多个用户发布到单个社交网络帐户的最安全方式

信息安全 Web应用程序 访问控制 正直 可用性
2021-08-13 07:22:45

假设我有一个团队或组织管理一个 Twitter 帐户和一个 Facebook 页面。不同的用户需要能够将内容发布到同一个帐户。如何最大限度地降低此帐户被盗用的风险?

在我看来,理想的情况是(1)多个用户拥有发布权限,并且没有用户拥有管理员权限,结合(2)通过只能用于发布但不能更改的服务间接发布到帐户设置。

我可以通过 Twitter 实现这一点:该帐户永远不会在任何浏览器或应用程序中使用。密码离线保存在安全的地方。每个用户都设置了一个 Tweetdeck 帐户并将 twitter 帐户与其关联。这样他们可以发布到 Twitter,但不能更改原始 Twitter 密码或任何其他设置。如果有人未经授权访问了任何团队成员的 tweetdeck 帐户,最坏的可能结果将是推文。如果原始 twitter 帐户被黑客入侵或忘记密码,则会进行通常的帐户恢复。由于原始帐户只是间接使用,它实际上不如经常使用的帐户不安全。

这种方法在被公共汽车撞到的情况下也有帮助:用于 twitter 帐户的电子邮件是属于组织的电子邮件帐户,因此获取帐户恢复信息是微不足道的。

我没有想到在 Facebook(或其他社交网络上没有类似的方法,其中有与个人资料相关联的次要资料。我认为 Google Plus 也有这种行为)?

在 Facebook 中,至少一个用户必须是“页面”的管理员。管理员凭据链接到日常使用的个人帐户。如果此个人帐户被盗用,则整个页面都会被盗用。多个用户可以是管理员,但这只会带来多重风险,因为单个管理员可以删除所有其他管理员。

再加上针对 facebook 的大量恶意软件和 xss 攻击,以及虚假登录屏幕和社会工程攻击。

1) 我在推特上发帖的假设和方法是正确的还是有缺陷的?2)如果(1)是正确的,如何继续发布到FB?

4个回答

在这种情况下,我不会尝试在每个平台上推出自己的解决方案,因为有专门设计用于管理团队对社交媒体帐户的访问的工具。 例如,HootSuite具有许多团队管理功能。那时您所要做的就是管理对 HootSuite 的访问,而不是 Twitter 和 FaceBook 以及您可能拥有帐户的任何其他地方。对于 HootSuite 以外的选项(我个人不使用,因此无法保证),请尝试使用“团队社交媒体营销管理工具”或类似内容进行搜索。

我建议让一个用户有权进行实际发布,并作为所有其他用户的代理。这使他可以避免碰撞(两张海报几乎同时发布相同的内容)。为了为该特定用户的过早死亡做好准备,密码的备份保存在安全的地方(最好是保险箱)。

超过两个人共享的秘密不再是秘密,所以不要共享密码。

如何继续发布到FB?

添加到其他答案我想说的是,即使使用 facebook 页面,您也有一些其他选项,例如为您的页面设置 acontent creator或 a moderator

  • 这些人可以代表页面发布,也可以充当版主
  • 他们无权管理管理员角色。他们不能删除其他管理员。

链接将为您提供有关不同类型的 Facebook 页面管理员以及他们可以/不能做的事情的更多详细信息。

首先,您应该了解,fb 或 twitter 或任何其他社交网站都不是使用RBAC 的概念制作的。

您在问题中提到的所有功能都与 RBAC 功能交叉(例如编辑/添加权限、只读等)。

您自己提到了一些解决方法(例如 twitterdock),但我知道许多社交公关公司将 facebook 页面作为他们的网站替代页面,并且他们让一个人/角色完成所有网站管理任务。

其它你可能感兴趣的问题
上一篇将反 CSRF 令牌存储在 cookie 中 下一篇学习 Metasploit 的好资源有哪些?