Часто люди регистрируются на сайтах, не задумываясь. Возможно, это стриминг, позволяющий смотреть новое шоу, о котором все говорят, или аккаунт, предоставляющий скидку в любимом заведении быстрого питания. В любом случае вы должны рассмотреть сегодняшние и последующие последствия для ваших данных.
Определённые риски связаны с каждой новой услугой, которой вы пользуетесь. Утечки данных; раскрытие информации о клиенте третьим лицам; недобросовестные сотрудники, получившие доступ к данным - все это возможности, которые необходимо учитывать при передаче информации. Вы должны быть уверены, что можете доверять сервису, поэтому мы не рекомендуем хранить ценные данные ни на чем, кроме самых совершенных и проверенных в боях продуктов. Обычно это означает сервисы, предоставляющие E2EE и прошедшие криптографический аудит. Аудит повышает уверенность в том, что продукт был разработан без проблем безопасности, вызванных неопытностью разработчиков.
Также может быть сложно удалить учетные записи в некоторых сервисах. Иногда возможна перезапись данных, связанных с учетной записью, но в остальных случаях служба будет хранить всю историю изменений учетной записи.
Условия использования & Политика конфиденциальности¶
Условия использования - это правила использования сервиса, с которыми вы соглашаетесь. В крупных сервисах за соблюдением этих правил часто следят автоматизированные системы. Иногда эти автоматизированные системы могут допускать ошибки. Например, вас могут забанить или заблокировать ваш аккаунт в некоторых сервисах за использование VPN или номера VOIP. Обжаловать такие запреты часто бывает сложно, к тому же этот процесс автоматизирован и не всегда успешен. Это одна из причин, по которой мы не советуем использовать Gmail для электронной почты. Электронная почта имеет критическое значение для доступа к другим сервисам, на которые вы, возможно, подписались.
Политика конфиденциальности - это то, как сервис заявляет, что будет использовать ваши данные, и ее стоит прочитать, чтобы вы понимали, как будут использоваться ваши данные. Компания или организация может не быть юридически обязана следовать всему, что содержится в этой политике (это зависит от юрисдикции). Мы рекомендуем иметь представление о местных законах и о том, какие данные о вас они позволяют собирать провайдеру.
Мы рекомендуем искать конкретные термины, такие как "сбор данных", "анализ данных", "cookies", "реклама" или "сторонние" услуги. Иногда вы можете отказаться от сбора данных или от обмена информацией, но лучше всего выбирать сервис, который с самого начала уважает вашу конфиденциальность.
Помните, что вы также доверяете компании или организации и уверены, что они будут соблюдать собственную политику конфиденциальности.
Методы аутентификации¶
Обычно существует несколько способов регистрации аккаунтов, каждый из которых имеет свои преимущества и недостатки.
Электронная почта и пароль¶
Самый распространенный способ создания новой учетной записи - это адрес электронной почты и пароль. При использовании этого метода следует использовать менеджер паролей и следовать лучшим практикам при выборе паролей.
Tip
Вы можете использовать свой менеджер паролей также и для организации других методов аутентификации! Просто добавьте новую запись и заполните соответствующие поля, вы можете добавить примечания для таких вещей, как вопросы безопасности или резервный код.
Вы будете ответственны за управление своими данными для входа в систему. Для дополнительной безопасности вы можете настроить МФА в своих аккаунтах.
Рекомендуемые менеджеры паролей
Псевдонимы электронной почты¶
Если вы не хотите предоставлять сервису свой настоящий адрес электронной почты, у вас есть возможность использовать псевдоним. Более подробно мы описали их на странице рекомендаций по использованию сервисов электронной почты. По сути, службы почты позволяют создавать новые адреса электронной почты, которые пересылают все письма на ваш основной адрес. Это поможет избежать отслеживания в разных службах и поможет вам управлять маркетинговыми письмами, которые иногда приходят в процессе регистрации. Они могут быть автоматически отфильтрованы на основе псевдонима, на который они отправлены.
Если сервис будет взломан, вы можете начать получать фишинговые или спамерские письма на адрес, который вы использовали при регистрации. Использование уникальных псевдонимов для каждого сервиса может помочь определить, какой именно сервис был взломан.
Рекомендуемые провайдеры псевдонимов электронной почты
"Войти с помощью..." (OAuth)¶
OAuth - это протокол аутентификации, который позволяет вам зарегистрироваться на сервисе, не передавая поставщику услуг много информации, используя вместо этого существующую учетную запись, имеющуюся у вас в другом сервисе. Если в форме регистрации вы видите что-то вроде "Войти с помощью название сервиса", это, как правило, использование OAuth.
При входе с помощью OAuth откроется страница входа в систему с выбранным вами провайдером, а ваша существующая учетная запись и новая учетная запись будут связаны. Ваш пароль не будет передан, но некоторая основная информация обычно передается (вы можете просмотреть ее во время запроса на вход). Этот процесс необходим каждый раз, когда вы хотите войти в одну и ту же учетную запись.
Основными преимуществами являются:
- Security: you don't have to trust the security practices of the service you're logging into when it comes to storing your login credentials, because they are stored with the external OAuth provider, which when it comes to services like Apple and Google typically follow the best security practices, continuously audit their authentication systems, and don't store credentials inappropriately (such as in plain text).
- Простота использования: управление несколькими учетными записями осуществляется с помощью одного логина.
Но есть и недостатки:
- Конфиденциальность: провайдер OAuth, с помощью которого вы входите в систему, будет знать, какими услугами вы пользуетесь.
- Centralization: if the account you use for OAuth is compromised, or you aren't able to log in to it, all other accounts connected to it are affected.
OAuth can be especially useful in those situations where you could benefit from deeper integration between services. Наша рекомендация - ограничить использование OAuth только там, где это необходимо, и всегда защищать основной аккаунт с помощью МФА.
All the services that use OAuth will be as secure as your underlying OAuth provider's account. Например, если вы хотите защитить учетную запись аппаратным ключом, но сервис не поддерживает аппаратные ключи, вы можете защитить учетную запись, используемую с помощью OAuth, аппаратным ключом, и теперь у вас есть аппаратная МФА для всех ваших учетных записей. Однако стоит отметить, что слабая аутентификация в учетной записи поставщика OAuth означает, что любая учетная запись, привязанная к этому логину, также будет слабой.
There is an additional danger when using Sign in with Google, Facebook, or another service, which is that typically the OAuth process allows for bidirectional data sharing. For example, logging in to a forum with your Twitter account could grant that forum access to do things on your Twitter account such as post, read your messages, or access other personal data. OAuth providers will typically present you with a list of things you are granting the external service access to, and you should always ensure that you read through that list and don't inadvertently grant the external service access to anything it doesn't require.
Malicious applications, particularly on mobile devices where the application has access to the WebView session used for logging in to the OAuth provider, can also abuse this process by hijacking your session with the OAuth provider and gaining access to your OAuth account through those means. Using the Sign in with option with any provider should usually be considered a matter of convenience that you only use with services you trust to not be actively malicious.
Номер телефона¶
Мы рекомендуем избегать сервисов, которые требуют номер телефона для регистрации. Номер телефона может идентифицировать вас в различных сервисах, и в зависимости от соглашений об обмене данными это облегчит отслеживание вашего использования, особенно если один из этих сервисов будет взломан, поскольку номер телефона, часто, не зашифрован.
По возможности не сообщайте свой настоящий номер телефона. Некоторые сервисы позволяют использовать номера VOIP, однако они часто вызывают срабатывание систем обнаружения мошенничества, что приводит к блокировке аккаунта, поэтому мы не рекомендуем использовать их для важных аккаунтов.
Во многих случаях вам необходимо указать номер, с которого вы можете получать SMS или звонки, особенно при совершении международных покупок, на случай, если с вашим заказом возникнут проблемы при прохождении пограничного контроля. Обычно сервисы используют ваш номер в качестве метода проверки; не позволяйте себе заблокировать доступ к важному счету из-за того, что вы хотели поступить умно и указать фальшивый номер!
Имя пользователя и пароль¶
Некоторые сервисы позволяют зарегистрироваться без использования адреса электронной почты и требуют только ввести имя пользователя и пароль. Эти услуги могут обеспечить повышенную анонимность в сочетании с VPN или Tor. Имейте в виду, что для этих аккаунтов, скорее всего, не будет способа восстановить учетную запись в случае, если вы забудете имя пользователя или пароль.