión social generalmente no se utiliza para aplicaciones estrictas y de alta seguridad, como las del sector bancario o de la salud.

Ventajas del inicio de sesión social

Los estudios han demostrado que los formularios de registro en sitios web son ineficientes, ya que muchas personas proporcionan datos falsos, olvidan su información de inicio de sesión en el sitio o simplemente se niegan a registrarse en primer lugar. Un estudio realizado en 2011 por Janrain y Blue Research descubrió que el 77 por ciento de los consumidores preferían el inicio de sesión social como medio de autenticación frente a los métodos de registro en línea más tradicionales. ^[4] Beneficios adicionales:

Contenido dirigido

Los sitios web pueden obtener datos de perfil y gráficos sociales para ofrecer contenido personalizado al usuario. Esto incluye información como nombre, correo electrónico, ciudad natal, intereses, actividades y amigos. Sin embargo, esto puede generar problemas de privacidad y reducir la variedad de vistas y opciones disponibles en Internet.

Identidades múltiples

Los usuarios pueden iniciar sesión en sitios web con múltiples identidades sociales, lo que les permite controlar mejor su identidad en línea. ^[5]

Datos de registro

Muchos sitios web utilizan los datos de perfil que se obtienen al iniciar sesión con redes sociales en lugar de que los usuarios ingresen manualmente su información de identificación personal ( PII ) en formularios web. Esto puede acelerar potencialmente el proceso de registro o suscripción.

Correo electrónico prevalidado

Los proveedores de identidad que admiten correo electrónico, como Google y Yahoo!, pueden devolver la dirección de correo electrónico del usuario al sitio web de terceros, evitando así que el usuario proporcione una dirección de correo electrónico falsa durante el proceso de registro.

Vinculación de cuentas

Debido a que el inicio de sesión social se puede utilizar para la autenticación, muchos sitios web permiten a los usuarios heredados vincular una cuenta de sitio preexistente con su cuenta de inicio de sesión social sin forzar el nuevo registro.

Desventajas del inicio de sesión social

El uso del inicio de sesión social a través de plataformas como Facebook puede hacer que los sitios web de terceros resulten inutilizables de forma involuntaria en ciertas bibliotecas, escuelas o lugares de trabajo que bloquean los servicios de redes sociales por razones de productividad. También puede causar dificultades en países con regímenes de censura activa , como China y su " Proyecto Escudo Dorado ", donde el sitio web de terceros puede no estar censurado activamente, pero se bloquea de manera efectiva si se bloquea el inicio de sesión social de un usuario. ^[6]

Existen otros riesgos asociados con el uso de herramientas de inicio de sesión en redes sociales. Estos inicios de sesión también son una nueva frontera para el fraude y el abuso de cuentas, ya que los atacantes utilizan medios sofisticados para piratear estos mecanismos de autenticación. ^[7] Esto puede dar como resultado un aumento no deseado de la creación de cuentas fraudulentas o, peor aún, que los atacantes roben con éxito las credenciales de las cuentas de redes sociales de usuarios legítimos. Una de las formas en que se explotan las cuentas de redes sociales es cuando se tienta a los usuarios a descargar extensiones de navegador maliciosas que solicitan permisos de lectura y escritura en todos los sitios web. Estos usuarios no son conscientes de que más tarde, normalmente una semana después de su instalación, las extensiones descargarán algún malware de Javascript en segundo plano desde su sitio de comando y control para ejecutarse en el navegador del usuario. A partir de ese momento, estos navegadores infectados con malware se pueden controlar de forma remota de forma eficaz. Estas extensiones esperarán hasta que el usuario inicie sesión en una red social u otra cuenta en línea, y utilizando esos tokens o credenciales se registrarán en otras cuentas en línea sin el permiso expreso del usuario legítimo.

Seguridad

En marzo de 2012, un artículo de investigación ^[8] informó sobre un estudio exhaustivo sobre la seguridad de los mecanismos de inicio de sesión social. Los autores encontraron 8 fallas lógicas graves en proveedores de ID de alto perfil y sitios web de terceros que dependían de ellos, como OpenID (incluidos Google ID y PayPal Access), Facebook , Janrain , Freelancer , FarmVille , Sears.com , etc. Debido a que los investigadores informaron a los proveedores de ID y a los sitios web de terceros que dependían del servicio antes del anuncio público del descubrimiento de las fallas, las vulnerabilidades se corrigieron y no se han informado violaciones de seguridad. ^[9] Esta investigación concluye que la calidad de seguridad general de las implementaciones de SSO parece preocupante.

Además, los inicios de sesión sociales suelen implementarse de forma insegura. En este caso, los usuarios deben confiar en que todas las aplicaciones que implementan esta función manejarán su identificador de forma confidencial. ^[10]

Además, al depender de una cuenta que funciona en muchos sitios web, el inicio de sesión social crea un único punto de falla, lo que aumenta considerablemente el daño que se causaría si la cuenta fuera pirateada.

Lista de proveedores

A continuación se incluye una lista de servicios que ofrecen funciones de inicio de sesión social y que recomiendan que otros sitios web utilicen. Entre ellos se encuentran los proveedores de inicio de sesión con identidad federada .

• Alipay
• AOL
• Manzana
• Facebook
• Google
• KakaoTalk
• Línea
• LinkedIn
• Mi espacio
• Paypal
• QQ
• Sina Weibo
• Taobao
• Vkontakte (ВКонтакте)
• Gorjeo
• WeChat

Véase también

• Inicio de sesión único
• Autenticación vs. Autorización

Referencias

1. Inicio de sesión social: un cambio radical en la captura de datos (consultado el 21 de diciembre de 2011).
2. Ngemera, Eusebius (31 de enero de 2017). "Inicios de sesión sociales: ¡qué información revelas!". eusebius.tech . Consultado el 6 de mayo de 2017 .
3. "Integre las redes sociales en su sitio web corporativo con Social Sign On" - Altimeter Group, 27 de septiembre de 2010
4. Marketing en redes sociales: ¿Inicio de sesión en redes sociales o registro tradicional en sitios web? MarketingSherpa, 12 de enero de 2012
5. "El gran nuevo tema de la Web social para 2011: identidades múltiples para todos" - AllThingsD, 1 de enero de 2011
6. Laurenson, Lydia (3 de mayo de 2014). "The Censorship Effect". TechCrunch . Consultado el 27 de febrero de 2015 .
7. Safruti, Ido (18 de octubre de 2017). "Inicio de sesión social simple para usuarios y atacantes". infosecurity . Consultado el 14 de noviembre de 2017 .
8. Rui Wang; Shuo Chen y XiaoFeng Wang (mayo de 2012). "Cómo acceder a sus cuentas a través de Facebook y Google: un estudio de seguridad guiado por el tráfico de servicios web de inicio de sesión único implementados comercialmente".
9. "OpenID: Informe de vulnerabilidad, confusión de datos" - OpenID Foundation, 14 de marzo de 2012
10. "Configuraciones de inicio de sesión social: lo bueno, lo malo y lo feo" - CloudRail, 2 de agosto de 2016

Lectura adicional

• "Social Sign-On: ¿Qué es y cómo beneficia a su sitio web?" - Social Technology Review; 10 de enero de 2011
• "La importancia de la identidad del consumidor" - Windows IT Pro, 28/02/2011.
• "Pepsi y The X Factor adoptan la gamificación con The Pepsi Sound Off" - VentureBeat; 18 de octubre de 2011