通过QQ、微信、微博等应用授权,授权后第三方网站仅能看到您的昵称、性别、头像等公开信息(不包括账户ID和其他个人信息),是很安全的。对于一些小网站、小论坛,鼓励大家使用第三方验证的方式登录,原因除了免去注册步骤之外还有就是安全性的考虑:很多小网站没办法过多注意用户的账号安全的问题,所以选择大公司的第三方验证反倒能够保证安全,能有效避免“撞库”问题。
通过扫QQ、微信的验证二维码登录的,因为鉴权完全是QQ、微信完成的,QQ、微信鉴权后,拉起第三方应用或者重定向到第三方网站,完全不会泄露用户信息,如果是第三方的APP或者网页要求直接输入QQ、微信的账户和密码,由第三方用账户密码向QQ、微信发起登录请求,那情况是不一样的,因为第三方的APP或者网页完全获取了你的账号和密码,甚至可以保存到自己的数据库。这是要特别小心的,一切要求你输入QQ、微信密码的第三方的APP或者网页都不能相信!要特别小心钓鱼网页,有些钓鱼网页伪装成和QQ完全一模一样的,登录界面也一模一样,你不小心以为是QQ,用QQ号和密码去登陆,就悲剧了。利用好手机扫码和授权登录,能有效防止出现这种问题。
用微信 QQ 之类的登录第三方 App ,一般采用的是「OAuth 2.0」的开放协议,整个验证的过程如下:
·当你想在网站 A 使用 QQ 登录的时候网站 A 会给 QQ 的服务器发送一个请求
·QQ 响应
·你在 QQ 的登录页面输入账号密码
·由 QQ 服务器验证通过之后给网站 A 一个通过反馈
·你就登录上了网站 A
可以看到,你涉及到具体账号密码的输入操作是在 QQ 网页上完成的,整个的验证过程也基本上和 A 网站没有关系,所以这种登录方式足够安全,也是 OAuth 协议发挥的作用。
但是如果在第三方授权登录的时候,有些网站会向你索取「地理位置」、「好友动态」等等看似必要,但其实很隐私的信息的时候,我们就要小心了,需要认真阅读协议,谨慎授权。近期微信新增的“新建用户信息”功能,在最新版的微信中,通过扫码登录第三方网站时,会出现新建个人信息登录的界面,微信会自动生成一组头像和昵称,可以用来登录第三方软件,可以帮助用户新建一个“假身份”,确保真实信息不被泄露。
为了降低个人信息泄露的风险,用户应尽量减少个人信息暴露渠道,比如某些App在让用户使用QQ、微信、微博登录后,还要求用户绑定手机号,将手机号与QQ、微信、微博的账号进行对应,面对这种情况,用户应该减少个人信息暴露量,比如只使用手机号登录,避免让这些App获取好友关系等深层次内容。
当然除了远离流氓厂商之外,保护好自己的账号安全也是很重要的。作为普通用户,我们可以定期检查账号登录的信息,将一些许久没用或者已经倒闭的网站或应用服务去除授权登录的权限。接下来给大家介绍一下你可能会常用的第三方授权登录账号的解除授权方式。
大多数软件都是在:设置 → 「安全/授权中心」里面
微信:设置 → 隐私 → 授权管理 → 右上角「管理」 → 删除
新浪微博(网页版):个人主页 → 管理中心 → 我的应用 → 我使用过的 →删除
支付宝:我的 → 设置 → 账号管理 → 账号授权 → 删除
芝麻信用:我的 → 芝麻信用 → 信用管理 → 授权记录 →解除授权
授权登录这个功能诞生于安全、发展于快捷,但是如果不加留意很可能被无良厂商利用,产生风险。定期检查清理第三方授权登录,并且用户应仔细确认所使用的App到底要从QQ、微信、微博等平台获取什么权限,如果要获取好友关系、手机号、身份证号等敏感信息,则最好使用其他方式登录。此外,对于互联网行为,用户可使用个人信息分级的方式,如果面临必须留下联系电话、邮箱等情况,可以通过使用副卡、新邮箱等方式,与个人真实身份做隔离。
