Facebook obsługuje prawie 2 miliardy użytkowników, z czego ponad miliard na co dzień. Ci użytkownicy są rozsiani po całym świecie i każdy z nich ma konto. Większość z tych kont jest chroniona jedynie przez hasło , co oznacza, że złośliwa osoba, która zna Twój adres e-mail, potrzebuje jeszcze jednej informacji, aby ukraść Twoje konto. Facebook ma trudną pracę polegającą na wymyśleniu, jak temu zapobiec bez niedogodności lub dezorientacji wszystkich użytkowników, których normy kulturowe i znajomość obsługi komputera są bardzo zróżnicowane.
Jedną z funkcji bezpieczeństwa Facebooka jest uwierzytelnianie dwuskładnikowe, które możesz mógł słyszeć o . 2FA (powszechny skrót) może chronić Twoje konto nawet w przypadku, gdy ktoś uzyska Twoje hasło. 2FA jest zwykle implementowany za pomocą wiadomości SMS lub bezpiecznej aplikacji, takiej jak Google Authenticator, chociaż złotym standardem jest drugi czynnik fizyczny . Szczegóły zmieniają się w zależności od usługi, ale ogólny proces 2FA działa tak: 1) Wprowadzasz swoją nazwę użytkownika i hasło. 2) Witryna lub aplikacja przeniesie Cię do innego ekranu, na którym zostaniesz poproszony o wprowadzenie jednorazowego kodu wygenerowanego przez Twój drugi czynnik. Voila, jesteś w środku!
Ale pamiętasz miliardy różnych użytkowników Facebooka? Nie wszyscy są na tyle sumienni, by przeczytać drobnym drukiem. Okazuje się, że możesz włączyć 2FA, nie wiedząc tak naprawdę, co robisz, i w rezultacie stracisz dostęp do swojego konta. Facebook chce temu zapobiec prawie tak samo, jak chce powstrzymać hakerów przed rojem platformy.
Dlatego firma oferuje użytkownikom, którzy włączają 2FA, tygodniowy okres karencji, aby zdecydować, czy naprawdę tego chcą. Jest to opcjonalne, ale wybrane domyślnie. Przed upływem okresu prolongaty użytkownicy mogą logować się jak zwykle. Spowoduje to wyłączenie 2FA.
Nie wszyscy uważają, że to świetny pomysł.
jak wysoki jest kit hoover
Jest to rodzaj nieodpowiedzialnej, martwej mózgów polityki bezpieczeństwa, która szkodzi ludziom, @Facebook . Skończ z tym gównem. dok. @alexstamos pic.twitter.com/tVX7fczw37
-- Nadim Kobeissi (@kaepora) 25 maja 2017 r.
W pewnym stopniu niweczy to przede wszystkim cel ustanowienia 2FA. Atakujący może nadal dostać się na Twoje konto, używając tylko Twojego hasła, jeśli uda mu się uderzyć w okresie prolongaty.
jak wysoka jest Emma Slater
Niektórzy eksperci ze społeczności zajmującej się cyberbezpieczeństwem uważają, że wybór projektu Facebooka jest frustrujący. Nadim Kobeissi?, który stworzył aplikację do szyfrowania wiadomości Cryptocat, nazwano to „rodzaj nieodpowiedzialnej, martwej mózgów polityki bezpieczeństwa, która szkodzi ludziom”. Dodał: „Niewiarygodne. Spędziłem cały dzień, próbując dotrzeć do sedna, dlaczego Facebook działacza społecznego *pozostał* niepewny nawet po 2FA. Okazało się, że winowajcą był okres karencji.
Inżynier bezpieczeństwa Facebooka Brad Hill wtrącił się powiedzieć, że funkcja ta „jest po to, aby chronić ludzi, którzy nie czytają instrukcji podczas wykonywania istotnych czynności”, wskazując, że użytkownicy mają wybór, czy chcą okresu karencji:
Jest po to, aby chronić ludzi, którzy nie czytają instrukcji podczas robienia istotnych rzeczy. pic.twitter.com/WHxoXSa4As
-- Hillbrad (@hillbrad) 25 maja 2017 r.
Kobeissi odpalił , „Może to cię zaskoczyć, ale kiedy mamy do czynienia z niektórymi mieszkańcami regionu MENA, implikacje tego drobnego druku nie są częścią ich modelu”. Do którego wzgórza odpowiedział , „Właściwie wcale nie jestem zaskoczony, że istnieją różne modele umysłowe tego, jak 2FA działa w populacji prawie 2 miliardów ludzi. Dosłownie spędzam godziny każdego dnia myśląc o tym. A ja patrzę na dane. (Kobeissi dalej rozwijał swoje myślenie) tutaj .)
jak wysoki jest jay glazer
szef bezpieczeństwa Facebooka Alex Stamos opracowane w tweetstorm : „Podobnie jak w przypadku pasów bezpieczeństwa, trybem awarii nr 1 jest nieużywanie 2FA. Wątpię, aby jakikolwiek duży dostawca miał lepszą niż jednocyfrową penetrację. Czy więc obwiniamy ludzi, którzy nie decydują się na korzystanie z funkcjonalności skierowanej do purystów bezpieczeństwa, czy też projektujemy system, który działa dla wszystkich? Podobnie jak w przypadku [szyfrowania od końca do końca], 2FA to technologia spływająca, wymagana i wdrażana przez ekspertów, którzy uwielbiają kłócić się o kluczowe przypadki i tryby awarii”.
Następnie zauważył: „Pamiętaj, że przeciwnik również otrzymuje głos. Zezwalanie na natychmiastowe zablokowanie kont będzie nadużywane również podczas przejmowania kont”. Innymi słowy, hakerzy, którzy przejmą kontrolę nad kontem, umożliwią 2FA w celu zablokowania legalnym użytkownikom możliwości odzyskania ich kont. (Oczywiście byłoby dziwne, gdyby haker wybrał okres prolongaty).
Ludzie, na których polegają menedżery haseł generowanie i przechowywanie długich, unikalnych haseł skutecznie ogranicza ich ryzyko. Z drugiej strony osoby, które w kółko korzystają z tych samych danych uwierzytelniających w różnych usługach, są znacznie łatwiejsze do namierzenia, ponieważ bazy danych kont i haseł są często łamane i wydany w darknetach.
Facebook zdaje sobie z tego sprawę, więc firma stara się pomóc użytkownikom chronić się. Oczywiście chce zminimalizować liczbę kont, które zostaną zhakowane.
Złośliwej osobie znacznie trudniej jest przejąć konto chronione przez 2FA (chociaż sprytna socjotechnika, która zwykle obejmuje kontakt z przedstawicielami pomocy technicznej firmy i oszukanie ich, może czasami załatwić sprawę, i SMS nie jest całkowicie bezpieczny ). Większość hakerów chce szybko „zawłaszczyć” (hacker-mówi na własną rękę) wiele kont i nie są skłonni poświęcać dodatkowego czasu i wysiłku na jednego użytkownika.
Innymi słowy, utrzymywanie bezpieczeństwa kont na Facebooku jest w równym stopniu kwestią zrozumienia ludzkich zachowań, co budowania narzędzi technologicznych. Jak powiedział inżynier Brad Hill, kiedy masz do czynienia z miliardami użytkowników, musisz uwzględnić wiele różnych poziomów doświadczenia i różne koncepcje działania bezpieczeństwa. Każda opcja „jeden rozmiar dla wszystkich” z pewnością rozczaruje niektórych.
