¿"Iniciar sesión con Facebook", "Iniciar sesión con Google", etc. es malo para la seguridad? Un hacker solo necesita comprometer su Facebook / Google / Yahoo / etc. cuenta, y tendrán acceso a todas sus otras cuentas que estén conectadas a su cuenta de Google o Facebook.
La mayoría de los sitios web que potencialmente utilizan las funciones de tipo "Iniciar sesión con Google", usan su dirección de correo electrónico como un respaldo para restablecer las contraseñas olvidadas. Para todos estos sitios web, su dirección de correo electrónico (donde sea que sea; ya sea gmail o algún otro proveedor) es un punto único de falla.
De hecho, si usa una cuenta de Google con autenticación de 2 factores y contraseñas seguras, es bastante bueno para la seguridad, ya que en la actualidad todo usa autenticación de 2 factores con una contraseña segura.
También hace que sea una mejor experiencia para el usuario ya que solo necesita recordar una contraseña segura, en lugar de recordar contraseñas seguras únicas para cada servicio web en el que se suscriba. (No debe reutilizar las contraseñas, ya que no está seguro de que algunos servicios web sean maliciosos / incompetentes y registre sus contraseñas / intentos de contraseña en texto simple o con hashes débiles).
(La principal excepción al restablecimiento de la contraseña basada en el correo electrónico en mi experiencia son los bancos, donde normalmente tiene que hablar con alguien en persona / por teléfono y responder a varias preguntas de seguridad / proporcionar documentación si olvidó su contraseña. Creo que sería un error para los bancos permitirte iniciar sesión a través de Facebook / Google, aunque nunca lo he visto en la práctica.)
Yo diría que era bueno para la seguridad porque la base de datos de contraseñas es de una compañía confiable y puede estar bastante seguro de que se almacenará en un formato seguro, en lugar de en un formato decidido por el capricho de los desarrolladores del sitio. . Cualquier inyección de SQL u otra falla de fuga de datos en el sitio web podría permitir el acceso a su contraseña y cuenta.
solo necesita comprometer su Facebook / Google / Yahoo / etc. cuenta
No estoy seguro de estar de acuerdo con el uso de "solo" aquí, lo que implica que cualquier acceso a tales cuentas sería trivial.
Las cuentas de correo electrónico y redes sociales deben ser su prioridad número uno para asegurar. Estas son cuentas "centrales" y cualquier atacante que obtenga acceso a ellas puede usarlas para obtener acceso a todo lo que posee en línea. Por ejemplo, un atacante podría realizar un restablecimiento de contraseña en su cuenta de Dropbox porque ahora puede obtener acceso al correo electrónico de restablecimiento de contraseña que se le envía.
La conclusión sería proteger todas sus cuentas de hub con una contraseña segura y fácil de recordar, y proteger estas cuentas con autenticación de dos factores.
El inicio de sesión centralizado mediante OAuth o OpenID Connect es beneficioso para la seguridad en general, siempre que confíe en el proveedor de identidad. Cualquier compromiso de su cuenta puede cerrarse en un solo lugar, asegurando todos los sitios que utilizan ese método de autenticación o autorización. También desalienta la reutilización de contraseñas en diferentes sitios donde cualquier compromiso expone todas las cuentas que luego deben ser protegidas individualmente.
Sin embargo, a veces, la implementación de estos sistemas de inicio de sesión único puede ser complicada. Y también existe el problema de autenticación que se confunde con la autorización . Además, consulte esta respuesta . Por lo tanto, a veces tales implementaciones pueden introducir diferentes tipos de vulnerabilidades de administración de sesión en una aplicación.
Lea otras preguntas en las etiquetas account-security single-sign-on