Social Login
Social Login이란?
소셜 로그인 은 Facebook , Twitter 또는 Google 과 같은 소셜 네트워킹 서비스 의 기존 정보를 사용하여 해당 웹사이트에 대한 새 로그인 계정을 만드는 대신 타사 웹사이트에 로그인하는 단일 로그인 형태이다. 최종 사용자의 로그인을 단순화하고 웹 개발자에게 점점 더 신뢰할 수 있는 인구 통계 정보를 제공하도록 설계되었다.
소셜 로그인 작동 방식
소셜 로그인은 일반적으로 플러그인 이나 위젯 을 사용하여 하나 이상의 소셜 네트워킹 서비스에서 웹사이트로 계정을 연결한다 . 원하는 소셜 네트워킹 서비스를 선택함으로써 사용자는 해당 서비스에 대한 로그인을 사용하여 웹사이트에 로그인하기만 하면 된다. 이는 차례로 최종 사용자가 여러 전자 상거래 에 대한 로그인 정보를 기억할 필요성을 무효화한다. 소셜 네트워킹 서비스가 제공하는 균일한 인구 통계 정보를 사이트 소유자에게 제공하면서 다른 웹사이트. 소셜 로그인을 제공하는 많은 사이트는 원하거나 호환되는 소셜 네트워킹 서비스 계정이 없는 사용자(따라서 웹사이트 계정 생성에서 제외됨)를 위해 보다 전통적인 온라인 등록도 제공한다.
신청
소셜 로그인은 OpenID 또는 SAML 과 같은 표준을 사용하는 인증 시스템으로 엄격하게 구현할 수 있다 . 사용자에게 소셜 기능을 제공하는 소비자 웹사이트의 경우 소셜 로그인은 종종 OAuth 표준을 사용하여 구현된다. OAuth는 일반적으로 인증과 함께 사용되어 타사 애플리케이션에 " 세션 토큰 "을 부여하여 사용자를 대신하여 공급자에게 API 호출을 할 수 있도록 하는 보안 인증 프로토콜이다. 이러한 방식으로 소셜 로그인을 사용하는 사이트는 일반적으로 댓글, 공유, 반응 및 게임 화와 같은 소셜 기능을 제공한다 .
소셜 로그인은 기업 웹사이트로 확장될 수 있지만 대부분의 소셜 네트워크와 소비자 기반 ID 제공자는 자기 주장 ID를 허용한다. 이러한 이유로 소셜 로그인은 일반적으로 은행이나 건강과 같은 엄격하고 보안이 높은 애플리케이션에 사용되지 않는다.
Social Login의 장점
- 대상 콘텐츠 - 웹 사이트는 개인화된 콘텐츠를 사용자에게 대상으로 지정하기 위해 프로필 및 소셜 그래프 데이터를 얻을 수 있습니다. 여기에는 이름, 이메일, 고향, 관심사, 활동 및 친구와 같은 정보가 포함됩니다. 그러나 이것은 개인 정보 보호 문제를 일으킬 수 있으며 인터넷에서 사용할 수 있는 보기와 옵션의 다양성을 좁힐 수 있습니다.
다중 ID - 사용자는 다중 소셜 ID로 웹사이트에 로그인하여 온라인 ID를 더 잘 제어할 수 있습니다. - 등록 데이터 - 많은 웹사이트는 사용자 가 웹 양식에 PII (개인 식별 정보)를 수동으로 입력하도록 하는 대신 소셜 로그인에서 반환된 프로필 데이터를 사용합니다 . 이는 잠재적으로 등록 또는 등록 프로세스의 속도를 높일 수 있습니다.
- 사전 검증된 이메일 - Google 및 Yahoo! 와 같은 이메일을 지원하는 ID 제공업체 사용자의 이메일 주소를 제3자 웹사이트로 반환하여 등록 과정에서 사용자가 조작된 이메일 주소를 제공하는 것을 방지할 수 있습니다.
- 계정 연결 - 인증을 위해 소셜 로그인을 사용할 수 있기 때문에 많은 웹사이트에서 기존 사용자가 강제로 재등록하지 않고도 기존 사이트 계정을 소셜 로그인 계정과 연결할 수 있습니다.
Social Login의 단점
Facebook과 같은 플랫폼을 통해 소셜 로그인을 활용하면 생산성을 이유로 소셜 네트워킹 서비스 를 차단하는 특정 도서관, 학교 또는 직장 내에서 의도치 않게 제3자 웹사이트를 쓸모없게 만들 수 있다. 또한 제3자 웹사이트가 적극적으로 검열되지 않을 수 있지만 사용자의 소셜 로그인이 차단되면 효과적으로 차단되는 중국 및 " 황금 방패 프로젝트 " 와 같이 검열 체제 가 활성화된 국가에서 어려움을 겪을 수 있다.
소셜 로그인 도구를 사용하면 몇 가지 다른 위험이 있다. 공격자가 정교한 수단을 사용하여 이러한 인증 메커니즘을 해킹하기 때문에 이러한 로그인은 사기 및 계정 남용의 새로운 영역이기도 하다. 이로 인해 사기성 계정 생성이 원치 않게 증가하거나 더 나빠질 수 있다. 공격자는 합법적인 사용자의 소셜 미디어 계정 자격 증명을 성공적으로 훔친다. 소셜 미디어 계정이 악용되는 한 가지 방법은 사용자가 모든 웹사이트에 대한 읽기 및 쓰기 권한을 요청하는 악성 브라우저 확장 프로그램을 다운로드하도록 유인되는 경우입니다. 이러한 사용자는 일반적으로 설치 후 약 1주일 후에 확장 프로그램이 명령 및 제어 사이트에서 백그라운드 자바스크립트 악성코드를 다운로드하여 사용자 브라우저에서 실행한다는 사실을 알지 못합니다. 그때부터 이러한 맬웨어에 감염된 브라우저는 원격으로 효과적으로 제어할 수 있습니다. 이 확장 프로그램은 사용자가 소셜 미디어나 다른 온라인 계정에 로그인할 때까지 기다립니다.
보안
2012년 3월 연구 논문 은 소셜 로그인 메커니즘의 보안에 대한 광범위한 연구를 보고했다. 저자는 OpenID (Google ID 및 PayPal Access 포함), Facebook , Janrain , Freelancer , FarmVille , Sears.com 등과 같은 유명 ID 제공업체 및 신뢰 당사자 웹사이트에서 8가지 심각한 논리 결함을 발견했다 . 연구원이 ID 제공업체에 정보를 제공했기 때문이다. 결함 발견의 공개 발표 이전에 서비스에 의존했던 제3자 웹사이트, 취약점이 수정되었으며 보고된 보안 위반 사례가 없다. 이 연구는 SSO 배포의 전반적인 보안 품질이 우려되는 것으로 결론지었다.
또한 소셜 로그인은 종종 안전하지 않은 방식으로 구현된다. 이 경우 사용자는 식별자를 기밀로 처리하기 위해 이 기능을 구현한 모든 애플리케이션을 신뢰해야 한다.
또한, 많은 웹사이트에서 운영되는 계정에 의존함으로써 소셜 로그인은 단일 실패 지점을 생성하여 계정이 해킹당할 경우 발생할 수 있는 피해를 상당히 증가시킨다.
