Log me with…

kilka słów o tym jak się logować do aplikacji i dlaczego autor nie zna odpowiedzi poprawnej

Wszyscy jesteśmy leniwi prawda? Ale czy czasem nie warto wyjść ponad to i jednak nie korzystać z najłatwiejszej opcji? No i czy “warto” to odpowiednie słowo?

Bardzo lubię funkcję “Log me with…” czyli logowanie facebookiem, googlem, githubem… whatever. Klikam zaloguj jakimś systemem, czasem dochodzi do tego jakieś potwierdzenie z appki na telefonie i gotowe. ALE ma to swoje wady i swoje zalety. I o tym dzisiaj kilka słów.

Przede wszystkim wada – bezpieczeństwo. Co mianowicie się stanie gdy wrzucimy mema z kotkiem hitlerkiem i facebook zablokuje nam konto którym logujemy się do innego serwisu? Albo google postanowi że da nam bana bo mamy konto na nieprawdziwe dane bo przecież nikt nie ma na nazwisko tak jak inni mają na imię (Nie żebym się nabijał z Jakuba i jego przygód z weryfikacją konta Google). Albo Microsoft postanowi usunąć nam konto na GitHubie bo usunęliśmy SWOJE repozytorium z kodem… bo może to zrobić.

No właśnie, utrata konta Google którym logujemy się do jakiegoś serwisu… to trudny moment bo jak niby mamy przekonać support jakiejś trzeciej firmy że my to my… albo przynajmniej nakłonić ich by łaskawie skoro nie możemy się zalogować… odpięli naszą kartę od ich systemu żeby nie schodziły nam płatności za coś do czego nie można się zalogować?

Ciekawy przypadek zresztą to by był…

No dobra bezpieczeństwo jest tu wadą. To pójdźmy w zaletę numer jeden: bezpieczeństwo

Wiele serwisów daje nam wybór przy logowaniu: Platformy zewnętrzne ALBO login+hasło. Fajnie, ale hasło zawsze jest “łamalne”, a zew platformy w przeciwieństwie do większości internetu wspierają (lub wymagają) uwierzytelniania wieloskładnikowego co zwiększa nasze bezpieczeństwo. Możemy użyć telefonu, appki na telefonie, klucza FIDO czy miliona innych ciekawych rozwiązań których forum przyjaciół koziołka matołka nie będzie samo wdrażać przecież. Bo i po co…

To co? Dodatkowe “bardzo grzeczne” konto w G/MS/Fb/WTF służące tylko do logowania? Takie które nie wysyła, nie odbiera, nie publikuje… ale przypomnę że nieużywane konta mogą wg regulaminów być usuwane, a samo logowanie to nie używanie najczęściej. Stosowanie równolegle kilku kont np MS+G w jednym serwisie do jednego konta często jest niemożliwe. Musisz wybrać ulubionego dostawcę bezpieczeństwa i się go trzymać bo nawet migracja jest upierdliwa i wymaga kontaktu z supportem.

Czyli jak?

Ja nie mam odpowiedzi