Facebook oskrbuje skoraj 2 milijardi uporabnikov, od tega več kot milijardo dnevno. Ti uporabniki so razpršeni po vsem svetu in vsak od njih ima svoj račun. Večina teh računov je samo zaščitena z geslo, kar pomeni, da zlonamerna oseba, ki pozna vaš e-poštni naslov, potrebuje le še en podatek za krajo vašega računa. Facebook ima težko delo, kako ugotoviti, kako to preprečiti, ne da bi oviral ali zmedel vse tiste uporabnike, katerih kulturne norme in računalniška pismenost se zelo razlikujejo
Ena od varnostnih funkcij Facebooka je dvofaktorska avtentikacija, ki jo vi morda že slišal za . 2FA (običajna okrajšava) lahko zaščiti vaš račun, tudi če nekdo pridobi vaše geslo. 2FA se običajno izvaja prek sporočil SMS ali varne aplikacije, kot je Google Authenticator, čeprav je zlati standard a fizični drugi dejavnik . Podrobnosti se spreminjajo od storitve do storitve, vendar splošni postopek 2FA deluje tako: 1) Vnesete svoje uporabniško ime in geslo. 2) Spletno mesto ali aplikacija vas popelje na drug zaslon, kjer morate vnesti enkratno kodo, ki jo ustvari vaš drugi faktor. Voilà, noter si!
Se pa spomnite milijard različnih uporabnikov Facebooka? Niso vsi dovolj vestni, da bi prebrali drobni tisk. Izkazalo se je, da lahko omogočite 2FA, ne da bi zares vedeli, kaj počnete, in na koncu zaklenjeni iz svojega računa. Facebook želi to preprečiti skoraj toliko, kolikor hoče hekerjem preprečiti rojenje platforme.
Tako podjetje ponuja uporabnikom, ki omogočijo 2FA enotedensko podaljšanje obdobja, da se odločijo, ali si to resnično želijo. Neobvezna, vendar privzeto izbrana. Pred iztekom obdobja mirovanja se lahko uporabniki prijavijo kot običajno. S tem boste izklopili 2FA.
Vsi ne mislijo, da je to dobra ideja.
kako visok je kit hoover
To je vrsta neodgovorne, možgansko mrtve varnostne politike, ki škodi ljudem, @Facebook . Izreči to sranje. cc. @alexstamos pic.twitter.com/tVX7fczw37
- Nadim Kobeissi (@kaepora) 25. maj 2017
To do neke mere premaga namen vzpostavitve 2FA. Napadalec lahko še vedno vstopi v vaš račun samo z uporabo vašega gesla, če mu uspe napasti v obdobju mirovanja.
bik in moi neto vrednost
Nekaterim strokovnjakom iz skupnosti kibernetske varnosti je izbira Facebookovega oblikovanja moteča. Nadim Kobeissi ?, ki je ustvaril aplikacijo za šifriranje sporočil Cryptocat, imenoval 'vrsta neodgovorne, možgansko mrtve varnostne politike, ki škodi ljudem.' Dodal je še: 'Neverjetno. Cel dan sem poskušal ugotoviti, zakaj je Facebook * družbenega aktivista ostal * negotov tudi po 2FA. ' Izkazalo se je, da je bil grejs čas kriv.
Facebook varnostni inženir Brad Hill je nagovoril reči, da je funkcija 'namenjena zaščiti ljudi, ki ne preberejo navodil, ko delajo posledične stvari', in opozorila, da imajo uporabniki možnost izbire, ali si želijo podaljšanega obdobja:
Tam naj bi zaščitil ljudi, ki ne preberejo navodil, ko delajo posledično. pic.twitter.com/WHxoXSa4As
- hillbrad (@hillbrad) 25. maj 2017
Kobeissi strel nazaj , 'To vas bo morda presenetilo, toda ko se ukvarjate z nekaterimi ljudmi iz regije MENA, posledice tega drobnega tiska niso del njihovega modela.' Na kateri hrib se je odzval , 'Pravzaprav sploh nisem presenečen, da obstajajo različni mentalni modeli, kako deluje 2FA pri skoraj 2 milijardi prebivalcih. Vsak dan dobesedno ure in ure razmišljam o tem. In gledam podatke. ' (Kobeissi je nadalje razložil svoje razmišljanje tukaj .)
koliko je visok al roker
Glavni varnostni uradnik Facebooka Alex Stamos izdelan v tweetstormu : 'Tako kot pri varnostnih pasovih se način napake # 1 ne uporablja 2FA. Dvomim, da ima kateri koli večji ponudnik boljši od enomestne penetracije. Torej krivimo ljudi, ki se ne odločijo za uporabo funkcionalnosti, namenjene varnostnim puristom, ali načrtujemo sistem, ki deluje za vse? Kot pri [šifriranju od konca do konca] je tudi 2FA tehnologija, ki jo zahtevajo in izvajajo strokovnjaki, ki se radi prepirajo glede vogalnih primerov in načinov okvar. '
Nadalje je zapisal: „Ne pozabite, da tudi nasprotnik dobi glas. Dovoljenje, da se računi takoj zaklenejo s perma, bo zlorabljeno tudi pri prevzemih računov. ' Z drugimi besedami, hekerji, ki prevzamejo nadzor nad računom, bodo omogočili 2FA, da bi zakonitim uporabnikom preprečili obnovitev računov. (Seveda bi bilo nenavadno, če bi se heker odločil za odlog.)
Ljudje, ki se zanašajo skrbniki gesel za ustvarjanje in shranjevanje dolgih, enoličnih gesel učinkovito omejuje njihovo tveganje. Na ljudi, ki vedno znova in znova uporabljajo iste poverilnice za različne storitve, pa je veliko lažje ciljati, saj na zbirke podatkov računov in gesel pogosto kršijo in izpuščen na darknets.
Facebook se tega zaveda, zato podjetje skuša uporabnikom pomagati pri zaščiti. Očitno želi zmanjšati število računov, ki jih vdrejo.
Zlonamerna oseba je veliko težje ugrabiti račun, zaščiten z 2FA (čeprav pametni socialni inženiring, ki običajno vključuje stik s predstavniki podpore podjetja in njihovo prevaro, včasih lahko naredi trik in SMS ni popolnoma varen ). Večina hekerjev želi hitro 'zastaviti' (hekersko govoriti) veliko računov in niso pripravljeni posvetiti dodatnega časa in truda enemu uporabniku.
Z drugimi besedami, varovanje računov v Facebooku je tako stvar razumevanja človeškega vedenja kot gradnja tehnoloških orodij. Kot je dejal inženir Brad Hill, se morate pri opravkih z milijardami uporabnikov prilagoditi različnim izkušnjam in različnim konceptom, kako naj deluje varnost. Vsaka možnost 'ena velikost za vse' bo nekatere razočarala.
