Facebook, Twitter, Google+ ou LinkedIn… Com qual você deve fazer login?
Nosso artigo anterior sobre questões de privacidade relacionadas aos questionários do Facebook chamou muita atenção de leitores preocupados com quais informações privadas eles estão abrindo mão quando autorizam um aplicativo no Facebook. A questão levanta algumas questões: você deveria fazer login em aplicativos e serviços na web usando o Facebook? E quanto às outras opções de login nas redes sociais? Eles se saem melhor?
Quatro em cada cinco usuários da Internet não gostam dos formulários de registro tradicionais e 73% preferem fazer login com suas contas de mídia social. diz LoginRadius . No início de 2015, o Facebook lidera a corrida de login social com 61% de participação de mercado, de acordo com Gigya . É seguido por Google+, Twitter e LinkedIn, nessa ordem. O Yahoo também está na lista ao lado do Twitter, mas parece estar afundando rapidamente. O Touch ID da Apple, um novato na batalha do login social, parece que poderia perturbar o mercado, mas ainda está em um estágio inicial.
As pessoas tendem a preferir opções de login social porque não precisam preencher um formulário de registro ou memorizar outra senha. Mas qual rede social oferece o login mais privado e qual dá aos usuários mais controle sobre seus aplicativos e permissões?
OAuth e OpenID
Para começar, entenda que quase todos os mecanismos de login social usam os mesmos protocolos de código aberto: OAuth, OpenID ou uma combinação dos dois. OpenID é usado para autenticação enquanto OAuth é usado para autorização. É fácil misturar os dois (eu sei que sim), então aqui estão alguns exemplos.
OpenID é usado para fazer login e criar contas em sites externos. Não quero preencher um formulário de cadastro ou memorizar outra senha para postar um comentário em um blog. O OpenID me permite ignorar o registro tradicional e autenticar minha identidade com credenciais de login de outro site no qual já estou registrado, como Google+ e Facebook. Resumindo, autenticação significa um site dizendo a outro site: “Ele é quem diz ser”.
OAuth vai um pouco mais fundo e é usado para conceder permissão a sites e aplicativos de terceiros para acessar informações em outra rede social ou site. Sempre que você se inscrever em um aplicativo de mensagens, ele poderá solicitar permissão para recuperar seus amigos do Facebook para ajudá-lo a se conectar com mais pessoas. Isso geralmente é autorizado por meio do OAuth. OAuth normalmente requer autenticação antes da autorização, por isso é frequentemente usado em conjunto com o OpenID. Um site diz ao outro: “Ele é quem diz ser e aqui estão as informações que você pediu”.
Todas as quatro principais redes sociais que examinamos usam alguma combinação de OAuth e OpenID, portanto o protocolo subjacente de cada uma é praticamente o mesmo. A privacidade então se resume a quais dados aplicativos e sites de terceiros podem acessar, quem pode ver esses dados e quão bem você, o usuário, pode controlar esses aplicativos e sites. Analisamos mais profundamente os logins sociais do Facebook, Twitter, Google+ e LinkedIn para descobrir qual oferece a melhor privacidade.
Controle de aplicativos
Todos os quatro principais provedores de login permitem revisar e revogar os aplicativos conectados às suas contas. No Facebook, clique no menu suspenso no canto superior direito e clique em Configurações. Na barra lateral esquerda, vá para Aplicativos. Passe o mouse sobre qualquer aplicativo para excluí-lo ou editar permissões e visibilidade. Clicar em um aplicativo também permitirá que você escolha se deseja ou não permitir notificações. Abaixo disso, o Facebook tem uma seção “saiba mais” onde você pode até obter o ID de usuário do seu aplicativo para entrar em contato com o desenvolvedor caso queira que seus dados sejam removidos de seus servidores. Na parte inferior deste pop-up, muitas vezes você pode encontrar links externos para a política de privacidade e os termos de uso de um aplicativo.
No Google+, clique em configurações e encontre o link que diz “mudar para o Google+ clássico”. Por algum motivo, as permissões do aplicativo estão faltando na versão mais recente. Agora role para baixo até “gerenciar aplicativos e atividades” e clique no link que diz “Gerenciar aplicativos e marcações com +1 em postagens”. Aqui você encontrará uma lista de aplicativos logados no Google+. Alguns podem ter um status informando que estão desconectados, o que significa que você excluiu o aplicativo ou ele não existe mais. Clique em editar para ver a visibilidade e desconectar aplicativos. Se você deseja apenas alterar as permissões, ou seja, quem pode visualizá-lo, você deve desconectar o aplicativo e reconectá-lo no próprio aplicativo.
No Twitter, clique na imagem do seu perfil no canto superior direito e vá em Configurações. Role para baixo até a guia de aplicativos. Aqui você pode revogar o acesso a aplicativos autenticados, bem como visualizar as permissões e a data de autorização. Se você esqueceu o que um aplicativo faz, o Twitter fornece uma descrição rápida.
Para o LinkedIn, clique na sua foto no canto superior direito e clique em “Gerenciar” ao lado de “Privacidade e configurações”. Em seguida, clique na guia que diz “Grupos, empresas e aplicativos”. Lá você encontrará um link que diz “Veja seus aplicativos”. Assim como o Google+, o LinkedIn oferece apenas a opção de remover aplicativos, não de editar permissões, e você nem consegue ver o que os aplicativos listados são capazes de visualizar. Marque aqueles que você não deseja ou não usa mais e clique no botão Remover.
Embora sejamos duros com o Facebook, ele oferece maior controle e detalhes quando se trata de compartilhar dados com aplicativos de terceiros. Ele permite que os usuários editem as permissões e a visibilidade. Classificado do melhor ao pior nesta categoria: Facebook, Twitter, Google+, LinkedIn.
Dados do aplicativo
Agora que você sabe como controlar aplicativos conectados em cada mídia social, vamos examinar os dados reais dos quais você está cedendo.
Quando um aplicativo usa autorização do Facebook, ele pode solicitar até 40 permissões diferentes , desde acesso a fotos até postagens na linha do tempo, listas de amigos e muito mais. Cabe ao desenvolvedor decidir quais são necessários para um aplicativo específico e quais são opcionais. Dos 40, 38 exigem revisão do Facebook antes que o aplicativo se torne público. É assim que o Facebook policia os aplicativos e garante que eles não façam nada ilegal ou desonesto com os dados do usuário. O Facebook também publicou uma lista de verificação de segurança de requisitos técnicos mínimos para todos os aplicativos, mas estes não são aplicados de maneira tão rigorosa quanto as permissões.
A autorização padrão do Google Plus inclui uma lista de permissões muito menor que a do Facebook: perfil público, faixa etária, pessoas circuladas (lista de amigos) e a capacidade de ler e escrever no feed público do usuário. Este último é provavelmente o mais desconcertante porque, se você é como eu, não verifica seu feed do Google+ com frequência. Os aplicativos podem estar postando nas suas costas. Os desenvolvedores também podem solicitar permissões adicionais em “escopos” maiores, como endereços de e-mail, contatos do Gmail e Google Agenda. O Google recentemente adicionou flexibilidade semelhante à do Facebook para que os usuários escolham permissões ao autorizar um novo aplicativo.
As permissões do aplicativo Twitter incluem ler seus tweets, ver quem você segue, atualizar seu perfil, postar tweets em seu nome, seguir novas pessoas e acessar mensagens diretas. O Twitter difere dos outros três porque toda a rede é totalmente pública. Qualquer pessoa pode encontrar você e ver tudo o que você posta, então não há muito a esconder que um desenvolvedor de aplicativos não conseguiria de outra forma. Para aplicativos com mais de 1 milhão de usuários, o Twitter é mais rígido na forma como os dados do usuário são tratados. Menos do que isso, um aplicativo pode ser monitorado, mas provavelmente não passará por nenhuma inspeção rigorosa.
Perfis básicos, localização e cargos estão disponíveis para todos os desenvolvedores que usam logins autorizados pelo LinkedIn. Todo o resto –perfil completo, informações de contato, educação, recomendações e muito mais – exigem que os desenvolvedores se inscrevam e sejam aprovados pelo programa LinkedIn. Esperamos que isso evite qualquer abuso de dados do usuário.
O LinkedIn parece ser o mais preocupado com a privacidade quando se trata de desenvolvedores que acessam dados de usuários. Classificado do melhor ao pior nesta categoria: LinkedIn, Facebook, Twitter, Google.
Por que não apenas se cadastrar com e-mail e senha?
Você pode simplesmente se registrar com um e-mail e uma senha, mas não é necessariamente mais seguro ou privado. Sim, o aplicativo em questão não consegue acessar seu perfil de mídia social. Mas fornecer um endereço de e-mail pode torná-lo alvo de spam e phishing. Depende também de quem você confia mais para manter seus dados seguros: a empresa em que você está cadastrado ou a rede social. Uma rede social provavelmente tem uma segurança mais robusta, mas também tem muito mais invasores. Sem mencionar que os logins sociais são apenas mais convenientes.
Veredito
O Facebook coloca os aplicativos que exigem mais permissões em um processo de revisão, o que impedirá que a maioria dos desenvolvedores abuse dos dados do usuário. O Facebook também oferece o mais alto nível de granularidade quando se trata de personalizar permissões e privacidade. O outro lado dessa moeda é que a maioria dos usuários não se aprofunda muito nas configurações de segurança do Facebook. É fácil definir seu perfil como “apenas amigos” e pensar que você está seguro, mas na verdade o bloqueio de uma conta exige cavando um pouco mais do que isso. Você também deve considerar que o usuário médio postará mais informações privadas (e uso essa palavra levianamente) no Facebook do que em outras redes sociais, portanto, em casos de abuso, muito mais está em risco, apesar dos grandes controles e políticas severas para os desenvolvedores. Observe que o Facebook já foi criticado no passado por fazer alterações não anunciadas que desfazem proteções anteriores, portanto, fique atento.
O Google Plus é um pouco confuso. Se você não usa muito o Google+ e um aplicativo está usando o escopo de permissões básicas, não é uma má opção. No entanto, a incapacidade de alterar as permissões de um aplicativo após a autenticação inicial sem desconectá-lo completamente e autenticar novamente no próprio aplicativo é um ponto delicado. O processo de revisão e aplicação do Google para fabricantes de aplicativos também pode estar faltando. Entramos em contato com o Google para obter mais informações sobre o processo de revisão de aplicativos e atualizaremos este artigo se e quando ele responder.
O LinkedIn parece ser o mais preocupado com a segurança quando se trata de lidar com fabricantes de aplicativos. Para o usuário final, entretanto, controlar permissões e ver quais aplicativos têm acesso são recursos praticamente inexistentes. Revogue o aplicativo completamente ou mantenha-o, não há meio-termo e você não pode revisar quais dados um determinado aplicativo está usando.
O Twitter não tem a granularidade dos controles do Facebook ou requisitos rígidos para desenvolvedores como o LinkedIn. Então, novamente, não há muito a esconder no Twitter. Qualquer pessoa pode ver quase tudo na sua conta do Twitter apenas se inscrevendo, então não há muito mais dados que um aplicativo possa coletar ao fazer login no Twitter – isso apenas torna tudo mais fácil. Esse ativo “nada a perder” faz do Twitter minha preferência pessoal para logins sociais, mas não é tão usado quanto o Facebook e o Google+.
“ Aplicativos de mídia social ”por Jason Howle licenciado sob CC POR 2.0
