È "accedi con Facebook", "accedi con Google", ecc. male per la sicurezza? Un hacker deve solo compromettere il tuo Facebook / Google / Yahoo / etc. account e avranno accesso a tutti gli altri account collegati al tuo account Google o Facebook.
La maggior parte dei siti web che potenzialmente utilizzano le funzionalità di tipo "Accedi con Google" utilizzano il tuo indirizzo email come riserva per reimpostare le password dimenticate. Per tutti questi siti Web, il tuo indirizzo e-mail (dove mai si trovi, che si tratti di Gmail o di un altro provider) è un singolo punto di errore.
In effetti, se si utilizza un account Google con l'autenticazione a 2 fattori e password complesse, è abbastanza buono per la sicurezza, poiché ora tutto utilizza un'autenticazione a 2 fattori con una password complessa.
Rende anche un'esperienza utente migliore in quanto devi solo ricordare una password complessa, invece di ricordare password univoche per ogni servizio web per cui ti sei registrato. (Non è necessario riutilizzare le password in quanto non si è certi che alcuni servizi Web siano malevoli / incompetenti e registrare i propri tentativi di password / password in chiaro o con hash deboli).
(La principale eccezione alla reimpostazione della password basata sulla posta elettronica nella mia esperienza sono le banche, dove in genere devi parlare con qualcuno di persona / al telefono e rispondere a diverse domande di sicurezza / fornire documentazione se hai dimenticato la password. sarebbe un errore per le banche consentire di accedere tramite Facebook / Google, anche se non l'ho mai visto in pratica.)
Direi che va bene per la sicurezza, perché il database delle password è con una società fidata e puoi stare tranquillo che verrà archiviato in un formato sicuro, piuttosto che in un formato deciso in base al capriccio degli sviluppatori del sito . Qualsiasi iniezione SQL o altri difetti di perdita di dati sul sito Web potrebbero consentire l'accesso alla tua password e al tuo account.
only needs to compromise your Facebook/Google/Yahoo/etc. account
Non sono sicuro di essere d'accordo con il tuo uso di "only" qui, il che implica che qualsiasi accesso a tali account sarebbe banale.
Le e-mail e gli account dei social media dovrebbero essere la priorità numero uno da proteggere. Si tratta di account "hub" e qualsiasi utente malintenzionato che ha accesso ad essi può spesso utilizzarli per accedere a tutto ciò che si possiede online. Ad esempio, un utente malintenzionato potrebbe eseguire una reimpostazione della password sul tuo account Dropbox perché ora può ottenere l'accesso all'email di reimpostazione della password che ti viene inviata.
La linea di fondo sarebbe quella di proteggere tutti i tuoi account hub con una password strong e memorabile e di proteggere questi account con l'autenticazione a due fattori.
L'accesso centralizzato tramite OAuth o OpenID Connect è vantaggioso per la sicurezza generale, a condizione di fidarsi del provider di identità. Qualsiasi compromissione del tuo account può essere chiusa in un unico posto, proteggendo tutti i siti utilizzando tale metodo di autenticazione o autorizzazione. Scoraggia anche il riutilizzo della password in diversi siti in cui qualsiasi compromesso espone tutti gli account che devono quindi essere protetti singolarmente.
Tuttavia, a volte l'implementazione di questi sistemi di single sign-on può essere complicata. E c'è anche il problema di autenticazione che viene confuso con l'autorizzazione . Inoltre, consulta questa risposta . Pertanto, a volte tali implementazioni possono introdurre diversi tipi di vulnerabilità di gestione delle sessioni in un'applicazione.
Leggi altre domande sui tag account-security single-sign-on