长久以来,随着我们使用的网络服务越来越多,每一次注册时都要不厌其烦的填写各种个人信息甚至已经变成了一项单纯的体力劳动。与此同时,每个人手中的各类互联网账号数量自然也是水涨船高,想要准确、安全的记忆和储存这些关乎各种个人隐私的数据也逐渐成为了一门生意,近年来,更是涌现了比如通行密钥(Passkey)这样的新标准,尝试从新的角度来决解这个繁杂的注册和登录问题。
不过比起新兴的Passkey规范,针对这个账号问题,其实还有一个更为我们所熟知的替代品——第三方账号授权登录。虽然你可能没有听说过,但这个基于2006年成立的OAuth联盟提出的授权标准的的确确已经陪伴了我们十年了——上至SigninwithApple、下到微信登录小程序,里面其实都能看到OAuth协议的影子,并且我们每个人都已经在或多或少的使用它了。
使用这些主流的软件账号体系进行授权登录,以及直接关联创建账号,对于亟需新用户的中小规模服务商来说是一笔划算的买卖,最显著的原因莫过于这样可以极大的简化注册流程、变相提升用户转化率。但是对于我们这样的终端用户而言,授权登录却更像是一把双刃剑:一方面,简化的注册流程的确提高了我们的效率,不必再满浏览器的寻找还没有被自己用来注册过的邮箱;但是另一方面,快捷无感的注册流程也为个人隐私泄露埋下了隐患,毕竟这里原本就是在《使用协议》和《授权协议》里玩文字游戏的绝佳场所。在很多情况下,我们其实是不清楚自己究竟授权出去了哪些权利的。
正因如此,能够及时且透彻的了解自己做过哪些授权登录,究竟授权了哪些信息和权限,并且最重要的——了解怎样撤销授权实际上是保护个人信息安全的重中之重。
国外御三家AppleiCloud网页版也可以管理
取决于系统版本,这个管理窗口的样式也可能有一些细微差别
Google相比起SigninwithApple,Google自己的授权登录功能SigninwithGoogle的知名度在国内则显而易见的不是很高。但如果你正在使用X、Pinterest、Medium之类的平台的话,在创建新账号的时候就可以看到使用Google账号的选项了:
与SigninwithApple略有不同的是,除了直接通过Google账号邮箱创建账号之外,SigninwithGoogle在适配的app或者网站中也可以扩展到提供GoogleDrive或者Google相册的访问。同时,它的使用场景也不仅仅是注册新账号,许多PlayStore上面的游戏会选择接入GooglePlayGames服务、直接将Google账号作为游戏存档同步和奖杯系统的依据(类似依靠iCloud同步的GameCenter)——换句话说,SigninwithGoogle的被授权登录方能够接触到的账号信息相比Apple多了不少。
Microsoft比起Apple和Google,微软账号的第三方授权使用场景不是那么丰富,反而是在通过第三方邮件客户端中登录Outlook邮箱、或者一些可以关联到OneNote的RSS客户端或是连接到OneDrive的第三方应用使用的比较多。对于微软账号,最方便的管理方式就是直接在微软账号的网页管理界面上操作了。
在曾经授权过的app的界面里,微软会列出你授权使用的具体信息、授权时间和最后使用的时间,以及撤销授权的开关,无需二次确认即可直接移除权限。
Facebook(Meta)众所周知,御三家指的其实是四所公司。
从前两年的高调改名,到扎克伯格的低分辨率截图,再到最近Thread横空出世以及八角笼决斗,Meta公司这几年「不务正业」的氛围似乎越来越浓了。不过哪怕CEO和元宇宙都不靠谱,包括Facebook、Instagram和WhatsApp在内的Meta软件生态依然是不容小觑的。此外,由于Facebook相比前面三家拥有明显的强社交属性,它同样也成为了很多游戏愿意支持的账号系统。
想要管理用Facebook账号授权过的第三方服务的话,可以在Facebookapp或者网页版的设置中进入「应用和网站」,里面会列出你授权的具体信息,比如用户名、邮箱、性别信息或者生日等等,同时还给出了一些更加细分的调整项——你可以选择续期,禁用通知甚至是本次授权的可见性(比如向你的好友展示你用Facebook账号登录了Pinterest)——当然,也可以简单干脆的一键撤销授权。
简中三小龙QQ与微信作为国内网络环境中授权登录的大头,QQ和微信在第三方授权的管理上还算透明。虽然不一定提供了Apple或者Google那样便捷的网页管理入口(至少QQ可以通过QQ互联来管理),但是在对应的app内操作还是相对直观的:
这里使用的是TIM,在QQapp中的路径相同
然而,虽然管理便捷,但仍然有一个部分是我们无法忽视的:微信小程序。比起使用微信号登录第三方app,微信对于使用微信账号授权登录小程序的态度可以说相当的模糊和暧昧——虽然登录小程序很方便、登录同时也可以选择是否要隐藏自己的昵称和头像,但是后续想要对这些授权进行管理却麻烦很多。
但小程序开发者会不会完全删除你的相关信息呢?至少根据微信官方提供的小程序开发指引,以及微信开放社区中的一些问答来看,删除与否依然最终是开发者决定的、微信官方不会强制执行:
对于这样的情况,只能建议以后在授权微信账号登录小程序的时候,一定要考虑清楚了再给。
支付宝支付宝,或者说整个阿里系应用的账号授权管理,同样因为相互授权和支付宝小程序的加入而变得相当混乱。不过至少对于支付宝来说,管理授权信息的方式相比微信还是更直观一些,你可以在支付宝app的「设置-用户保护中心-个人信息授权管理」中对绝大多数你使用支付宝账户登录的第三方app(比如高德地图)和支付宝小程序(比如街道上的便利贩卖机)进行管理:
可惜还是没有批量选择和撤权
其他服务商新浪微博如果说前面的那些大服务商至少还有个态度可言的话,新浪微博对于第三方登录授权的管理「虽然称不上是简洁明了吧,至少也可以说是胡搅蛮缠」。想要查看和修改使用微博账号授权登录过的第三方服务,新浪在这里给你留下的路上可谓是:
因为此时最大的问题,并不是管理的路径有多么曲折,而是新浪微博现在完全不允许你查看和撤销授权登录记录了。此前,你还可以通过登录网页版微博,在个人主页的「我的应用」界面下对调整登录过的第三方app,但是在某一次网页版更新之后,新浪直接去除了这个入口:
最左为一份2019年的百度知道回答,此时管理界面仍然可见;右侧为目前的微博网页版界面
不过新浪微博也算是个「端起碗来吃肉、放下筷子骂娘」的数典忘祖的典范了,其各种强推移动端app弃网页版于不顾的行为简直罄竹难书。那么按理说第三方授权管理如果在网页端找不到,在移动端app上面一定得有个管理入口了吧?
新浪说:我不仅能骂娘,我还要砸锅:
我们不知道新浪是从哪里获得的勇气,因为连微信这种历来喜欢胡搅蛮缠的家伙在第三方授权登录的管理上都没有端出这样一副架子。只能说以后在登录app的时候,千万不要选用微博账号做授权。
更新于2023年9月4日:
想要对微博账号的授权进行管理,我们最终还得回到网页端,但并不是我们熟悉的,而是十年前的微博应用广场:
在微博应用广场里面,你不仅可以进入「我的应用」中看到你用微博账号给哪些app做了授权,还能看到很多非常具有年代感的宣传图:
豆瓣豆瓣本身对于其他账号系统的授权登录虽然支持范围不广——至今也就只有微信和微博——但是对于管理豆瓣账号的登录授权还是留下了空间的。与前面新浪微博的态度截然相反,你在豆瓣的手机app上反而看不到用豆瓣授权登录过的第三方服务,而是需要回到网页版豆瓣上,在「我的账号-账号管理-第三方应用授权」下面才能找到相对应的管理界面:
百度国内互联网三大家BAT中的「B」是如何从百度变成字节跳动(ByteDance)的,大家想必都能说出一二,随着百度在各个服务领域的受挫,时至今日仍然被高频率使用的似乎也就剩下百度网盘了,使用百度账号的授权登录自然也随之式微,目前基本上只拘泥于百度系内的app登录了。你可以在百度账号的设置页面中进入「授权管理」来调整第三方登录的授权。
抖音授权管理的本质仍然是安全意识无感授权第三方登录这件事情可以说极大的简化了我们接触和使用新服务的流程,同时也很容易让我们对于类似的授权失去警惕。虽然在很多时候,「授权登录」并不会像语焉不详的用户协议那样不允许就不让你用,但这样四通八达的账号体系背后,很容易在不经意间流露出去的依然是我们自己的隐私——因为在很多时候,我们自己都没有意识到自己的网络账号在日积月累中留下了多少可以被分析的个人信息。及时对这些信息进行筛选和管理,是从源头上防止个人信息被滥用的关键一步。
此外,工信部也于近日联合四大运营商推出了「二次号码焕新」服务,该功能本意是解决因二次放号导致的前任用户账号信息泄露等问题,用户可通过运营商App一键解绑前机主绑定的互联网账户,提升个人信息安全性。在需要时也能用于解绑不必要、和当前手机号绑定的互联网账户。
