Proč si pamatovat různá přihlašovací jména a hesla, když vám stačí jen jedna sada údajů? „Jedno heslo – celý internet.“ Pod tímto sloganem Seznam.cz v aktuální kampani přesvědčuje, že se lidé mají pokud možno všude přihlašovat přes jeho systém. Jenže spíš než o bezpečnost uživatelů jde české internetové jedničce o její byznys.
Kampani předcházel průzkum, který si Seznam nechal zpracovat agenturou STEM/MARK. Na Novinkách a Seznam Zprávách výzkum vyhodnotili jako hodný vlastní redakční zprávy, mimo média Seznamu se dá najít spíš jako označená komerční prezentace. V textu o průzkumu každopádně najdeme pozoruhodná tvrzení.
Z dotazníků vychází známá skutečnost, že více než čtvrtina respondentů používá většinou nebo vždy stejné heslo na různých službách a další čtvrtina to dělá aspoň někdy. To opravdu není dobré, únik hesla z jedné služby rázem kompromituje i služby další. Jako řešení text doporučuje tzv. stálé přihlášení přes důvěryhodného poskytovatele. Tím má být… překvapení! … Seznam, který svou autentifikaci (podobně jako Google, Facebook a další platformy) už nějakou dobu poskytuje také třetím stranám (najdete ji třeba na některých e-shopech).
Jak na Twitteru glosoval datový novinář z Českého rozhlasu Jan Cibulka, standardnějším řešením přitom jsou (kromě dvoufaktorové autentizace, 2FA) tzv. správci hesel, kteří uživateli umožňují vygenerovat pro každou službu dlouhé unikátní heslo, a navíc dnes už obvykle i automaticky kontrolují, zda některé z vašich hesel nepadlo potenciálním útočníkům do rukou v rámci některého z úniků.
Starost o bezpečnost?
Přihlašování přes Seznam na druhou stranu obsahuje tolik háčků, že byste na ně chytili hejno makrel. Jeho používáním se upisujete závislosti na jedné velké firmě (stejně jako když se na webech či v aplikacích přihlašujete přes účet Googlu nebo Facebooku). Jak třeba budete řešit komplikace s přihlašováním jinam, když vám Seznam z nějakého důvodu zablokuje účet?
A když si budete chtít přihlašování pojistit dvoufaktorovým ověřováním, tuto závislost jen posílíte. U Seznamu je totiž 2FA možné zapnout jen a výhradně po nainstalování mobilní aplikace Seznam.cz nebo desktopového prohlížeče Seznamu. Tedy aplikací sloužících primárně mimo jiné (19. 8. 8:15 – oprava autora: nahrazen příliš ostrý výraz, prohlížeč patrně nevznikl primárně za účelem sledování uživatelů) k tomu, aby Seznam mohl sledovat pohyb uživatele internetem a nabízet mu cílenou reklamu. Google, Microsoft nebo Facebook kupodivu na rozdíl od Seznamu u zabezpečení tohle omezení nemají a umožňují používaní i 2FA aplikací jiných firem.
Jistě, pro část uživatelů, kteří správce hesel z nějakého důvodu používat nechtějí, může pořád jít o řešení, které je přece jen o něco lepší než přepoužívání hesel na různých službách. S určitými výhradami si to myslí i bezpečnostní expert Michal Špaček. „Není to správce hesel, ale řeší aspoň problém používání jednoho hesla na více místech,“ říká. „Pokud už uživatel technologie Seznamu používá a nějakým způsobem mu důvěřuje, pak je tohle pro něj asi docela fajn. Nemusí mít jedno stejné heslo pro více služeb a webů, nemusí si je pamatovat (a nemusí kvůli tomu mít Facebook),“ dodává.
„Otázkou je, jak se k tomu jednomu heslu staví Seznam. Jestli si je vědomý, že je fakt důležité. Jestli kontroluje přitomnost tohoto hesla v únicích. Jestli vynucuje, nebo aspoň důrazně doporučuje 2FA,“ dodává. „Osobně preferuju klasické správce hesel, protože v nich jsou tyto věci obvykle známé (a není třeba používat Seznam) a není za nimi žádný marketingový nástroj,“ uzavírá Špaček.
A o to jde. Ne starost o bezpečnost, ale právě tyto „marketingové“, nebo spíš obchodní nástroje jsou patrně jedním z hlavních důvodů, proč Seznam na používání své autentizace tlačí.
Pořád přihlášený uživatel
Svět digitální reklamy už několik let řeší, co přijde po konci používání cookies třetích stran. Ty teď slouží ke sběru informací o chování uživatelů online a tato data se používají k cílení reklamy. Prohlížeče ale po tlaku veřejnosti i politiků přestávají 3rd party cookies podporovat a poskytovatelé reklamního prostoru se snaží přijít s řešeními, která by je mohla nahradit.
Jak řešíte nutnost pamatovat si velké množství hesel?
Jedno z nich vychází (zjednodušeně) z toho, že pokud je uživatel přihlášený, je možné jeho činnost online nadále sledovat. Proto konec 3rd party cookies nejméně ohrožuje (ba spíše posiluje) velké platformy typu Google, Facebook či Apple, které těží z toho, že uživatelé jsou na jejich službách přihlášení. A proto se snaží uživatele přimět k tomu, aby byl přihlášený pokud možno pořád – v aplikacích sociálních sítí, ve smartphonech přes systém Android či iOS, na webech s použitím přihlášení přes Google, Facebook, Apple a podobně. Čím více jsou lidé přihlášení, tím více informací o sobě sdělují – a funguje to navíc i napříč zařízeními, která během dne používají.
Seznam míří stejnou cestou. Ne náhodou před několika lety bez většího povšimnutí zavedl na svých službách z mého pohledu dost neuvěřitelný trik, jak data o uživateli neztratit ani poté, co se dotyčný z jeho služeb odhlásil. Možná si to ani neuvědomujete, ale pokud na Seznamu kliknete na Odhlásit se, ve skutečnosti pořád zůstáváte přihlášení a Seznam nadále zpracovává údaje, na jejichž základě vám může nabízet personalizovaný obsah (čti: cílenou reklamu). Skutečně se odhlásíte až ve chvíli, když kliknete na Zapomenout uživatele. Jestli tohle není aktuálně tak zatracovaný „dark pattern“, tak nevím, co jiného by to mohlo být.
Loni na podzim na konferenci Czech Internet Forum také Seznam oznámil, že společně se sdružením Czech Publisher Exchange (CPEX) pracuje na vzniku systému, který by měl cookies třetích stran do velké míry nahradit a umožnit cílení reklamy i po jejich konci. Letos na jaře široké uskupení tuzemských vydavatelů potvrdilo, že půjde o identifikátor Czech Ad ID, který stojí a padá s tím, jak média dokáží své čtenáře přimět k tomu, aby se na jejich webech přihlašovali a také co nejdéle zalogování zůstávali.
Je tedy asi jasné, proč Seznam právě teď rozjíždí kampaň za to, aby lidé co nejvíce používali jeho přihlašovací mechanismus jak na jeho službách, tak i mimo jeho weby – a proč provozovatelům jiných služeb nabízí možnost používat logovací systém Seznamu zdarma.
Za deklarovanou starostí o vyšší bezpečnost se skrývá spíš snaha získat o uživatelích co nejvíce dat.