長久以來,隨著我們使用的網絡服務越來越多,每一次註冊時都要不厭其煩地填寫各種個人信息甚至已經變成了一項單純的體力勞動。與此同時,每個人手中的各類網際網路帳號數量自然也是水漲船高,想要準確、安全的記憶和儲存這些關乎各種個人隱私的數據也逐漸成為了一門生意,近期更是湧現了比如通行密鑰(Passkey)這樣的新標準,嘗試從新的角度來決解這個繁雜的註冊和登錄問題。
不過比起新興的 Passkey 規範,針對這個帳號問題,其實還有一個更為我們所熟知的替代品——第三方帳號授權登錄。雖然你可能沒有聽說過 OAuth 2.0 ,但這個基於 2006 年成立的 OAuth 聯盟提出的授權標準的的確確已經陪伴了我們十年了——上至 Sign in with Apple、下到微信登錄小程序,裡面其實都能看到 OAuth 協議的影子,並且我們每個人都已經在或多或少的使用它了。
使用這些主流的軟體帳號體系進行授權登錄,以及直接關聯創建帳號,對於亟需新用戶的中小規模服務商來說是一筆划算的買賣,最顯著的原因莫過於這樣可以極大的簡化註冊流程、變相提升用戶轉化率。
但是對於我們這樣的終端用戶而言,授權登錄卻更像是一把雙刃劍:一方面,簡化的註冊流程的確提高了我們的效率,不必再滿瀏覽器的尋找還沒有被自己用來註冊過的郵箱;但是另一方面,快捷無感的註冊流程也為個人隱私泄露埋下了隱患,畢竟這裡原本就是在《使用協議》和《授權協議》里玩文字遊戲的絕佳場所。在很多情況下,我們其實是不清楚自己究竟授權出去了哪些權利的。
正因如此,能夠及時且透徹地了解自己做過哪些授權登錄,究竟授權了哪些信息和權限,並且最重要的——了解怎樣撤銷授權實際上是保護個人信息安全的重中之重。
國外御三家
▍Apple
在個人隱私保護方面,Apple 一直是動作比較積極的,甚至前一陣還在投放過甄子丹老師領銜主演的廣告片宣傳自己的隱私保護。而伴隨著 2019 年 Sign in with Apple 功能的推出,Apple 正式為 Apple ID 拓展了第三方代理登錄的功能,並且得益於 Apple 強大的生態號召力,為 Apple ID 登錄提供支持軟體和網站的範圍在過去四年間迅速擴大——更難得的是,很多國產軟體也相繼提供了支持。
與此同時,Apple 為 Sign in with Apple 提供了非常透明的管理方式。除了在已經登錄了 Apple ID 的設備上可以在帳號管理頁面中的「登錄與安全」里調整之外,也可以直接在 appleid.apple.com 上面使用網頁端管理。對於每一個使用了 Sign in with Apple 註冊和登錄的網絡服務,Apple 會記錄授權登錄的時間、執行郵件轉發的虛擬郵箱,以及非常明確的中止授權(解綁)按鈕:
取決於系統版本,這個管理窗口的樣式也可能有一些細微差別
相比起 Sign in with Apple ,Google 自己的授權登錄功能 Sign in with Google 的知名度在國內則顯而易見的不是很高。但如果你正在使用 Twitter(X)、Pinterest、Medium 之類的平台的話,在創建新帳號的時候就可以看到使用 Google 帳號的選項了:
與 Sign in with Apple 略有不同的是,除了直接通過 Google 帳號郵箱創建帳號之外,Sign in with Google 在適配的 app 或者網站中也可以擴展到提供 Google Drive 或者 Google 相冊的訪問。
同時,它的使用場景也不僅僅是註冊新帳號,許多 Play Store 上面的遊戲會選擇接入 Google Play Games 服務、直接將 Google 帳號作為遊戲存檔同步和獎盃系統的依據(類似依靠 iCloud 同步的 Game Center )——換句話說,Sign in with Google 的被授權登錄方能夠接觸到的帳號信息相比 Apple 多了不少。
同樣的,想要檢查和管理這些帳號授權的話,Google 也提供了 Android 設備中的 Google 帳號管理和網頁兩種入口:在 myaccount.google.com中進入「數據與隱私」介面,就可以找到所有你授權過的第三方 app 與服務(Your connections to third-party apps and services),點擊進入詳情之後就可以看到它們獲得了哪些授權、獲得日期、這些權限的具體內容,並且可以一鍵撤銷。
比如這個訂閱管理軟體就被授權使用 Google Drive 備份和同步
▍Microsoft
比起 Apple 和 Google ,微軟帳號的第三方授權使用場景不是那麼豐富,反而是在通過第三方郵件客戶端中登錄 Outlook 郵箱、或者一些可以關聯到 OneNote 的 RSS 客戶端或是連接到 OneDrive 的第三方應用使用的比較多。對於微軟帳號,最方便的管理方式就是直接在微軟帳號的網頁管理介面上操作了。
在曾經授權過的 app 的介面里,微軟會列出你授權使用的具體信息、授權時間和最後使用的時間,以及撤銷授權的開關,無需二次確認即可直接移除權限。
▍Facebook (Meta)
眾所周知,御三家指的其實是四所公司 。
從前兩年的高調改名,到扎克伯格的低解析度截圖,再到最近 Thread 橫空出世以及八角籠決鬥,Meta 公司這幾年「不務正業」的氛圍似乎越來越濃了。不過哪怕 CEO 和元宇宙都不靠譜,包括 Facebook、Instagram 和 WhatsApp 在內的 Meta 軟體生態依然是不容小覷的。此外,由於 Facebook 相比前面三家擁有明顯的強社交屬性,它同樣也成為了很多遊戲願意支持的帳號系統。
想要管理用 Facebook 帳號授權過的第三方服務的話,可以在 Facebook app 或者網頁版的設置中進入「Apps and websites」,裡面會列出你授權的具體信息,比如用戶名、郵箱、性別信息或者生日等等,同時還給出了一些更加細分的調整項——你可以選擇續期,禁用通知甚至是本次授權的可見性(比如向你的好友展示你用 Facebook 帳號登錄了 Pinterest )——當然,也可以簡單幹脆的一鍵撤銷授權。
簡中三小龍
▍QQ 與微信
作為國內網絡環境中授權登錄的大頭,QQ 和微信在第三方授權的管理上還算透明。雖然不一定提供了 Apple 或者 Google 那樣便捷的網頁管理入口(至少 QQ 可以通過 QQ 互聯來管理),但是在對應的 app 內操作還是相對直觀的:
這裡使用的是 TIM ,在 QQ app 中的路徑相同
然而,雖然管理便捷,但仍然有一個部分是我們無法忽視的:微信小程序。比起使用微信號登錄第三方 app ,微信對於使用微信帳號授權登錄小程序的態度可以說相當的模糊和曖昧——雖然登錄小程序很方便、登錄同時也可以選擇是否要隱藏自己的暱稱和頭像,但是後續想要對這些授權進行管理卻麻煩很多。
對於這些亂七八糟的小東西而言,在微信 app 頂部的小程序介面直接把小程序刪除是不會清除掉裡面的相關數據的。除了在一部分比較良心的小程序裡面可以直接相關的帳號信息管理之外,我們想要調整微信帳號對於小程序的授權,本質上只有一種方法:
但小程序開發者會不會完全刪除你的相關信息呢?至少根據微信官方提供的小程序開發指引,以及微信開放社區中的一些問答來看,刪除與否依然最終是開發者決定的、微信官方不會強制執行:
對於這樣的情況,只能建議以後在授權微信帳號登錄小程序的時候,一定要考慮清楚了再給。
▍支付寶
支付寶,或者說整個阿里系應用的帳號授權管理,同樣因為相互授權和支付寶小程序的加入而變得相當混亂。不過至少對於支付寶來說,管理授權信息的方式相比微信還是更直觀一些,你可以在支付寶 app 的「設置 - 隱私 - 個人信息授權管理」中對絕大多數你使用支付寶帳戶登錄的第三方 app(比如高德地圖)和支付寶小程序(比如樓下沙縣小吃的點餐二維碼)進行管理:
可惜還是沒有批量選擇和撤權
其他服務商
▍新浪微博
如果說前面的那些大服務商至少還有個態度可言的話,新浪微博對於第三方登錄授權的管理「雖然稱不上是簡潔明了吧,至少也可以說是胡攪蠻纏」。想要查看和修改使用微博帳號授權登錄過的第三方服務,新浪在這裡給你留下的路上可謂是:
大坑套小坑,小坑套老坑,坑裡還有水,水裡藏著釘
大坑套小坑,小坑套老坑,坑裡還有水,水裡藏著釘
因為此時最大的問題,並不是管理的路徑有多麼曲折,而是新浪微博現在完全不允許你查看和撤銷授權登錄記錄了。此前,你還可以通過登錄網頁版微博,在個人主頁的「我的應用」介面下對調整登錄過的第三方 app ,但是在某一次網頁版更新之後,新浪直接去除了這個入口:
最左為一份 2019 年的百度知道回答,此時管理介面仍然可見;右側為目前的微博網頁版介面
不過新浪微博也算是個「端起碗來吃肉、放下筷子罵娘」的數典忘祖的典範了,其各種強推移動端 app 棄網頁版於不顧的行為簡直沁竹難書。那麼按理說第三方授權管理如果在網頁端找不到,在移動端 app 上面一定得有個管理入口了吧?
新浪說:我不僅能罵娘,我還要砸鍋:
我們不知道新浪是從哪裡獲得的勇氣,因為連微信這種歷來喜歡胡攪蠻纏的傢伙在第三方授權登錄的管理上都沒有端出這樣一副架子。只能說以後在登錄 app 的時候,千萬不要選用微博帳號做授權。
▍豆瓣
豆瓣本身對於其他帳號系統的授權登錄雖然支持範圍不廣——至今也就只有微信和微博——但是對於管理豆瓣帳號的登錄授權還是留下了空間的。與前面新浪微博的態度截然相反,你在豆瓣的手機 app 上反而看不到用豆瓣授權登錄過的第三方服務,而是需要回到網頁版豆瓣上,在「我的帳號 - 帳號管理 - 第三方應用授權」下面才能找到相對應的管理介面:
▍百度
國內網際網路三大家 BAT 中的「B」是如何從百度變成位元組跳動(ByteDance)的,大家想必都能說出一二,隨著百度在各個服務領域的受挫,時至今日仍然被高頻率使用的似乎也就剩下百度網盤了,使用百度帳號的授權登錄自然也隨之式微,目前基本上只拘泥於百度系內的 app 登錄了。你可以在百度帳號的設置頁面中進入「授權管理」來調整第三方登錄的授權。
▍抖音
說起位元組跳動,支持抖音帳號授權登錄的 app 規模其實比想像中的還大一些——修圖軟體「醒圖」和剪輯工具「剪映」都支持通過抖音帳號直接登錄,並且以此提供了一些收藏夾同步之類的聯動功能。對於抖音帳號的授權管理,你可以在 app 內的「帳號與安全 - 授權管理」中查看和修改。
授權管理的本質仍然是安全意識
無感授權第三方登錄這件事情可以說極大地簡化了我們接觸和使用新服務的流程,同時也很容易讓我們對於類似的授權失去警惕。
雖然在很多時候,「授權登錄」並不會像語焉不詳的用戶協議那樣不允許就不讓你用,但這樣四通八達的帳號體系背後,很容易在不經意間流露出去的依然是我們自己的隱私——因為在很多時候,我們自己都沒有意識到自己的網絡帳號在日積月累中留下了多少可以被分析的個人信息。及時對這些信息進行篩選和管理,是從源頭上防止個人信息被濫用的關鍵一步。
原文連結:
https://sspai.com/post/82550?utm_source=wechat&utm_medium=social
作者:PostMeridy
責編:廣陵止息
/ 更多熱門文章 /