前陣子有位使用者打電話來單位投訴:『為什麼現在很多網站都可以用 Google 或 Facebook 帳號直接登入,但我們開發的系統卻不行?』。當下我瞬間秒回:『銀行帳號、健保的健康存摺。。。。。 好像也不能用 Google 或 Facebook 帳號直接登入』
我發現很多人都有同樣的疑問,今天就來跟大家聊聊這個話題!
什麼是「第三方登入」?
你一定看過這些選項:
- 「使用 Google 登入」
- 「使用 Facebook 登入」
- 「使用 Apple ID 登入」
- 「使用 LINE 登入」
Chatgpt 的第三方登入(Third-Party Login)或叫做 OAuth 第三方授權登入
這就是「第三方登入」(Third-Party Login),背後使用的是 OAuth 2.0 授權協議。簡單說,就是借用你已經有的帳號來驗證身份。
用生活例子來理解
情境一:進入校園 假設你要在非上課時間進入國小,門口警衛一定會先確認你的身份:
- 有校園通行證 → 直接放行(代表你是家長)
- 沒有通行證 → 需要抵押身份證才能進入
情境二:租借推車 各位爸爸媽媽帶小孩去動物園租推車時,除了付保證金,還要抵押身份證件。
發現了嗎?現實生活中驗證身份都需要「抵押證件」。甚至於我們到中華電信辦理電話卡,也要提供雙證件。
在網路世界也是一樣的道理!在網站註冊會員時,如果你不想自己一步一步輸入個人資料,而是當你用 Google 帳號登入其他網站時,就等於把 Google 帳號當作「網路身份證」抵押給那個網站,讓它可以獲取你的個人資料。
第三方登入的好處
很好啊!不用記很多密碼。呃… 確實很方便!不用記一大堆密碼,一鍵就能註冊登入。但是。。。。。。
濫用第三方登入的風險
風險一:濫用帳號 = 濫用身份證
現實世界的風險: 如果你到處都把身份證給警衛影印留存,每個地方的警衛都知道你的個資。萬一其中一個警衛不懷好意,用你的證件做壞事,你可能在不知情的情況下「被犯法」。
網路世界的風險: 每個網站都存取你的 Google 帳號認證資訊,萬一其中一個網站被駭客攻擊,你的資料也可能被偷走!
可能的後果包括:
- Email 被亂寄廣告信、詐騙信
- 帳號被盜用登入其他平台
- 個資被收集後販售或濫用
風險二:你授權的資料比想像中更多
很多人看到「使用 Google 登入」就直接按同意,但你知道網站可能取得哪些資料嗎?
除了基本的姓名、Email,有些網站是否還會讀取:
- 你的聯絡人清單
- Google Drive 檔案
- 日曆資訊
- YouTube 觀看紀錄
- 甚至更多隱私資料…
風險三:日後想換登入方式很麻煩
情境一:帳號混亂 用 Google 登入後忘記了,又用 Facebook 重新註冊,結果發現註冊了兩個帳號,資料分散。
情境二:被綁死 哪天 Google 或 Facebook ,掉落神壇,不再流行,你想改用 Email 登入,才發現帳號已經綁死,只能用原本的方式登入,無法修改密碼,導致資料找不到。不要以為Google 或是Facebook 這樣大品牌的企業就不會倒,科技業是十倍速成長,世事難料。想想看,00後的年輕人還有人使用 yahoo、hotmail、hinet ms信箱嗎?
如何安全使用第三方登入?
建議做法
只在信任的平台使用,如選擇 Notion、Dropbox 、github、Apple、Microsoft 等大品牌進行第三方登入。
授權之前,先看清楚網站要存取什麼資料。
定期檢查授權紀錄:每 3-6 個月檢查一次,移除不常用的授權。
重要帳號獨立設定銀行、雲端硬碟等重要服務,建議用獨立密碼。
如何檢查 Google 授權紀錄?
IT媽媽之前也是亂用 Google 帳號註冊,後來發現這樣很危險,現在都會定期清理:
操作步驟:
- 打開瀏覽器,登入 Google 帳號
- 點選右上角大頭照 → 「管理你的帳號」
- 左側選擇「安全性」
4. 滾動頁面找到「第三方應用程式存取權」區塊
Google 第三方驗證授權的網站
點選「管理第三方存取權限」
你就能看到:
- 曾經用 Google 帳號登入過哪些網站
- 這些網站可以讀取你的哪些資料
- 點進個別 App 可以「移除存取權限」
Google 第三方驗證授權的網站
不常用的網站建議直接撤銷授權!
IT媽媽的實戰技巧
因為我也很愛嘗試新的網路工具,所以建立了兩個 Google 帳號:
- 主帳號:用來註冊重要的、工作相關的網站
- 測試帳號:專門用來註冊測試新網站
這樣既能享受第三方登入的便利,又不會讓重要的個資被不知名網站取得。
結語
第三方登入確實是個好工具,但請記住這個原則:
不要看到登入方便就亂點
安全前提是「你知道你給了誰進你家的門」
網路安全不是什麼高深學問,就像保護家裡的鑰匙一樣,多一分謹慎,多一分安全!
