第三方登入懶人包:背後的資安風險你知道嗎?

更新 發佈閱讀 5 分鐘

前陣子有位使用者打電話來單位投訴:『為什麼現在很多網站都可以用 Google 或 Facebook 帳號直接登入,但我們開發的系統卻不行?』。當下我瞬間秒回:『銀行帳號、健保的健康存摺。。。。。 好像也不能用 Google 或 Facebook 帳號直接登入』

我發現很多人都有同樣的疑問,今天就來跟大家聊聊這個話題!

 什麼是「第三方登入」?

你一定看過這些選項:

  • 「使用 Google 登入」
  • 「使用 Facebook 登入」
  • 「使用 Apple ID 登入」
  • 「使用 LINE 登入」
Chatgpt 的第三方登入(Third-Party Login)或叫做 OAuth 第三方授權登入

Chatgpt 的第三方登入(Third-Party Login)或叫做 OAuth 第三方授權登入

這就是「第三方登入」(Third-Party Login),背後使用的是 OAuth 2.0 授權協議。簡單說,就是借用你已經有的帳號來驗證身份。

用生活例子來理解

情境一:進入校園 假設你要在非上課時間進入國小,門口警衛一定會先確認你的身份:

  • 有校園通行證 → 直接放行(代表你是家長)
  • 沒有通行證 → 需要抵押身份證才能進入

情境二:租借推車 各位爸爸媽媽帶小孩去動物園租推車時,除了付保證金,還要抵押身份證件。

發現了嗎?現實生活中驗證身份都需要「抵押證件」。甚至於我們到中華電信辦理電話卡,也要提供雙證件。

在網路世界也是一樣的道理!在網站註冊會員時,如果你不想自己一步一步輸入個人資料,而是當你用 Google 帳號登入其他網站時,就等於把 Google 帳號當作「網路身份證」抵押給那個網站,讓它可以獲取你的個人資料。

 第三方登入的好處

很好啊!不用記很多密碼。呃… 確實很方便!不用記一大堆密碼,一鍵就能註冊登入。但是。。。。。。

 濫用第三方登入的風險

風險一:濫用帳號 = 濫用身份證

現實世界的風險: 如果你到處都把身份證給警衛影印留存,每個地方的警衛都知道你的個資。萬一其中一個警衛不懷好意,用你的證件做壞事,你可能在不知情的情況下「被犯法」。

網路世界的風險: 每個網站都存取你的 Google 帳號認證資訊,萬一其中一個網站被駭客攻擊,你的資料也可能被偷走!

可能的後果包括:

  • Email 被亂寄廣告信、詐騙信
  • 帳號被盜用登入其他平台
  • 個資被收集後販售或濫用

風險二:你授權的資料比想像中更多

很多人看到「使用 Google 登入」就直接按同意,但你知道網站可能取得哪些資料嗎?

除了基本的姓名、Email,有些網站是否還會讀取:

  • 你的聯絡人清單
  • Google Drive 檔案
  • 日曆資訊
  • YouTube 觀看紀錄
  • 甚至更多隱私資料…

風險三:日後想換登入方式很麻煩

情境一:帳號混亂 用 Google 登入後忘記了,又用 Facebook 重新註冊,結果發現註冊了兩個帳號,資料分散。

情境二:被綁死 哪天 Google 或 Facebook ,掉落神壇,不再流行,你想改用 Email 登入,才發現帳號已經綁死,只能用原本的方式登入,無法修改密碼,導致資料找不到。不要以為Google 或是Facebook 這樣大品牌的企業就不會倒,科技業是十倍速成長,世事難料。想想看,00後的年輕人還有人使用 yahoo、hotmail、hinet ms信箱嗎?

 如何安全使用第三方登入?

建議做法

   只在信任的平台使用,如選擇 Notion、Dropbox 、github、Apple、Microsoft 等大品牌進行第三方登入。

授權之前,先看清楚網站要存取什麼資料。

定期檢查授權紀錄:每 3-6 個月檢查一次,移除不常用的授權。

重要帳號獨立設定銀行、雲端硬碟等重要服務,建議用獨立密碼。

 如何檢查 Google 授權紀錄?

IT媽媽之前也是亂用 Google 帳號註冊,後來發現這樣很危險,現在都會定期清理:

操作步驟:

  1. 打開瀏覽器,登入 Google 帳號
  2. 點選右上角大頭照 → 「管理你的帳號」
  3. 左側選擇「安全性」
raw-image


4. 滾動頁面找到「第三方應用程式存取權」區塊

Google 第三方驗證授權的網站

Google 第三方驗證授權的網站

點選「管理第三方存取權限」

你就能看到:

  • 曾經用 Google 帳號登入過哪些網站
  • 這些網站可以讀取你的哪些資料
  • 點進個別 App 可以「移除存取權限」
Google 第三方驗證授權的網站

Google 第三方驗證授權的網站

不常用的網站建議直接撤銷授權!

 IT媽媽的實戰技巧

因為我也很愛嘗試新的網路工具,所以建立了兩個 Google 帳號:

  1. 主帳號:用來註冊重要的、工作相關的網站
  2. 測試帳號:專門用來註冊測試新網站

這樣既能享受第三方登入的便利,又不會讓重要的個資被不知名網站取得。

 結語

第三方登入確實是個好工具,但請記住這個原則:

 不要看到登入方便就亂點


 安全前提是「你知道你給了誰進你家的門」


網路安全不是什麼高深學問,就像保護家裡的鑰匙一樣,多一分謹慎,多一分安全!

留言
avatar-img
留言分享你的想法!
avatar-img
思樂風 - IT 媽媽科技筆記
1會員
8內容數
我是思樂風 ( IT 媽媽科技筆記 )。 你是非資訊背景的人、你對網路科技充滿好奇、但你很怕遇到詐騙。 你想玩 AI ,但你怕踩雷。 你想轉職軟體工程師,但不知道從哪摸索。 想要了解更多,趕快加入 我的專頁吧 我們一起探索、一起加油。
2025/09/30
前言:一張卡片引發的理財省思 今天家裡的長輩請我幫忙開通銀行卡。 操作完成後,我順口問了一句:『您分得出一般金融卡、簽帳金融卡和信用卡的差別嗎?』 長輩快速回答:『信用卡一個刷卡之後,下個月才需要付款,至於銀行卡的話,就用來存錢,領錢。』 我接著問:『那金融卡和簽帳金融卡有什麼差異呢?』
Thumbnail
2025/09/30
前言:一張卡片引發的理財省思 今天家裡的長輩請我幫忙開通銀行卡。 操作完成後,我順口問了一句:『您分得出一般金融卡、簽帳金融卡和信用卡的差別嗎?』 長輩快速回答:『信用卡一個刷卡之後,下個月才需要付款,至於銀行卡的話,就用來存錢,領錢。』 我接著問:『那金融卡和簽帳金融卡有什麼差異呢?』
Thumbnail
2025/09/30
真實案例分享 前陣子接到一通讓我印象深刻的求救電話。使用者急切地說:「我忘記密碼了,能幫我查一下我的密碼是什麼嗎?」 當我回答:「不好意思,我們無法查看您的密碼」時,對方顯然有些不悅:「之前不是打電話就可以查到密碼嗎?」
Thumbnail
2025/09/30
真實案例分享 前陣子接到一通讓我印象深刻的求救電話。使用者急切地說:「我忘記密碼了,能幫我查一下我的密碼是什麼嗎?」 當我回答:「不好意思,我們無法查看您的密碼」時,對方顯然有些不悅:「之前不是打電話就可以查到密碼嗎?」
Thumbnail
2025/09/30
你討厭菜市場名字,卻愛用菜市場密碼?小心成為駭客眼中待宰的肥羊! 很多人以為密碼越簡單越好記就越方便,但其實這些通用密碼早就被駭客的資料庫收錄! 一旦被盯上,你的密碼被盜,帳號被違法濫用,照片清空,電腦裡的資料夾全被鎖,甚至雲端資料,都有可能瞬間被洗劫。
Thumbnail
2025/09/30
你討厭菜市場名字,卻愛用菜市場密碼?小心成為駭客眼中待宰的肥羊! 很多人以為密碼越簡單越好記就越方便,但其實這些通用密碼早就被駭客的資料庫收錄! 一旦被盯上,你的密碼被盜,帳號被違法濫用,照片清空,電腦裡的資料夾全被鎖,甚至雲端資料,都有可能瞬間被洗劫。
Thumbnail
看更多