您的位置首页 >财经 >

专家们重视Apple的私人登录功能

苹果WWDC 2019是充满公告,但很少有人获取了从人群一样大欢呼时拍在与苹果公司进行了介绍。该功能允许人们使用他们的Apple ID在网络上注册网站和服务,该功能被吹捧为一种以隐私为导向的替代方式,可以通过Facebook登录并使用Google登录。“我们都看到了这样的按钮,要求我们使用社交帐户登录来获得更加个性化的应用程序体验,这些登录可用于跟踪您,”Apple软件工程高级副总裁Craig Federighi表示,周一在主题演讲中表示。“我们想要解决这个问题,许多开发人员也会这样做,所以现在我们有了解决方案。

据Federighi称,该解决方案是与Apple签约,他表示将限制使用其iOS和macOS设备的人们可以获得的私人信息量。虽然网站和应用程序仍然可以请求您的电子邮件地址,但使用Apple登录将为您提供隐藏它的选项。以下是踢球者:如果您决定不分享该信息,Apple将生成一个独特的随机电子邮件地址,可以将来自这些服务的邮件直接转发到您的主收件箱。这将阻止网站和应用程序了解您的真实电子邮件地址,Apple表示它不会使用其登录工具来跟踪您的任何互联网活动 - 该公司称这是谷歌和Facebook可以对他们做的事情登录按钮。

随着谷歌正在欧洲最近被罚过数据透明度的侵犯,和Facebook上的边缘数十亿美元的FTC罚款的可疑数据共享的做法,他们没有名声最好,当谈到保护用户数据。也就是说,并不是说Apple没有自己的隐私争议。

早在2月份,“华尔街日报”报道称,多个iOS应用程序未经用户同意就与Facebook共享数据。上个月,该报发表了另一个故事,发现许多开发人员正在使用儿童应用来收集,跟踪和分享儿童的信息,包括姓名和年龄。像这样的事件导致苹果公司限制儿童应用程序中的跟踪和广告,这是在2019年WWDC上公布的一项隐私措施以及新的登录功能。

但苹果真的可以比Google和Facebook更好地处理隐私吗?为了找到答案,我们与安全和隐私专家讨论了与Apple签约的问题,其中大多数人认为该功能可能会改变游戏规则以保护消费者的隐私。有些人还认为这是谷歌和Facebook的底线的真正威胁,这当然主要依赖于定向广告和他们可以从他们自己的登录工具访问的个人数据。

关于与Apple签约的潜力

ProPrivacy.com的数据隐私专家Ray Walsh 说: “能够在不使用真实电子邮件地址的情况下登录的概念是向消费者迈出正确方向的一步。能够在不共享真实电子邮件地址的情况下登录会消除一个关键来自这些服务部门的一些数据。然而,Web服务仍然可以在用户访问他们的网站时收集其他关键数据 - 这些数据仍可用于跟踪他们。当您访问网站时,该服务会自动接收您的IP地址;这是一个非常有价值的跟踪工具。因此,登录Apple只会从等式中删除一小部分可跟踪数据。“

AvePoint首席风险,隐私和信息安全官Dana Simberkoff 表示: “[与Apple签约]代表了Apple利用其长期隐私承诺进入新市场并从竞争对手那里夺取一些市场份额的另一个机会如果做得好,不仅是[它]是苹果的胜利,而且也是消费者的胜利,可能会利用更加以隐私为中心的登录选项。苹果CEO蒂姆库克经常谈到该公司反对收集个人数据的立场。特别是,库克特别指出了消费者档案的集合,目的是定位广告 - 谷歌和Facebook赚钱的核心。“

Matthew Hudnall博士,阿拉巴马大学管理信息系统副主任兼助理教授: “'与Apple签约是一项非常需要的功能,与[Apple]不断发展的以用户为中心的生态系统相吻合。[它]代表第一个从传统的钥匙链模式转变为硬件验证的生物识别身份加上动态凭证生成,存储和验证的转变消除了对传统密码的需求。虽然苹果当然不是城里唯一试图杀掉密码的游戏,但它们是肯定是以我们对苹果的期待方式这样做:全有或全无。“

密歇根大学信息学院助理教授Florian Schaub说: “能够轻松生成随机电子邮件地址,Apple负责管理这些凭据,这将使消费者在与移动应用程序和在线交互时更容易保护自己的个人信息有趣的是,苹果公司采用了谷歌,Facebook和其他公司提供的完善的单点登录产品,但重点是让人们更容易保护自己的隐私。当然,要求苹果信任苹果公司。忠于其承诺,不跟踪或分析您拥有帐户的服务以及登录这些服务的频率。“

关于使用Apple登录是否是Facebook或Google登录选项的可行,更安全的替代方案

沃尔什: “使用谷歌或Facebook自动登录服务被视为有问题,因为它允许在这些服务之间建立连接。这导致数据在各个平台之间共享,并可能导致不同级别的公司跟踪从Facebook发生/谷歌有问题的服务,反之亦然。允许Apple签署服务只是将服务连接到Apple而不是谷歌或Facebook。但是,它仍然允许在两个服务之间建立连接,这可能导致数据在这些平台上进行访问和共享。因此,这真的取决于你对苹果公司在Facebook或谷歌上的信任程度,以及让他们真正签下你的程度。

“我向消费者提出的建议是,他们每次都可以直接登录所有服务;无需将它们连接到任何第三方服务。这需要一个电子邮件地址,但消费者只需使用刻录机电子邮件 - 或提供别名通过安全的电子邮件提供商,这消除了与共享其电子邮件地址相关的隐私和安全问题,同时也消除了跨不同平台和服务跨平台访问信息的更大问题。“

Simberkoff: “答案部分取决于您注册的网站和服务。可以说,像Apple这样的公司可能比您可能加入的许多小型组织和服务更有能力保护您的身份和隐私并提供凭据此外,由于消费者在创建帐户和密码时往往很草率,他们经常在多个地点使用相同的用户名和密码。如果是这种情况,相信小企业的“身份”可能会增加可能性它在违反或安全问题中受到损害。

“通过使用带有隐私保护的单点登录,消费者可能会受到更好的保护。有了这样的说法,如果Apple出现故障,就会产生重大影响。但是,至少我们知道他们不太可能通过这种方式货币化个人信息与Facebook和Google历史上所做的一样。“

Hudnall: “这是非常可行的,由于Apple对其整个生态系统的严格控制,很可能会迅速采用这种方式。目前,Apple / Google /之间存在'谁拥有最快/最好的热棒'竞争随着技术的快速发展,Facebook /微软非常适合消费者。很高兴看到隐私和安全现在将成为有争议的战场之一,而这一宣布将为这场火灾注入活力。

“没有一家技术或公司拥有明显更好的企业堆栈,人员或资源。虽然苹果公司对其产品和服务的控制力远远超过任何竞争对手。与Facebook完全依赖主机系统硬件设备和对于大多数运行其软件的设备输入/控制有限的谷歌,苹果公司完全控制了硬件和软件验证流程。这无疑使苹果公司能够更好地确保用户隐私的系统。“

绍布:就生存能力而言,我没有什么顾虑。Apple正在使用其Apple ID帐户进行身份验证,并且已经拥有大量Apple服务,因此现在只需将其中一些功能用于第三方。最大的区别在于,苹果将登录Apple作为隐私功能,而Facebook和Google将其单点登录服务作为便利功能。Apple一直在使用隐私作为差异化因素,因为他们的商业模式主要围绕销售设备,现在为其客户提供服务订阅,以及从通过其平台提供的内容中获利。

“另一方面,Facebook和谷歌的商业模式主要基于擅长将广告定位到人群,这需要跟踪人们的在线和应用行为。在更多网页上使用单点登录按钮可为Facebook和Google提供更多数据关于你使用哪些应用程序和服务以及使用频率的几点。至少到目前为止,Apple没有。“

使用Apple登录实际上比仅使用站点或服务自己的登录系统更安全吗?

Walsh: “不,最好是在不给第三方服务或平台访问该单独服务的情况下进行注册。正因为如此,安全电子邮件提供商允许用户设置称为别名的临时刻录机地址。最好不要使用第三方登录功能来访问任何在线服务。最好是在不使用第三方的情况下安全地登录自己。如果这需要消费者记住更多密码,那么他们应该使用可靠的密码管理器和双因素身份验证。“

Hudnall: “是的,但有很多警告。苹果的新系统比传统的用户名/密码组合要好,大多数人最终会在多个网站上重复使用。这也是一个很好的密码管理器,比如LastPass,Keeper,或者Dashlane为每个站点动态生成不同的密码。而不是为每个站点生成密码,Apple的系统会在其硬件和服务器中保留所有凭据验证(主要是生物识别)。

“在用户识别自己之后,会生成一个令牌,并由Apple的服务器进行加密签名,并且该身份验证令牌会传递到需要身份验证的网站。然后,该网站会向Apple发送电话,以验证令牌并获取有关用户的有限信息。没有凭证离开Apple系统,这个过程可能更安全。但是,Apple系统的许多方面都是专有的,可能包含意外或有目的的后门。“

Schaub: “登录Apple的最重要的好处是,不是每个应用程序或在线服务都能获得真实的电子邮件地址。几乎任何应用程序和服务现在都需要一个帐户 - 但你真的相信所有这些公司吗?保护您的个人数据安全?数据泄露非常常见,使人们容易受到网络钓鱼攻击和身份盗用的影响。

“如果使用Apple登录会导致每个帐户拥有唯一的电子邮件地址,那么他们可能更容易识别到该地址的意外网络钓鱼电子邮件,并通过删除该地址来停止此类电子邮件以及垃圾邮件,假设是用Apple登录的内容。如果您在整个地方使用实际的电子邮件地址,那将是非常困难的。“

为什么Apple现在如此重视隐私?

沃尔什: “苹果公司早就明白,通过将自己称为'更好的隐私',它总会吸引一定数量的客户。但是,值得注意的是,苹果的产品和服务 - 这些都是封闭的来源 - 一直都是被专业安全专家理解为不可审计。仅此一项应该让消费者大开眼界,因为可以由第三方审核的开源代码是高度赞扬的隐私服务(如Open Whispers Signal)的基石。

“此外,有证据表明,苹果公司已经帮助美国情报机构开展了PRISM监控计划。因此,苹果是否真的应该像许多人盲目做的那样受到信任,这是非常值得怀疑的。”

Hudnall: “这真的是时代的标志。苹果看到像Facebook,Experian等大规模的数据泄露,并且已经发现需要更好地为用户提供保护和隐私。这是苹果公司可以随时拿走的一面旗帜与Facebook和谷歌相比,Apple的盈利模式并不依赖于转售用户信息,因此保护它们更容易让他们说和做,因为它不会影响Apple的底线。

“任何时候一家公司试图增加其认证的市场份额,它本身就会成为黑客更集中的目标。苹果需要确保它拥有适当的硬件和服务来应对大规模的DDoS攻击以及一般的系统正常运行时间。用户不会容忍他们的单点身份验证被用于维护。我还希望了解Apple为保护用户数据而确保验证过程不会受到中间人或其他人的影响的安全措施。攻击向量。“

Schaub: “苹果一直将隐私作为一个差异化因素,从强大的设备加密到试图实施隐私保护设备和应用分析数据收集。与谷歌和Facebook在单一标志上正面交锋 -鉴于谷歌和Facebook近期发布的隐私相关公告,也可能是及时尝试强调苹果正在认真对待隐私。

“人们应该记住的是,Apple将管理帐户详细信息,并且很可能知道您何时登录服务。这意味着您必须信任Apple以保证此信息的安全,而不是使用有关您帐户的信息因此,您可能需要小心敏感帐户,例如银行等。但是,如果您尚未使用密码管理器为您的在线帐户生成强大且唯一的密码,则可能会使用Apple登录提高你的安全性。“

虽然我们采访过的专家似乎同意使用Apple的登录工具可能比Facebook或Google更好更安全,但苹果需要回答的问题仍然存在,例如,如果您使用登录Apple和丢失iPhone或访问Apple ID帐户?更重要的是,Shaub和Walsh说,Apple需要披露它将与支持该功能的服务和应用共享哪种类型的用户信息。“用户控制该共享的内容是什么样的?” 添加了绍布。“在数据泄露或垃圾邮件的情况下,用户是否能够撤销/删除随机电子邮件地址?”

在今年晚些时候登录Apple之前,Apple将不得不清楚这些细节。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。