CC BY
137
УДК 004.9
Проблема безопасности авторизации аккаунта через социальные сети
Е.П. Шейкина, О.Ю. Лазарева
Московский государственный университет печати имени Ивана Федорова 127550, Москва, ул. Прянишникова, 2А e-mail: liz76757657@gmail.com, lazarevaoy@gmal.com
Социальные сети приобрели огромную популярность в наши дни. Почти каждый пользователь сети Интернет имеет один и более аккаунтов в той или иной социальной сети. Помимо подобных сетей, также постоянно используются различные веб-ресурсы и веб-сервисы, предусматривающие регистрацию с созданием учетной записи. Их количество неуклонно растет, и рутинная регистрация, необходимая для работы в каждом из них, для многих пользователей стала раздражителем. В настоящее время решением этой проблемы стала авторизация через социальные сети на большинстве веб сайтов [1].
Несомненно, данный способ авторизации представляется удобным для большинства пользователей. Первым и главным плюсом здесь является сокращение времени при регистрации в сети. Часто пользователи покидают веб-сайты, желая избежать заполнения форм с большим количеством полей-вопросов. С помощью авторизации через социальные сети регистрацию можно выполнить в два клика, что не отнимает времени и не утомляет пользователя. Кроме того, большой объем новых аккаунтов ведет к тому, что пользователи забывают пароли, а это в свою очередь может негативно повлиять на безопасность их данных. Авторизация через социальные сети помогает решить эту проблему, позволяя заходить на различные веб-ресурсы путем использования одного защищенного аккаунта. Еще одним дополнительным плюсом является быстрая передача информации, которая расположена на веб-ресурсе. Совмещение аккаунта социальной сети и профиля на сайте дает возможность одним кликом либо показывать материал, кото-
180
рый понравился пользователю, либо размещать копию контента на своей странице, не совершая вход на сайт самой социальной сети.
Владельцам веб-ресурсов также удобен данный метод авторизации. В первую очередь - это получение информации о клиентах. Часто пользователи остаются в режиме гостя или могут указывать не соответствующие действительности данные на веб-сайте. Социальная авторизация дает владельцам ресурсов возможность получать достоверную информацию о клиентах и поддерживать с ними связь.
Предоставляя удобства как пользователям, так и владельцам веб сайтов, социальная авторизация имеет ряд минусов, которые могут создать дополнительные проблемы. В первую очередь - это проблема безопасности. Легкий доступ к учетной записи пользователя, к его личной информации ведет к тому, что владелец сайта может совершать рассылку рекламы, спама на email, аккаунта в социальной сети, номера телефонов, также возможен взлом учетных записей.
Однако и владельцы веб-сайтов также могут испытывать ряд неудобств, при переходе с обычной регистрации на социальную авторизацию гостей. В некоторых случаях возможно заполнение сервера базы данных лишними записями, а также может возникнуть проблема сопоставления аккаунтов, в случае, если клиент зарегистрирован в различных социальных сетях, и осуществляет авторизацию через каждую из них.
Для решения проблем с социальной авторизацией используются две наиболее известные системы единого входа: OAuth 1.0 и OpenID [4].
OAuth 1.0 - протокол авторизации, предоставляющий определенный доступ «Consumer» (третьей стороне) к информации пользователя без необходимости передачи логин/пароля [2]. Аутентификацию осуществляют: User, Provider, Consumer. Потребитель запрашивает разрешение на использование информации пользователя, перенаправляя его к выбранному провайдеру со своим ключом и списком возможностей. В провайдере создается средство авторизации пользователя (token), потребитель использует полученный «token» для авторизации запроса к провайдеру, запрашивая информацию о пользователе, после чего имеет возможность делать запросы от его имени и авторизоваться.
OpenID - стандарт децентрализованной системы аутентификации, с помощью которого создается единая учетная запись для идентификации пользователя на различных интернет-сайтах, взаимодействуя с «RelyingParty» (зависимой стороной) [3]. В аутентификации участвуют три стороны: User, Provider, RelyingParty. При запросе URL OpenID у пользователя, зависимая сторона направляет его к провайдеру для проверки подлинности. После чего пользователь вводит данные для входа, провайдер осуществляет его аутентификацию, перенаправляя обратно к зависимой стороне, которая разрешает доступ.
В табл.1 отражена основная информация, систематизирующая данные о протоколах аутентификации. Нельзя однозначно утверж-
181
дать, какой из протоколов успешнее выполняет социальную аутентификацию, так как выбор зависит от категории пользователя, определенных им задач и требований.
Таблица 1
Наиболее известные протоколы аутентификации
Достоинства Недостатки Сервисы- поставщики Провайдеры
OpenID 1. Позволяет зарегистрироваться в новой регистрационной форме, если социальная сеть, в которой зарегистрирован пользователь, не описана в спецификации OpenID 2. Обеспечивает проверку подлинности личных данных пользователя 3. Децентрализован, устанавливает соединения с использованием нескольких провайдеров 1. RelyingParty (проверяющая сторона) не известна поставщику 2. При отсутствии SSL шифрования для идентификации пользователя, возможен перехват URL и получение доступа к ресурсу от имени пользователя 3. Не использует механизмы для предотвращения фишинговых атак Google Yandex Rambler Mail livejournal MyOpenID Yahoo! AOL IBM Steam Orange VeriSign HybridAuth Social Login Loginza, ulogin
OAuth 1.0 1. Запрашивает разрешение на доступ к информации, для осуществления возможности делать запросы от имени пользователя 2. Предоставляет специальные услуги по урегулированию свободного доступа или предоставлению владельцу полной информации о клиентах 3. Использует временные учетные записи на стадии запроса 1. Осуществляет работу с определенным провайдером 2. Сортирует и кодирует параметры до отправки запроса Facebook Twitter Vkontakte Yahoo! Microsoft Yandex Google Dropbox GitHub Vimeo Bitbucket Instagram Evernote HybridAuth Social Login
182
Окончание табл. 1
Достоинства Недостатки Сервисы- поставщики Провайдеры
авторизации, которые предлагают дополнительную безопасность
Библиографический список
1. dampsM. Security+ Guide to Network Security Fundamentals. Cengage Learning, 2011.
2. Hammer-LahavE. The OAuth 1.0 Protocol. Documentation.
Ed.2010.
3. Rehman R. Get Ready for OpenID. Conformix Books, 2007.
4. Аутентификация и авторизация, OpenID и OAuth [Электронный ресурс]. URL: http://oxozle.com/2013/11/08/autentifikaciya-i-avtorizaciya-openid-i-oauth (Дата обращения: 19.04.15)
183
