Je OAuth totéž co přihlášení?

Ne. OAuth se stará o autorizaci — tedy o to, k čemu má aplikace přístup — nikoli o autentizaci, tj. ověření vaší totožnosti. K autentizaci se na OAuth nadstavuje protokol OpenID Connect. Při kliknutí na „Přihlásit se přes Google" se ve skutečnosti k ověření totožnosti používá OpenID Connect, zatímco OAuth řídí, která data může aplikace načíst.

Může být OAuth zneužit nebo hacknut?

Ano, pokud není správně implementován. Mezi běžné zranitelnosti patří nesprávná validace přesměrovacích URL adres, chybějící ochrana parametrem „state" (která brání CSRF útokům) nebo nadměrné rozsahy oprávnění. Jako uživatel byste měli schvalovat pouze oprávnění, která aplikace skutečně potřebuje, a pravidelně kontrolovat, které aplikace mají přístup k vašim účtům.

Jak odvolám přístup udělený prostřednictvím OAuth?

Většina velkých poskytovatelů identity — Google, Apple, Facebook — nabízí v nastavení účtu část, kde jsou uvedeny všechny aplikace s udeleným přístupem přes OAuth. Odtud můžete přístup jednotlivým aplikacím kdykoli odvolat. Jejich tokeny okamžitě přestanou fungovat.

Chrání VPN před zranitelnostmi OAuth?

VPN chrání před zachycením tokenů na nezabezpečených sítích tím, že šifruje váš provoz. Nechrání však před špatně nakonfigurovanými OAuth implementacemi na straně serveru, ani nezabrání poskytovatelům identity v zaznamenávání autorizačních událostí. Pro komplexní ochranu je potřeba VPN kombinovat s důkladným prověřováním aplikací a správnou správou oprávnění.

OAuth

OAuth: Jak funguje bezpečná autorizace bez sdílení hesla

Viděli jste to nespočetněkrát: „Přihlásit se přes Google", „Pokračovat přes Facebook" nebo „Přihlásit se přes Apple". Ten plynulý klik na tlačítko je OAuth v praxi. Co se ale skutečně děje v pozadí — a proč je to důležité pro vaše soukromí a bezpečnost?

Co je OAuth

OAuth je zkratka pro Open Authorization. Jde o otevřený standardní protokol — což znamená, že ho může implementovat kdokoli — který se stará o autorizaci (co smíte dělat), nikoli o autentizaci (prokázání totožnosti). Aktuální verze, OAuth 2.0, je dnes používána prakticky každou velkou platformou na internetu.

Jednoduše řečeno, OAuth vám umožňuje dát jedné aplikaci oprávnění přistupovat k určitým datům nebo funkcím jiné aplikace — aniž byste kdykoli sdíleli své heslo. Vy zůstáváte v kontrole nad tím, co se sdílí, a třetí strana vaše přihlašovací údaje nikdy neuvidí.

Jak OAuth funguje

Zde je zjednodušený popis toho, co se stane, když kliknete na „Přihlásit se přes Google" v aplikaci třetí strany:

Požádáte o přístup. Kliknete na přihlašovací tlačítko a aplikace vás přesměruje na přihlašovací stránku Googlu.
Přihlásíte se přímo. Zadáte své přihlašovací údaje Google na serverech Googlu — aplikace třetí strany nevidí nic.
Udělíte oprávnění. Google se vás zeptá, zda chcete aplikaci povolit přístup ke konkrétním datům (například k vašemu jménu a e-mailu). Potvrdíte souhlas.
Je vydán token. Google zašle aplikaci krátkodobý přístupový token — řetězec znaků, který funguje jako dočasný klíč. Tento token má definovaný rozsah (k čemu má přístup) a dobu platnosti.
Aplikace token používá. Aplikace tento token předkládá vždy, když potřebuje načíst vaše data. Vaše skutečné heslo nepotřebuje nikdy.

Pokud přístup později odvoláte, token se stane neplatným. Aplikace třetí strany okamžitě přijde o svá oprávnění — bez nutnosti měnit heslo.

Proč je OAuth důležitý pro bezpečnost

Klíčovým bezpečnostním přínosem OAuth je izolace přihlašovacích údajů. Pokud dojde k úniku dat u aplikace třetí strany, útočníci v nejhorším případě získají prošlý přístupový token — ne vaše skutečné heslo k účtu Google nebo Apple. Váš hlavní účet zůstane chráněn.

OAuth také omezuje rozsah přístupu. Aplikace může požádat pouze o oprávnění přečíst vaši e-mailovou adresu, nikoli odesílat e-maily vaším jménem. Tento podrobný model oprávnění představuje smysluplnou vrstvu ochrany v porovnání s předáním plného přístupu k účtu.

OAuth a uživatelé VPN

Pokud používáte VPN, OAuth se s vaším soukromím protíná v několika důležitých ohledech.

Riziko zachycení tokenu. Na nezabezpečených sítích se útočníci mohou pokoušet o útoky man-in-the-middle a zachytit OAuth tokeny během procesu přesměrování. VPN šifruje váš provoz a toto riziko výrazně snižuje — zejména na veřejné Wi-Fi na letištích, v hotelech nebo kavárnách.

OAuth přes HTTPS. OAuth 2.0 vyžaduje ke správnému fungování HTTPS. VPN přidává další vrstvu šifrování, není však náhradou za HTTPS. Obojí dohromady nabízí silnější ochranu.

Soukromí při propojování účtů. Když použijete „Přihlásit se přes Google" nebo podobnou funkci, Google ví, ke kterým službám přistupujete a kdy. VPN při tomto procesu maskuje vaši IP adresu, ale poskytovatel identity (Google, Apple atd.) danou autorizační událost přesto zaznamená. Uživatelé s přísnými požadavky na soukromí by měli tuto skutečnost zvážit.

Firemní prostředí VPN. Mnoho firem kombinuje přístup přes VPN se systémy jednotného přihlášení (SSO) založenými na OAuth. Zaměstnanci se jednou přihlásí přes poskytovatele identity — často s využitím OAuth nebo příbuzného protokolu OpenID Connect — a získají přístup k interním zdrojům chráněným VPN.

Praktické případy použití

Integrace aplikací: Povolení nástroji pro řízení projektů zveřejňovat aktualizace ve vašem Slack workspace.
Přihlašování přes sociální sítě: Přihlášení do Spotify pomocí účtu na Facebooku.
Přístup k API: Poskytnutí přístupu aplikaci pro správu rozpočtu k vašim bankovním transakcím pouze pro čtení.
Vývojářské nástroje: Autorizace služby pro nasazení kódu k odesílání aktualizací do vašich repozitářů na GitHubu.

OAuth vs. hesla: Širší perspektiva

OAuth nenahrazuje hesla — snižuje, jak často je potřebujete používat u služeb třetích stran. Ve spojení se silnými hesly, dvoufaktorovým ověřením a spolehlivou VPN je OAuth jedním dílem vícevrstvého přístupu k bezpečnosti, který výrazně zmenšuje váš útočný povrch na internetu.

OAuthPokročilý