Facebook slúži takmer 2 miliardám používateľov, z toho je viac ako miliarda denne. Títo používatelia sú rozšírení po celom svete a každý z nich má svoje konto. Väčšina z týchto účtov je chránená iba a heslo, čo znamená, že zlomyseľná osoba, ktorá pozná vašu e-mailovú adresu, potrebuje na ukradnutie vášho účtu iba jednu ďalšiu informáciu. Facebook má zložitú úlohu prísť na to, ako tomu zabrániť, a to bez toho, aby to obťažovalo alebo miatlo všetkých tých používateľov, ktorých kultúrne normy a počítačová gramotnosť sa veľmi líšia.
Jednou z bezpečnostných funkcií Facebooku je dvojfaktorová autentifikácia, ktorú máte možno počul o . 2FA (bežná skratka) môže chrániť váš účet aj v prípade, že niekto získa vaše heslo. 2FA sa zvyčajne implementuje prostredníctvom správ SMS alebo zabezpečenej aplikácie, ako je Google Authenticator, hoci zlatým štandardom je a fyzický druhý faktor . Podrobnosti sa menia od služby k službe, ale všeobecný proces 2FA funguje takto: 1) Zadáte svoje používateľské meno a heslo. 2) Web alebo aplikácia vás presmeruje na inú obrazovku, kde sa zobrazí výzva na zadanie jednorazového kódu vygenerovaného druhým faktorom. Voilà, si tu!
Pamätáte si však na miliardy rôznych používateľov Facebooku? Nie všetky sú dostatočne svedomité na to, aby si prečítali drobné písmo. Ukázalo sa, že 2FA môžete povoliť bez toho, aby ste skutočne vedeli, čo robíte, a nakoniec skončiť uzamknutý vo svojom účte. Facebook tomu chce zabrániť takmer rovnako, ako chce zabrániť hackerom v rojení platformy.
Spoločnosť teda ponúka používateľom, ktorí umožňujú 2FA týždennú ochrannú lehotu na rozhodnutie, či to skutočne chcú. Je to voliteľné, ale predvolene vybrané. Pred uplynutím ochrannej lehoty sa používatelia môžu prihlásiť ako obvykle. Týmto krokom vypnete 2FA.
Nie každý si myslí, že je to skvelý nápad.
cuanto mide tom izzo
Toto je druh nezodpovednej, na mozog mŕtvy bezpečnostnej politiky, ktorá poškodzuje ľudí, @Facebook . Vystrihnite tieto kecy. cc. @alexstamos pic.twitter.com/tVX7fczw37
- Nadim Kobeissi (@kaepora) 25. mája 2017
To do istej miery v prvom rade ruší účel nastavenia 2FA. Útočník sa do vášho účtu môže dostať iba pomocou hesla, ak sa mu podarí zasiahnuť v rámci ochrannej lehoty.
zulay henao y joel rush
Niektorým expertom v komunite kybernetickej bezpečnosti je výber dizajnu Facebooku frustrujúci. Nadim Kobeissi ?, ktorý vytvoril aplikáciu na šifrovanie správ Cryptocat, nazval to „druh nezodpovednej, na mozog mŕtvy bezpečnostnej politiky, ktorá škodí ľuďom.“ A dodal: „Neuveriteľné. Celý deň som sa snažil prísť na to, prečo facebook * sociálneho aktivistu * zostal * neistý aj po 2FA. “ Ukázalo sa, že vinníkom bolo obdobie odkladu.
Bezpečnostný technik Facebooku Brad Hill zazvonil povedať, že táto funkcia je „určená na ochranu ľudí, ktorí si pri následných veciach nečítajú pokyny“, čo poukazuje na to, že používatelia majú na výber, či chcú ochrannú lehotu:
Je to na ochranu ľudí, ktorí si neprečítajú pokyny, keď robia následné veci. pic.twitter.com/WHxoXSa4As
- hillbrad (@hillbrad) 25. mája 2017
Kobeissi zastrelený „To vás možno prekvapí, ale pri jednaní s ľuďmi z regiónu MENA nie sú dôsledky tejto jemnej tlače súčasťou ich modelu.“ Na ktorú Hill reagoval „V skutočnosti ma vôbec neprekvapuje, že existujú rôzne mentálne modely fungovania 2FA v populácii takmer 2 miliárd ľudí. Doslova každý deň trávim hodiny premýšľaním o tom. A pozerám na dáta. ' (Kobeissi ďalej rozvinul svoje myslenie.) tu .)
Wesley Snipes es gay?
Hlavný bezpečnostný pracovník Facebooku Alex Stamos vypracované v tweetovej búrke : „Rovnako ako v prípade bezpečnostných pásov, aj v prípade poruchy č. 1 sa režim 2FA nepoužíva. Pochybujem, že každý veľký poskytovateľ má lepšiu penetráciu ako jednomiestne číslo. Obviňujeme teda ľudí, ktorí sa nerozhodnú používať funkcie zamerané na bezpečnostných puristov, alebo navrhneme systém, ktorý bude fungovať pre všetkých? Rovnako ako [end-to-end šifrovanie], 2FA je technológia zvyšovania výkonu, požadovaná a implementovaná odborníkmi, ktorí sa radi hádajú o najhorších prípadoch a poruchových režimoch. “
Ďalej poznamenal: „Pamätajte, že protivník tiež dostane hlas. Okamžité umožnenie okamžitého uzamknutia účtov bude tiež zneužité pri preberaní účtov. ““ Inými slovami, hackeri, ktorí sa zmocnia kontroly nad účtom, umožnia 2FA s cieľom zablokovať legitímnym používateľom obnovenie ich účtov. (Samozrejme, bolo by čudné, aby sa hacker rozhodol pre ochrannú lehotu.)
Ľudia, ktorí sa spoliehajú správcovia hesiel generovanie a ukladanie dlhých jedinečných hesiel účinne obmedzuje ich riziko. Na druhú stranu je oveľa jednoduchšie zacieliť ľudí, ktorí používajú rovnaké poverenia opakovane pre rôzne služby, pretože databázy účtov a hesiel sú často porušované a uvoľnené na temných sieťach.
Facebook si to uvedomuje, a tak sa spoločnosť snaží pomôcť používateľom chrániť sa. Zrejme to chce minimalizovať počet účtov, ktoré budú napadnuté.
Pre osobu so zlým úmyslom je oveľa ťažšie uniesť účet chránený protokolom 2FA (aj keď šikovné sociálne inžinierstvo, ktoré zvyčajne zahŕňa kontaktovanie zástupcov podpory spoločnosti a ich oklamanie, niekedy dokáže tento trik a SMS nie sú úplne bezpečné ). Väčšina hackerov chce rýchlo „vybaviť“ (hacker hovorí sám za seba) veľa účtov a nie sú ochotní venovať viac času a úsilia jedinému používateľovi.
Inými slovami, zabezpečenie účtov na Facebooku je rovnako otázkou porozumenia ľudského správania, ako aj budovania technologických nástrojov. Ako povedal inžinier Brad Hill, pri rokovaniach s miliardami používateľov musíte vyhovieť mnohým rôznym úrovniam skúseností a rôznym koncepciám, ako by mala fungovať bezpečnosť. Niektorá možnosť „univerzálna pre všetkých“ niektorých ľudí určite sklame.
