Revocar el consentimiento en proveedores de identidad
Si estás un poco preocupado por la privacidad y la seguridad en general, es posible que te hayas hecho estas preguntas en algún momento:
En este post vamos a resumir cómo gestionar y revocar el consentimiento que proporcionamos a aplicaciones de terceros en los proveedores de identidad más importantes. Si has caído en un engaño, están suplantando tu identidad y lo que te interesa es desactivar esa aplicación en Facebook o Twitter, puedes saltar directamente al apartado correspondiente (Facebook, Google, Windows Live ID, Twitter, Yahoo *actualización*). Si quieres entender un poco mejor cómo hemos llegado hasta aquí, sigue leyendo.
Hoy en día los servicios de correo y las redes sociales más importantes de internet han evolucionado para convertirse en proveedores de identidad que te permiten acceder con tu cuenta existente a sitios web de terceros. Al hacerlo hay un proceso de autorización mediante el cual le otorgamos a ese sitio web el acceso a nuestros datos personales proporcionados por el proveedor de identidad. Si no lo sabes a estas alturas, deberías prestar más atención a dónde haces click en Internet :-P
Si disponemos de una cuenta en Windows Live, Google o Yahoo, podemos utilizarla para entrar en muchos sitios que soportan el estándar OpenID o la tecnología Windows Live ID (el antiguo Passport). Un gran avance para el usuario, ya que no necesitamos crear y gestionar otro nombre de usuario y contraseña más (porque nadie reutiliza las contraseñas, ¿verdad? ;-))
También se utiliza este tipo de autorización o consentimiento por ejemplo para permitir el acceso a nuestra cuenta en el caso de clientes externos de Twitter, mediante el protocolo OAuth. En este caso la ventaja, como ya explicamos en un post anterior, es que las aplicaciones o los sitios web de terceros no tienen en ningún momento acceso a nuestras credenciales.
Quizá la tecnología de este tipo más extendida actualmente sea Facebook Connect, que está un poco entre medias de los dos casos de uso anteriores. Cuando hacemos "Login con Facebook" en una página web de terceros, normalmente autorizamos a ese sitio a acceder a nuestra información, pero también a escribir en nuestro muro o en el de nuestros amigos en nuestro nombre.
En ambos casos otro de los avances desde el punto de vista de seguridad es que en teoría podemos, en cualquier momento, revocar el consentimiento otorgado, sin necesidad de cambiar la contraseña. Esto contribuye en gran medida a la llamada "agilidad en la confianza" (o trust agility), un concepto que define el gran Moxie Marlinspike en su blog y que se me antoja imprescindible en el panorama actual de Internet.
Facebook
Al ser la red social más popular y en la que han surgido más discusiones relativas a la seguridad, ya existen guías sobre privacidad que hacen mención a la gestión de los permisos de las aplicaciones para acceder a tu perfil, como la de la Oficina de Seguridad del Internauta. Aún a riesgo de resultar repetitivos, ahí van las instrucciones en forma muy práctica.
Google
Para editar las opciones en nuestra cuenta de Google, tenemos que acceder a la página de configuración de la cuenta desde cualquier servicio de la empresa (Gmail, Google Calendar, o el buscador mismo, siempre y cuando hayamos iniciado sesión.
Twitter
En el caso de Twitter es bastante sencillo revocar el acceso a los clientes o los sitios web de terceros:
Bueno, espero que os resulte útil para tener un poco más controlado quién y cómo acceden a vuestra información.
- ¿Qué aplicaciones o sitios web tienen acceso a mis datos personales en Facebook?
- ¿Quién puede ver mis contactos en Gmail o Windows Live/Hotmail (y enviarles correos en mi nombre)?
- ¿Quién puede publicar actualizaciones en Twitter, Facebook o Windows Live en mi nombre?
En este post vamos a resumir cómo gestionar y revocar el consentimiento que proporcionamos a aplicaciones de terceros en los proveedores de identidad más importantes. Si has caído en un engaño, están suplantando tu identidad y lo que te interesa es desactivar esa aplicación en Facebook o Twitter, puedes saltar directamente al apartado correspondiente (Facebook, Google, Windows Live ID, Twitter, Yahoo *actualización*). Si quieres entender un poco mejor cómo hemos llegado hasta aquí, sigue leyendo.
Hoy en día los servicios de correo y las redes sociales más importantes de internet han evolucionado para convertirse en proveedores de identidad que te permiten acceder con tu cuenta existente a sitios web de terceros. Al hacerlo hay un proceso de autorización mediante el cual le otorgamos a ese sitio web el acceso a nuestros datos personales proporcionados por el proveedor de identidad. Si no lo sabes a estas alturas, deberías prestar más atención a dónde haces click en Internet :-P
Si disponemos de una cuenta en Windows Live, Google o Yahoo, podemos utilizarla para entrar en muchos sitios que soportan el estándar OpenID o la tecnología Windows Live ID (el antiguo Passport). Un gran avance para el usuario, ya que no necesitamos crear y gestionar otro nombre de usuario y contraseña más (porque nadie reutiliza las contraseñas, ¿verdad? ;-))
También se utiliza este tipo de autorización o consentimiento por ejemplo para permitir el acceso a nuestra cuenta en el caso de clientes externos de Twitter, mediante el protocolo OAuth. En este caso la ventaja, como ya explicamos en un post anterior, es que las aplicaciones o los sitios web de terceros no tienen en ningún momento acceso a nuestras credenciales.
Quizá la tecnología de este tipo más extendida actualmente sea Facebook Connect, que está un poco entre medias de los dos casos de uso anteriores. Cuando hacemos "Login con Facebook" en una página web de terceros, normalmente autorizamos a ese sitio a acceder a nuestra información, pero también a escribir en nuestro muro o en el de nuestros amigos en nuestro nombre.
En ambos casos otro de los avances desde el punto de vista de seguridad es que en teoría podemos, en cualquier momento, revocar el consentimiento otorgado, sin necesidad de cambiar la contraseña. Esto contribuye en gran medida a la llamada "agilidad en la confianza" (o trust agility), un concepto que define el gran Moxie Marlinspike en su blog y que se me antoja imprescindible en el panorama actual de Internet.
- Accede a tu cuenta en Facebook.
- En la esquina superior derecha, entra en Cuenta->Configuración de la privacidad.
- Abajo a la izquierda, donde pone "Aplicaciones y sitios web", pulsa "Editar tu configuración".
- En "Aplicaciones que utilizas", pulsa "Editar la configuración".
- Verás una lista de las aplicaciones que tienen algún permiso de acceso a tu cuenta. Puedes revocar el acceso totalmente a una determinada aplicación pulsando en la "X" correspondiente. Pero lo realmente interesante aparece cuando pulsas en "Editar la configuración".
Aquí podemos ver los diferentes permisos de los que dispone la aplicación, que si son opcionales se pueden eliminar individualmente. Esto es especialmente interesante porque esta granularidad no la tenemos cuando las aplicaciones solicitan autorización por primera vez. La mala noticia es que normalmente las aplicaciones ponen como "Obligatorios" más datos de los que realmente necesitan para funcionar. Queda a juicio de cada uno si merece la pena tenerlas instaladas o no...
Otro dato interesante es la fecha del último acceso a los datos. Si vemos los detalles, podemos controlar cuándo y a qué datos ha accedido la aplicación.
- Acceder a "Configuración de cuenta" en la esquina superior derecha, pulsando sobre nuestra dirección y seleccionando la opción en el desplegable. Algunos servicios antiguos como Blogger no han actualizado su plantilla, y hay que seleccionar directamente "My Account".
- Una vez que estamos en nuestro perfil de "Google cuentas" (o Accounts en inglés), seleccionamos la opción relativa a la "Autorizacón de aplicaciones y de sitios":
- En este apartado podemos ver qué permisos hemos otorgado a otras herramientas o páginas web, y revocarlos en caso de que ya no sean necesarios. A diferencia de Facebook, aquí sólo se pueden revocar los permisos de forma global para cada aplicación, ya sea nuestro acceso mediante la cuenta de Google a las mismas, o el acceso de los sitios de terceros a nuestros datos en los servicios de Google.
Una funcionalidad interesante y que no creo que mucha gente conozca son las Contraseñas específicas de aplicación. Actualmente son sólo para utilizarlas con aplicaciones que no soporten la "Verificación en dos pasos" (autenticación de doble factor) cuando la habéis activado para vuestra cuenta. No obstante, creo que podría ser una opción interesante si Google la habilitase para los usuarios que utilizan un solo factor de autenticación.
Es posible que algún sitio o aplicación pida nuestro nombre de usuario y contraseña de Google, Gmail etc. con un fin legítimo (ojo al phishing!) como puede ser importar vuestros contactos o eventos de calendario. En este caso, en lugar de darle nuestra contraseña normal, crearíamos una contraseña que sólo utilizará esa aplicación, con lo que podemos revocar el acceso cuando queramos sin tener que cambiar la contraseña o afectar a otros servicios.
Windows Live ID
Microsoft con su Windows Live ID, antiguamente conocido como Passport, también ofrece la posibilidad de acceder a sitios web de terceros utilizando la identidad de Windows Live. La página para gestionar los permisos está un poco escondida, pero aquí están los pasos necesarios para llegar hasta ella:- Entra en tu cuenta de Windows Live (Hotmail).
- En la página principal (o en cualquier otra), en la esquina superior derecha, pulsa sobre tu nombre, y en el menú desplegable, elige la opción "Configuración de privacidad".
- En la pantalla de privacidad, tenemos que activar la visualización de las opciones avanzadas mediante el enlace que aparece al final de la página.
- Entre las opciones avanzadas aparece la de "Ver y administrar los servicios que tienes conectados a tu Windows Live ID".
- En esta pantalla podemos ver qué permisos de acceso tienen las aplicaciones y podemos revocarlos de forma individual.
- Acceder a nuestra cuenta en Twitter
- En la esquina superior derecha, desplegar el menú de nuestra cuenta y pulsar en "Configuración".
- En la pantalla de configuración, elegir la pestaña "Aplicaciones"
- En esta pantalla podemos ver los permisos que tiene cada aplicación que hayamos autorizado (sólo lectura o lectura y escritura, fecha) y eliminar la autorización para cada aplicación de forma individual.
Yahoo
La página para ver y eliminar los sitios que tienen acceso a vuestros datos mediante OpenID y Attribute Exchange no está muy lejos en número de clicks, pero me costó un poco encontrarla por lo confuso de la gestión de cuenta vs. perfil de Yahoo.- Accede con tu cuenta en www.yahoo.com
- En la parte derecha, pulsa sobre tu nombre y en el desplegable, en la opción "Mi cuenta".
- Vuelve a introducir tu contraseña si te lo solicitan, y en la sección "Inicio de sesión y seguridad", pincha en el enlace "Gestiona las aplicaciones y sitios web de terceros".
- En la página correspondiente, si pulsas sobre el nombre de una aplicación, podrás ver los permisos que tiene y revocarlos de forma global para cada una de ellas.
Etiquetas: consent management, facebook, google, hotmail, oauth, openid, revoke, twitter
entrada de Marcos Orallo a las
22:00
0 comentarios:
Publicar un comentario
Suscribirse a Enviar comentarios [Atom]
<< Inicio