Jak działa logowanie przez Google?
Polega na tym, że strona internetowa (trzymajmy się tego przykładu Allegro) korzysta z naszego istniejącego konta Google (Gmail/YouTube itd.) do uwierzytelnienia tożsamości. W praktyce wygląda to następująco: wybieramy na danym serwisie opcję „Zaloguj przez Google”, po czym następuje przekierowanie do strony logowania Google (lub wyskakuje oficjalne okno Google). Tam wpisujemy swoje dane logowania do konta Google bezpośrednio u Google, nie na stronie docelowej.
To przykładowe Allegro nie otrzymuje naszego hasła Google ani danych logowania - to Google jedynie potwierdza serwisowi, kim jesteśmy. Technicznie odbywa się to przez bezpieczny token zgodny ze standardem OAuth 2.0, podobnie jak zresztą w przypadku logowania przez Facebooka czy Apple, bo to też popularne usługi. Grafika tytułowa tego tekstu pochodzi z popularnego serwisu OLX i jest przykładem tego jak platforma ta wdrożyła funkcje tego typu.
Po pomyślnym uwierzytelnieniu Google przekazuje do serwisu tylko podstawowe informacje z naszego profilu: adres e-mail konta, nazwę (imię i nazwisko) oraz zdjęcie profilowe. Są to dane niezbędne do założenia konta w danej aplikacji lub na stronie. Żadne poufne dane logowania (jak hasło) nie są udostępniane stronie trzeciej. W niektórych przypadkach aplikacja może poprosić nas o dodatkowe uprawnienia do konta Google – np. dostęp do kontaktów czy Gmaila – ale zawsze musimy wyrazić na to osobną zgodę i jesteśmy o tym informowani. Ważne: warto zwracać uwagę na komunikaty podczas logowania i nie przyznawać więcej dostępu, niż to konieczne.
W efekcie logowanie przez Google tworzy nam konto na stronie X bez potrzeby ustawiania nowego hasła dla tej strony. Zamiast tradycyjnego loginu i hasła używamy danych Google, co dla użytkownika sprowadza się często do jednego kliknięcia. To przecież ogromna wygoda i oszczędność czasu.
Takie rozwiązanie poprawia nasze cyberbezpieczeństwo
Wielu internautów popełnia błąd używania tego samego hasła na wielu stronach albo ustawiania prostych, słabych haseł (bo łatwiej zapamiętać). Logując się przez Google, eliminujemy ten problem, bo ograniczamy liczbę haseł w użyciu. Konto Google z reguły ma bardzo dobre zabezpieczenia oferowane przez firmę z ogromnym doświadczeniem w ochronie danych. Eksperci nie bez powodu uważają, że jedną z najbezpieczniejszych skrzynek e-mail świata jest Gmail.
Większość małych stron nie ma tak rozbudowanych zabezpieczeń jak Google – jeśli zakładamy konto tradycyjnie na mniej znanej witrynie, istnieje większe ryzyko, że jej system ochrony danych zostanie złamany. A jeśli na dodatek nasze konto Google jest zabezpieczone dwuskładnikowym uwierzytelnieniem (2FA) – np. kodem SMS, aplikacją autoryzującą czy kluczem sprzętowym – to każde logowanie przez Google automatycznie korzysta z tej ochrony.
Ogromnym atutem jest brak hasła przechowywanego na obcej stronie. Przy logowaniu Google serwis zewnętrzny nie przechowuje naszego hasła (bo go nigdy nie dostaje). To oznacza, że nawet jeśli ta strona padnie ofiarą wycieku danych lub ataku hakerskiego, nasze główne dane logowania nie zostaną skradzione. W bazie takiej strony widnieje najwyżej nasz identyfikator Google i adres e-mail.
W ustawieniach konta Google można w każdej chwili sprawdzić listę połączonych aplikacji i ewentualnie cofnąć dostęp wybranym serwisom. Dzięki temu mamy kontrolę.
Czy logowanie się przez Google jest bezpieczne?
Decydując się na logowanie przez Google, uzależniamy dostęp do wielu usług od jednego konta – naszego konta Google. To oznacza, że jeśli z tym kontem coś się stanie, konsekwencje odczujemy wszędzie. Przykładowo, awaria usług Google (choć rzadkie, to przecież zdarzały się globalne problemy techniczne) uniemozliwi nam zalogowanie się do powiązanych serwisów, dopóki problem nie zostanie rozwiązany.
Jeszcze poważniejszy scenariusz to blokada lub utrata konta Google – jeśli np. nasz profil Google zostanie omyłkowo zablokowany, zhakowany albo Google go zamknie, tracimy dostęp do wszystkich powiązanych kont na innych stronach. Niestety zdarzały się przypadki, że Google blokował użytkownikom konta (np. z powodu podejrzenia naruszenia regulaminu) i odzyskanie dostępu bywa trudne.
Jeśli ktoś wykradnie nam hasło do Google i przejmie to konto, automatycznie zyska dostęp do wszystkich stron, gdzie się nim logujemy. W praktyce taki intruz mógłby np. zalogować się na nasz profil na Allegro, Spotify – wszędzie tam, gdzie użyliśmy „Zaloguj przez Google”. To ogromne ryzyko, dlatego musimy bardzo dobrze chronić konto Google (silne hasło, unikalne i koniecznie dwustopniowe uwierzytelnianie).
Ta kwestia nie zaprząta aż tak mojej uwagi, bo moloch pokroju Google raczej nie analizuje z przejęciem co u Filipa Dąbrowskiego. Ale z rzetelności warto podkreślić: Google zyskuje wiedzę, z jakich usług korzystamy – każde powiązanie konta Google ze stroną X jest odnotowane na naszym koncie. Dla osób ceniących anonimowość i minimalizację śladu cyfrowego może to być niepożądane.
Sam Google deklaruje co prawda, że nie wykorzystuje danych z funkcji „Zaloguj się przez Google” do celów reklamowych, a jedynie bezpieczeństwa, jednak wiele osób ma ograniczone zaufanie do takich zapewnień.
Google podkreśla, by korzystać z logowania przez konto tylko w przypadku zaufanych stron i aplikacji. Sama technologia jest bezpieczna, ale słaby punkt może tkwić po stronie serwisu trzeciego. Jeśli trafimy na podejrzaną lub złośliwą stronę, może ona próbować wyłudzić więcej danych niż potrzeba albo wykorzystać naszą ufność. Bywały sytuacje, że aplikacje prosiły użytkowników o dostęp np. do ich Gmaila i ci bezwiednie się zgadzali – w ten sposób deweloperzy uzyskali wgląd w prywatne e-maile. To nie była luka w zabezpieczeniach, tylko brak ostrożności ze strony użytkowników.
Zaloguj się przez Google a tradycyjne hasło - co lepsze?
W tradycyjnym modelu dla każdego serwisu tworzymy osobne konto z loginem (najczęściej e-mailem) i hasłem. Idealna praktyka bezpieczeństwa nakazuje, by każde takie hasło było unikalne i silne – wtedy wyciek z jednej strony nie zagraża innym naszym kontom. Jeśli tak robimy i dodatkowo w ważniejszych usługach włączamy uwierzytelnianie dwuskładnikowe, to rozdzielenie kont może być bardzo bezpieczne. Atakujący musiałby złamać każde konto z osobna, a ewentualne włamanie do małej strony X nie daje mu dostępu do 30 innych stron.
Rzeczywistość bywa jednak inna. Większość ludzi nie stosuje unikalnych, silnych haseł wszędzie – bo to trudne do ogarnięcia. W praktyce wiele osób używa paru ulubionych haseł na zmianę albo stosuje proste wzorce, które łatwo złamać. Gdy nastąpi wyciek z jakiegoś sklepu czy forum, kombinacja e-mail + hasło szybko trafia w ręce cyberprzestępców, którzy wypróbowują ją na innych popularnych serwisach. W takim wypadku logowanie przez Google jest paradoksalnie bezpieczniejsze, bo użytkownik nie tworzy łatwych haseł ani ich nie powiela. Oczywiście powtarzamy – warunkiem jest, by to jedno hasło Google było silne i strzeżone jak oko w głowie.
Menedżery haseł jako alternatywa
Skoro utrzymanie wielu unikalnych haseł jest tak ważne, ale jednocześnie trudne, z pomocą przychodzą menedżery haseł. To specjalne aplikacje (np. 1Password, Proton Pass, Bitwarden czy nawet wbudowany Menedżer haseł Google w Chrome, choć ten ostatni akurat nie jest przesadnie bezpiecznym rozwiązaniem), które bezpiecznie przechowują nasze hasła w zaszyfrowanej formie. Dzięki nim możemy mieć dziesiątki różnych, bardzo silnych haseł, a sami musimy pamiętać tylko jedno – hasło główne do menedżera. Podczas logowania menedżer automatycznie wstawia za nas zapisane dane, więc wygoda znacznie rośnie. Mało tego, dobry menedżer sam generuje losowe hasła i pilnuje, by się nie powtarzały, co rozwiązuje problem ludzkiego błędu.
Zaletą menedżera jest jednak to, że zachowujemy zalety rozdzielenia kont, a jednocześnie ułatwiamy sobie życie. Wciąż każde konto ma swoje unikalne hasło (więc jedno włamanie nie kompromituje reszty), ale nie musimy ich pamiętać ani notować – aplikacja robi to za nas.
Czy "zaloguj się z Google" jest bezpieczne?
Tak, pod warunkiem że korzystamy z niego świadomie.
Alternatywą lub uzupełnieniem dla logowania Google może być menedżer haseł, który pozwala zachować unikalne hasła bez zapamiętywania ich. Najlepiej samemu ocenić, co nam bardziej odpowiada. Jeśli cenimy maksymalne bezpieczeństwo i prywatność, rozważmy menedżera i tradycyjne loginy. Jeśli stawiamy na wygodę, a jednocześnie dbamy o solidne zabezpieczenie konta Google, logowanie przez Google jest bezpieczne i zdecydowanie usprawni korzystanie z wielu usług online.
