用Google登录到Google，Facebook可以确保安全

安全有时不是一件容易的事，而是一个持续的过程。 您不安全是因为您使用特定的工具-您之所以安全，是因为您每天都应用安全思想。

取密码。 您会一直听到提醒，不要在站点，应用程序和服务之间重复使用密码。 不要选择弱密码。 使用密码管理器，这样您就可以选择超级复杂的密码，而不必担心记住它们。 尽可能打开两因素身份验证。 这些都是值得记住和遵循的好建议。 本周早些时候，我的同事尼尔·鲁宾金（Neil Rubenking）进一步提出了密码管理器建议，并说使用您的Google，Facebook，Twitter或其他社交媒体凭据登录第三方网站存在安全风险。 我不赞成这种说法。

您已经看到我在说什么。 虽然大多数服务都要求您从头开始创建帐户，但是在某些网站上您可以使用社交媒体凭据登录。 例如，Expedia允许您使用Facebook登录。 或Inoreader（我选择的RSS阅读器），可让您使用Google登录。 这样，您就可以跳过帐户创建过程，而仅使用现有帐户登录。 方便吧？ 非常。 就像尼尔在他的文章中所说的那样，这是一个安全问题吗？ 没有。

每当我看到允许我使用另一个帐户登录的网站时，都会选择该选项。 我没有使用我的Facebook帐户登录（对不起，Expedia），但是如果可以使用我的Google帐户，则可以。 我有一个复杂的强密码，并且还启用了双重身份验证。 因此，我的Google帐户将尽可能地安全。我相信Google会采取必要的措施来确保我的信息的安全。 没有什么反对Facebook，但是我认为我比Facebook采取了更好的措施来保护我的Google帐户。

我相信你吗？ 没有

当我来到一个站点并且必须创建一个帐户时，我的第一个想法是：“我信任你吗？” 我是否信任该站点以确保我的数据安全？ 我不仅指密码和信用卡号。 我是否相信该网站已采取必要措施在其数据库中保护我的电话号码，邮寄地址和出生日期？ 老实说 对于大多数公司，不，我不是。 应用程序安全性很难，大多数开发人员仍在学习安全的编码实践，而有效地保护数据库也是如此。 这是一项正在进行的工作，许多公司在安全性方面还不存在。 由于我无法四处询问公司，“我是否相信您能确保我的密码安全并且不会被黑客窃取？” 我走了简单的道路，并认为我做不到。

还记得几年前的Gawker违规行为吗？ 所有这些电子邮件地址和密码之所以公开，是因为Gawker的开发人员未采取措施妥善保护它们。 我并不是说Gawker是错的-它是一家媒体公司，没有人想到会有人追随该网站的评论系统。 但是发生了。 作为消费者，我不会尝试审查哪些公司具有足够的安全意识来信任他们的应用程序，而哪些公司没有。 我将重点关注谁在正确地完成工作。

使用我的Google凭据登录的重要事项：该网站未保留我的密码或其他信息。 当我单击Google+按钮时，我将重定向到Google页面，并通过Google的服务器进行身份验证。 然后，谷歌告诉该网站，是的，我就是我，然后将我发送回该网站。 这意味着我的信息仍保留在Google上，该网站仅获得一个令牌，上面写着“她成功登录，让她通过”。

考虑一下过去两年中我们看到的所有网站违规情况。 我注册了一些网站只是为了了解它的样子，几天后就放弃了，因为那不是我所需要的。 如果我在该站点上创建了一个帐户，则我的信息将存储在该站点的数据库中。 即使我放弃了该网站，我的帐户仍然存在。 （这就是为什么我不喜欢不允许您删除帐户的网站，但这又是另一回事了。）这是我的数据被盗的很多潜在地方。 如果我使用我的Google帐户登录，则该站点没有任何有关我的信息被盗。 令人放心。 如果我放弃该站点，则Google允许我撤消帐户权限，以便其他任何人都不能以我的身份登录。

让我们来谈谈撤销。 让Google，Facebook和Twitter处理登录的整个过程意味着您还可以使用它们来阻止访问。 例如，我使用Google登录到Inoreader。 说我不再想要使用Inoreader。 我只是进入我的Google帐户设置，然后单击“撤消访问权限”。 就是这样。 这也是为什么我使用Twitter登录某些网站的原因。 完成后，Twitter使得断开应用程序的连接非常容易。

我的目标是在世界上拥有包含我的个人信息的记录的尽可能少的数据库。

我喜欢使用Google登录的另一件事：帐户专用密码。 我生成一个随机密码，Google现在知道该密码是该网站的密码。 该密码仅适用于该站点，无法访问其他任何站点。 我不再通过密码管理器生成密码并创建一个全新的帐户，而是继续使用Google进行此过程。 我使用电子邮件密码以外的密码，并且坚持使用Google的机制，从而跳过了创建帐户的整个过程。 例如，如果我登录到移动应用程序，这将非常方便。 Google现在知道如何验证我的身份，并且像常规登录一样，我只是撤消了密码，该应用无法再登录。

坚持与你信任的人

尼尔问了一个很好的问题：问自己这个网站是否需要了解您。 有关您的网站是否需要知道您的姓名，电子邮件地址，实际地址和电话号码，或其他任何个人资料信息？ 如果没有，请不要移交给它。 与信任的人保持联系。

如果您的Facebook密码是“ Password1”，并且有恶意的人认为这是事实，那么可以，该人可以继续并登录到您与您的帐户关联的任何其他网站。 但是，与您为该站点选择“ Password1”有何不同？ 如果您在电子邮件或社交媒体网站上使用易于记忆的密码，那么您的飞行常客里程帐户可能不会使用一串难以记忆的字符，对吗？ 因此，正是那个弱小的密码尖叫着“劫持我！” 不是您使用其他帐户登录的事实。 如果有人知道了您的Google密码，我不认为您最大的担心就是该人现在是否可以登录到您的关联帐户。 只是要求密码重置电子邮件如此简单时，情况并非如此。

安全性没有万灵药。 给定的工具可以用于好坏。 这完全取决于您的处理方式。 我的首选是不使用数据库。 你的是啥呢？