通過QQ、微信、微博等應用授權,授權後第三方網站僅能看到您的暱稱、性別、頭像等公開信息(不包括賬戶ID和其他個人信息),是很安全的。對於一些小網站、小論壇,鼓勵大家使用第三方驗證的方式登錄,原因除了免去註冊步驟之外還有就是安全性的考慮:很多小網站沒辦法過多注意用戶的賬號安全的問題,所以選擇大公司的第三方驗證反倒能夠保證安全,能有效避免“撞庫”問題。
通過掃QQ、微信的驗證二維碼登錄的,因為鑑權完全是QQ、微信完成的,QQ、微信鑑權後,拉起第三方應用或者重定向到第三方網站,完全不會洩露用戶信息,如果是第三方的APP或者網頁要求直接輸入QQ、微信的賬戶和密碼,由第三方用賬戶密碼向QQ、微信發起登錄請求,那情況是不一樣的,因為第三方的APP或者網頁完全獲取了你的賬號和密碼,甚至可以保存到自己的數據庫。這是要特別小心的,一切要求你輸入QQ、微信密碼的第三方的APP或者網頁都不能相信!要特別小心釣魚網頁,有些釣魚網頁偽裝成和QQ官網完全一模一樣的,登錄界面也一模一樣,你不小心以為是QQ官網,用QQ號和密碼去登陸,就悲劇了。利用好手機掃碼和授權登錄,能有效防止出現這種問題。
用微信 QQ 之類的登錄第三方 App ,一般採用的是「OAuth 2.0」的開放協議,整個驗證的過程如下:
·當你想在網站 A 使用 QQ 登錄的時候網站 A 會給 QQ 的服務器發送一個請求
·QQ 響應
·你在 QQ 的登錄頁面輸入賬號密碼
·由 QQ 服務器驗證通過之後給網站 A 一個通過反饋
·你就登錄上了網站 A
可以看到,你涉及到具體賬號密碼的輸入操作是在 QQ 網頁上完成的,整個的驗證過程也基本上和 A 網站沒有關係,所以這種登錄方式足夠安全,也是 OAuth 協議發揮的作用。
但是如果在第三方授權登錄的時候,有些網站會向你索取「地理位置」、「好友動態」等等看似必要,但其實很隱私的信息的時候,我們就要小心了,需要認真閱讀協議,謹慎授權。近期微信新增的“新建用戶信息”功能,在最新版的微信中,通過掃碼登錄第三方網站時,會出現新建個人信息登錄的界面,微信會自動生成一組頭像和暱稱,可以用來登錄第三方軟件,可以幫助用戶新建一個“假身份”,確保真實信息不被洩露。
為了降低個人信息洩露的風險,用戶應儘量減少個人信息暴露渠道,比如某些App在讓用戶使用QQ、微信、微博登錄後,還要求用戶綁定手機號,將手機號與QQ、微信、微博的賬號進行對應,面對這種情況,用戶應該減少個人信息暴露量,比如只使用手機號登錄,避免讓這些App獲取好友關係等深層次內容。
當然除了遠離流氓廠商之外,保護好自己的賬號安全也是很重要的。作為普通用戶,我們可以定期檢查賬號登錄的信息,將一些許久沒用或者已經倒閉的網站或應用服務去除授權登錄的權限。接下來給大家介紹一下你可能會常用的第三方授權登錄賬號的解除授權方式。
大多數軟件都是在:設置 → 「安全/授權中心」裡面
QQ:登錄「QQ 互聯」網站 → 授權管理 →取消授權
新浪微博(網頁版):個人主頁 → 管理中心 → 我的應用 → 我使用過的 →刪除
支付寶:我的 → 設置 → 賬號管理 → 賬號授權 → 刪除
芝麻信用:我的 → 芝麻信用 → 信用管理 → 授權記錄 →解除授權
授權登錄這個功能誕生於安全、發展於快捷,但是如果不加留意很可能被無良廠商利用,產生風險。定期檢查清理第三方授權登錄,並且用戶應仔細確認所使用的App到底要從QQ、微信、微博等平臺獲取什麼權限,如果要獲取好友關係、手機號、身份證號等敏感信息,則最好使用其他方式登錄。此外,對於互聯網行為,用戶可使用個人信息分級的方式,如果面臨必須留下聯繫電話、郵箱等情況,可以通過使用副卡、新郵箱等方式,與個人真實身份做隔離。
閱讀更多 黑客入門學習 的文章
