Facebook obsluhuje téměř 2 miliardy uživatelů, z toho více než miliardu denně. Tito uživatelé jsou rozšířeni po celém světě a každý z nich má svůj účet. Většina z těchto účtů je chráněna pouze a heslo, což znamená, že osoba se zlými úmysly, která zná vaši e-mailovou adresu, potřebuje ke krádeži vašeho účtu pouze jednu další informaci. Facebook má obtížné přijít na to, jak tomu zabránit, aniž by to obtěžovalo nebo pletelo všechny ty uživatele, jejichž kulturní normy a počítačová gramotnost se velmi liší.
Jednou z bezpečnostních funkcí Facebooku je dvoufaktorová autentizace, kterou máte možná slyšel o . 2FA (běžná zkratka) může chránit váš účet i v případě, že někdo získá vaše heslo. 2FA se obvykle implementuje prostřednictvím zpráv SMS nebo zabezpečené aplikace, jako je Google Authenticator, ačkoli zlatý standard je druhý fyzický faktor . Podrobnosti se mění od služby ke službě, ale obecný proces 2FA funguje takto: 1) Zadejte své uživatelské jméno a heslo. 2) Web nebo aplikace vás přenese na jinou obrazovku, kde budete požádáni o zadání jednorázového kódu vygenerovaného vaším druhým faktorem. Voilà, jsi tady!
Ale pamatujete si miliardy různých uživatelů Facebooku? Ne všichni jsou dostatečně svědomití, aby si mohli přečíst drobný tisk. Ukázalo se, že můžete povolit 2FA, aniž byste věděli, co děláte, a nakonec skončit uzamčen ze svého účtu. Facebook tomu chce zabránit téměř stejně, jako chce zabránit hackerům v rojení platformy.
Společnost tedy nabízí uživatelům, kteří umožňují 2FA týdenní období odkladu, aby se rozhodli, zda to opravdu chtějí. Je to volitelné, ale ve výchozím nastavení je vybráno. Než vyprší lhůta, uživatelé se mohou přihlásit jako obvykle. Tímto způsobem vypnete 2FA.
Ne každý si myslí, že je to skvělý nápad.
Jedná se o druh nezodpovědné, mozkem mrtvé bezpečnostní politiky, která poškozuje lidi, @Facebook . Vystřihněte ty kecy. cc. @alexstamos pic.twitter.com/tVX7fczw37
- Nadim Kobeissi (@kaepora) 25. května 2017
To do jisté míry v první řadě ruší účel nastavení 2FA. Útočník se stále může dostat na váš účet pouhým použitím vašeho hesla, pokud se mu podaří zasáhnout v době odkladu.
Někteří odborníci z komunity kybernetické bezpečnosti považují výběr designu Facebooku za frustrující. Nadim Kobeissi ?, který vytvořil aplikaci pro šifrované zasílání zpráv Cryptocat, nazval to „druh nezodpovědné, mozkem mrtvé bezpečnostní politiky, která poškozuje lidi.“ A dodal: „Neuvěřitelné. Celý den jsem se snažil zjistit, proč Facebook * sociálního aktivisty * zůstal * nejistý i po 2FA. “ Ukázalo se, že viníkem bylo období odkladu.
Bezpečnostní technik Facebooku Brad Hill zazvonil říci, že tato funkce je „tam, aby chránila lidi, kteří nečtou pokyny, když dělají následné věci“, což poukazuje na to, že uživatelé mají na výběr, zda chtějí ochrannou lhůtu:
Je tam proto, aby chránil lidi, kteří nečtou pokyny, když dělají následné věci. pic.twitter.com/WHxoXSa4As
- hillbrad (@hillbrad) 25. května 2017
Kobeissi zastřelen „To vás možná překvapí, ale při jednání s některými lidmi z regionu MENA nejsou důsledky tohoto drobného tisku součástí jejich modelu.“ Na který Hill odpověděl `` Ve skutečnosti mě vůbec nepřekvapuje, že existují různé mentální modely toho, jak 2FA funguje u populace téměř 2 miliard lidí. Doslova každý den trávím hodiny přemýšlením o tom. A dívám se na data. “ (Kobeissi dále rozvinul své myšlení tady .)
Hlavní bezpečnostní pracovník Facebooku Alex Stamos zpracováno v tweetové bouři : 'Stejně jako u bezpečnostních pásů se režim poruchy č. 1 nepoužívá 2FA. Pochybuji, že jakýkoli velký poskytovatel má lepší penetraci než jednociferné číslo. Obviňujeme tedy lidi, kteří se nerozhodnou používat funkce zaměřené na puristy zabezpečení, nebo navrhneme systém, který funguje pro všechny? Stejně jako u [end-to-end šifrování], 2FA je technologie stékajícího proudu, požadovaná a implementovaná odborníky, kteří se rádi hádají o rohových případech a poruchových režimech. “
Dále poznamenal: „Pamatujte, že protivník také hlasuje. Okamžité povolení trvalého uzamčení účtů bude zneužito také při převzetí účtu. “ Jinými slovy, hackeři, kteří převezmou kontrolu nad účtem, umožní 2FA, aby zablokovali legitimním uživatelům obnovení jejich účtů. (Samozřejmě by bylo divné, aby se hacker rozhodl pro období odkladu.)
Lidé, kteří se spoléhají na správci hesel generování a ukládání dlouhých jedinečných hesel účinně omezuje jejich riziko. Na druhou stranu je mnohem snazší cílit na lidi, kteří používají stejná pověření znovu a znovu pro různé různé služby, protože databáze účtů a hesel jsou často porušovány a pustil se do temných sítí.
Facebook si to uvědomuje, a tak se společnost snaží pomáhat uživatelům chránit se. Zřejmě to chce minimalizovat počet účtů, které budou hacknuty.
Pro osobu se zlými úmysly je mnohem těžší unést účet chráněný 2FA (i když chytré sociální inženýrství, které obvykle zahrnuje kontaktování zástupců podpory společnosti a jejich oklamání, to někdy může udělat, a SMS nejsou zcela bezpečné ). Většina hackerů chce rychle „pwnnout“ (hacker hovoří sám za sebe) mnoho účtů a nejsou ochotni věnovat více času a úsilí jedinému uživateli.
Jinými slovy, zabezpečení účtů na Facebooku je stejně tak otázkou pochopení lidského chování, jako budování technologických nástrojů. Jak řekl inženýr Brad Hill, když máte co do činění s miliardami uživatelů, musíte vyhovět mnoha různým úrovním zkušeností a různým koncepcím toho, jak by zabezpečení mělo fungovat. Jakákoli možnost „jedna velikost pro všechny“ jistě některé lidi zklamá.
