Facebook palvelee lähes 2 miljardia käyttäjää, yli miljardi heistä päivittäin. Nämä käyttäjät ovat levinneet ympäri maailmaa, ja jokaisella heistä on tili. Suurin osa näistä tileistä on vain suojattu a salasana, mikä tarkoittaa, että haitallinen henkilö, joka tietää sähköpostiosoitteesi, tarvitsee vain yhden lisätiedon varastamaan tilisi. Facebookilla on vaikea selvittää, miten se voidaan estää aiheuttamatta haittaa tai hämmennystä kaikille käyttäjille, joiden kulttuuriset normit ja tietokonetaito vaihtelevat suuresti
Yksi Facebookin suojausominaisuuksista on kaksivaiheinen todennus, jonka sinä ehkä kuullut . 2FA (yleinen lyhenne) voi suojata tiliäsi myös siinä tapauksessa, että joku saa salasanasi. 2FA toteutetaan yleensä tekstiviestien tai suojatun sovelluksen kautta, kuten Google Authenticator, vaikka kultastandardi on fyysinen toinen tekijä . Yksityiskohdat muuttuvat palvelusta palveluun, mutta yleinen 2FA-prosessi toimii näin: 1) Annat käyttäjänimesi ja salasanasi. 2) Verkkosivusto tai sovellus vie sinut toiseen näyttöön, jossa sinua pyydetään antamaan toisen tekijän luomasi kertaluonteinen koodi. Voilà, olet sisään!
Mutta muistatko Facebookin miljardit erilaiset käyttäjät? Kaikki eivät ole riittävän tunnollisia lukemaan hienoa. On käynyt ilmi, että voit ottaa 2FA: n käyttöön tietämättä todella mitä olet tekemässä, ja päätyä lukittuun tilillesi. Facebook haluaa estää sen melkein yhtä paljon kuin haluaa estää hakkereita ryöstämästä alustaa.
Joten yritys tarjoaa käyttäjille, jotka mahdollistavat 2FA: n viikon pituisen lisäajan, päättää, haluavatko he todella, todella. Se on valinnainen, mutta valitaan oletuksena. Ennen lisäajan päättymistä käyttäjät voivat kirjautua sisään normaalisti. Tällöin 2FA kytketään pois päältä.
Kaikkien mielestä se ei ole hieno idea.
kuinka paljon lonnie quinn tienaa
Tämä on sellainen vastuuton, aivokuollut turvallisuuspolitiikka, joka vahingoittaa ihmisiä, @Facebook . Leikkaa tämä paska pois. cc. @helsinki pic.twitter.com/tVX7fczw37
- Nadim Kobeissi (@kaepora) 25. toukokuuta 2017
Jossakin määrin tämä estää ensisijaisesti 2FA: n perustamisen. Hyökkääjä voi silti päästä tilillesi vain salasanasi avulla, jos hän onnistuu lyödä armon aikana.
jonka kanssa on criss enkeli naimisissa
Jotkut kyberturvallisuusyhteisön asiantuntijat pitävät Facebookin suunnitteluvalintaa turhauttavana. Nadim Kobeissi?, Joka loi salatun viestisovelluksen Cryptocat, Minähän sanoin 'sellainen vastuuton, aivojen kuollut turvallisuuspolitiikka, joka vahingoittaa ihmisiä'. Hän lisäsi: 'Uskomatonta. Vietin koko päivän päästäkseni siihen, miksi sosiaalisen aktivistin Facebook * pysyi * turvattomana myös 2FA: n jälkeen. ' Kävi ilmi, että syyllinen oli armonaika.
Facebookin turvallisuusinsinööri Brad Hill chimed sisään sanoa, että ominaisuus on 'suojattu ihmisiä, jotka eivät lue ohjeita tehdessään peräkkäisiä asioita', huomauttaen, että käyttäjille annetaan valinta, haluavatko he armonaikaa:
Sen tarkoituksena on suojella ihmisiä, jotka eivät lue ohjeita tehdessään seuraamuksia. pic.twitter.com/WHxoXSa4As
- hillbrad (@hillbrad) 25. toukokuuta 2017
Kobeissi ammuttiin takaisin 'Tämä saattaa yllättää sinut, mutta käsitellessäsi joitain MENA-alueen ihmisiä, tämän hienon tekstin vaikutukset eivät ole osa heidän malliaan.' Mille kukkulalle vastasi 'En todellakaan ole ollenkaan yllättynyt siitä, että 2FA: n toiminnalle on olemassa erilaisia henkisiä malleja lähes 2 miljardin ihmisen väestössä. Vietän kirjaimellisesti tunteja päivittäin ajatellen sitä. Ja katson tietoja. ' (Kobeissi kehitti edelleen ajatteluaan tässä .)
kuinka pitkä al roker on
Facebookin turvallisuuspäällikkö Alex Stamos kehitetty tweetstormissa : 'Kuten turvavöiden kohdalla, # 1-vikatila on 2FA, jota ei käytetä. Epäilen kenellä tahansa suurella palveluntarjoajalla on parempi kuin yksinumeroinen levinneisyys. Joten syytämme ihmisiä, jotka eivät halua käyttää turvallisuuspuristeille suunnattuja toimintoja, vai suunnitammeko kaikille sopivan järjestelmän? Kuten [end-to-end-salaus], 2FA on kaatopaikkatekniikka, jota vaativat ja toteuttavat asiantuntijat, jotka rakastavat kiistellä kulmatapauksista ja vikatiloista. '
Hän jatkoi: 'Muista, että myös vastustaja saa äänestyksen. Tilien välittömän lukitsemisen sallimista käytetään väärin myös tilien haltuunotossa. ' Toisin sanoen hakkerit, jotka tarttuvat tilin hallintaan, mahdollistavat 2FA: n estääkseen laillisia käyttäjiä palauttamasta tilinsä. (Tietysti olisi outoa, jos hakkeri valitsisi armoajan.)
Ihmiset, joihin luottavat salasanojen hallitsijat Pitkien, yksilöllisten salasanojen luominen ja tallentaminen rajoittavat tehokkaasti heidän riskiään. Ihmiset, jotka käyttävät samoja tunnistetietoja uudestaan ja uudestaan erilaisiin palveluihin, on toisaalta paljon helpompi kohdistaa, koska tili- ja salasanatietokannat rikotaan usein ja vapautettiin pimeysverkoissa.
Facebook tajuaa tämän, joten yritys yrittää auttaa käyttäjiä suojelemaan itseään. Ilmeisesti se haluaa minimoida hakkeroitujen tilien määrän.
Haitallisen henkilön on paljon vaikeampaa kaapata 2FA: n suojaama tili (vaikka älykäs sosiaalinen suunnittelu, johon yleensä liittyy yhteydenotto yrityksen tukihenkilöihin ja huijaaminen, voi joskus tehdä temppu, ja SMS ei ole täysin turvallinen ). Suurin osa hakkereista haluaa 'hakea' (hakkeri-puhua omasta puolestaan) nopeasti useita tilejä eivätkä ole halukkaita käyttämään ylimääräistä aikaa ja vaivaa yhdelle käyttäjälle.
Toisin sanoen Facebook-tilien pitäminen turvassa on yhtä paljon ihmisten käyttäytymisen ymmärtämistä kuin teknisten työkalujen rakentamista. Kuten insinööri Brad Hill sanoi, kun olet tekemisissä miljardien käyttäjien kanssa, sinun on mukautettava monia erilaisia kokemuksia ja erilaisia käsityksiä siitä, miten turvallisuuden pitäisi toimia. Jokainen 'yksi koko sopii kaikille' -vaihtoehto on pettymys joillekin ihmisille.
