Социальный вход - это форма единого входа с использованием существующей информации из служба социальных сетей, такая как Facebook, Twitter или Google, для входа на сторонний веб-сайт вместо создания новой учетной записи для входа специально для этого веб-сайта. Он предназначен для упрощения входа в систему для конечных пользователей, а также для предоставления все более надежной демографической информации веб-разработчикам.
Вход через социальную сеть связывает учетные записи одной или нескольких социальных сетей с веб-сайтом, обычно с использованием либо подключаемого модуля, либо виджета. Выбирая желаемую службу социальной сети, пользователь просто использует свой логин для этой службы для входа на веб-сайт. Это, в свою очередь, устраняет необходимость для конечного пользователя запоминать информацию для входа в систему для нескольких электронной коммерции и других веб-сайтов, обеспечивая владельцев сайтов единообразной демографической информацией, предоставляемой службой социальных сетей. Многие сайты, предлагающие вход через социальные сети, также предлагают более традиционную онлайн-регистрацию для тех, кто либо желает этого, либо не имеет учетной записи в совместимой службе социальной сети (и поэтому им будет запрещено создавать учетную запись на сайте).
Вход через социальные сети может быть реализован строго как система аутентификации с использованием таких стандартов, как OpenID или SAML. Для потребительских веб-сайтов, предлагающих пользователям социальные функции, вход через социальные сети часто реализуется с использованием стандарта OAuth. OAuth - это безопасный протокол авторизации, который обычно используется вместе с аутентификацией для предоставления сторонним приложениям «токена сеанса », позволяющего им выполнять вызовы API к поставщикам от имени пользователя. Сайты, использующие социальный вход таким образом, обычно предлагают социальные функции, такие как комментирование, обмен, реакции и геймификация.
Хотя социальный вход может быть расширен на корпоративные веб-сайты, большинство социальных сетей и поставщиков удостоверений личности на основе потребителей - заявленные личности. По этой причине социальный вход обычно не используется для строгих и высокозащищенных приложений, таких как банковское дело или здравоохранение.
Исследования показали, что формы регистрации на веб-сайтах неэффективны, так как многие люди предоставляют ложные данные, забывают свои данные для входа на сайт или просто отказываются регистрироваться. Исследование, проведенное в 2011 году Janrain и Blue Research, показало, что 77 процентов потребителей предпочитают социальный вход в систему как средство аутентификации более традиционным методам онлайн-регистрации. Дополнительные преимущества:
Использование входа в социальную сеть через такие платформы, как Facebook, может непреднамеренно сделать сторонние веб-сайты бесполезными в определенных библиотеках, школах или на рабочих местах которые блокируют социальные сети из соображений производительности. Это также может вызвать трудности в странах с активными режимами цензуры, таких как Китай и его «Golden Shield Project », где сторонний веб-сайт может не быть активно цензура, но эффективно блокируется, если заблокирован вход пользователя в социальную сеть.
Есть несколько других рисков, связанных с использованием инструментов входа в социальную сеть. Эти учетные записи также являются новым рубежом для мошенничества и злоупотребления учетными записями, поскольку злоумышленники используют изощренные средства для взлома этих механизмов аутентификации. Это может привести к нежелательному увеличению числа мошеннических созданий учетных записей или к худшему; злоумышленники успешно воруют учетные данные учетной записи в социальных сетях у законных пользователей. Один из способов использования учетных записей социальных сетей - это побуждение пользователей загружать вредоносные расширения браузера, которые запрашивают разрешения на чтение и запись на всех веб-сайтах. Эти пользователи не знают, что позже, обычно через неделю или около того после установки, расширения затем загрузят некоторую фоновую вредоносную программу Javascript со своего сайта управления и контроля для запуска в браузере пользователя. С этого момента этими зараженными вредоносным ПО браузерами можно эффективно управлять удаленно. Затем эти расширения будут ждать, пока пользователь не войдет в социальную сеть или другую онлайн-учетную запись, и с помощью этих токенов или учетных данных будет регистрироваться для других онлайн-учетных записей без законного явного разрешения пользователя.
Приложения для входа в социальные сети, совместимые со многими службами социальных сетей, доступны веб-разработчикам, использующим платформы ведения блогов, такие как WordPress. Такие компании, как Gigya, Janrain, Oneall.com, Lanoba.com и LoginRadius, также предоставляют веб-разработчикам единые решения для входа в систему через социальные сети. Эти компании могут предоставлять доступ через социальные сети к 20 или более сайтам социальных сетей.
В марте 2012 года в исследовательском документе сообщалось о обширном исследовании безопасности механизмов социального входа. Авторы обнаружили 8 серьезных логических ошибок у известных поставщиков идентификаторов и веб-сайтов проверяющих сторон, таких как OpenID (включая Google ID и PayPal Access), Facebook, Janrain, Freelancer, FarmVille, Sears.com и т. Д. Потому что исследователи проинформировали поставщиков идентификаторов и сторонние веб-сайты, которые полагались на службу, до публичного объявления После обнаружения недостатков уязвимости были исправлены, и о нарушениях безопасности не сообщалось. В этом исследовании делается вывод о том, что общее качество безопасности развертываний SSO вызывает беспокойство.
Более того, авторизация через социальные сети часто осуществляется небезопасно. В этом случае пользователи должны доверять каждому приложению, в котором реализована эта функция, для конфиденциальной обработки своего идентификатора.
Кроме того, полагаясь на учетную запись, которая работает на многих веб-сайтах, вход через социальную сеть создает единую точку отказа, что значительно увеличивает ущерб, который может быть нанесен в случае взлома учетной записи.
Вот список услуг (обычно социальных сетей), которые предоставляют функции входа в социальные сети, которые они поощряют использовать другие веб-сайты.