Το Facebook εξυπηρετεί σχεδόν 2 δισεκατομμύρια χρήστες, περισσότεροι από ένα δισεκατομμύριο από αυτούς σε καθημερινή βάση. Αυτοί οι χρήστες είναι απλωμένοι σε όλο τον κόσμο και καθένας από αυτούς έχει λογαριασμό. Οι περισσότεροι από αυτούς τους λογαριασμούς προστατεύονται απλώς από ένα κωδικός πρόσβασης, που σημαίνει ότι ένα κακόβουλο άτομο που γνωρίζει τη διεύθυνση email σας χρειάζεται μόνο ένα ακόμη κομμάτι πληροφοριών για να κλέψει τον λογαριασμό σας. Το Facebook έχει τη δύσκολη δουλειά να βρει πώς να το αποτρέψει χωρίς να ενοχλήσει ή να μπερδέψει όλους αυτούς τους χρήστες, των οποίων οι πολιτισμικοί κανόνες και η παιδεία των υπολογιστών ποικίλλουν
Ένα από τα χαρακτηριστικά ασφαλείας του Facebook είναι ο έλεγχος ταυτότητας δύο παραγόντων, τον οποίο εσείς μπορεί να έχει ακούσει . Το 2FA (η κοινή συντομογραφία) μπορεί να προστατεύσει τον λογαριασμό σας ακόμη και σε περίπτωση που κάποιος λάβει τον κωδικό πρόσβασής σας. Το 2FA εφαρμόζεται συνήθως μέσω μηνυμάτων SMS ή μιας ασφαλούς εφαρμογής όπως το Google Authenticator, αν και το χρυσό πρότυπο είναι ένα φυσικός δεύτερος παράγοντας . Οι λεπτομέρειες αλλάζουν από υπηρεσία σε υπηρεσία, αλλά η γενική διαδικασία 2FA λειτουργεί ως εξής: 1) Εισάγετε το όνομα χρήστη και τον κωδικό πρόσβασής σας. 2) Ο ιστότοπος ή η εφαρμογή σάς μεταφέρει σε μια άλλη οθόνη, όπου σας ζητείται να εισαγάγετε έναν εφάπαξ κωδικό που δημιουργείται από τον δεύτερο παράγοντα. Voilà, είσαι μέσα!
Αλλά θυμάστε τα δισεκατομμύρια διαφορετικών χρηστών του Facebook; Δεν είναι όλοι ευσυνείδητοι για να διαβάσουν τη λεπτή εκτύπωση. Αποδεικνύεται ότι μπορείτε να ενεργοποιήσετε το 2FA χωρίς να γνωρίζετε πραγματικά τι κάνετε και να καταλήξετε κλειδωμένος από τον λογαριασμό σας. Το Facebook θέλει να το αποτρέψει σχεδόν όσο θέλει να αποτρέψει τους εισβολείς από την πλατφόρμα.
Έτσι, η εταιρεία προσφέρει στους χρήστες που επιτρέπουν στο 2FA μια περίοδο χάριτος μιας εβδομάδας για να αποφασίσουν αν το θέλουν πραγματικά. Είναι προαιρετικό, αλλά επιλέγεται από προεπιλογή. Προτού λήξει η περίοδος χάριτος, οι χρήστες μπορούν να επιλέξουν να συνδεθούν όπως συνήθως. Αυτό θα απενεργοποιήσει το 2FA.
Δεν πιστεύουν όλοι ότι είναι υπέροχη ιδέα.
Fox News ο Ρικ Ράιχμουθ παντρεύτηκε
Αυτό είναι το είδος της ανεύθυνης, πολιτικής ασφάλειας νεκρού εγκεφάλου που βλάπτει τους ανθρώπους, @Facebook . Κόψτε αυτή τη μαλακία. cc. @alexstamos pic.twitter.com/tVX7fczw37
- Nadim Kobeissi (@kaepora) 25 Μαΐου 2017
Σε κάποιο βαθμό, αυτό χάνει τον σκοπό της δημιουργίας 2FA στην πρώτη θέση. Ένας εισβολέας μπορεί ακόμα να μπει στον λογαριασμό σας μόνο χρησιμοποιώντας τον κωδικό πρόσβασής σας εάν καταφέρει να επιτεθεί εντός της περιόδου χάριτος.
Ο κρύσταλλος Μπέρναρντ παντρεύτηκε τον Μπίλι Ντιν
Ορισμένοι ειδικοί στην κοινότητα της ασφάλειας στον κυβερνοχώρο θεωρούν απογοητευτική την επιλογή σχεδιασμού του Facebook. Nadim Kobeissi ;, που δημιούργησε την κρυπτογραφημένη εφαρμογή ανταλλαγής μηνυμάτων Cryptocat, το κάλεσε «το είδος της ανεύθυνης, εγκεφαλικής πολιτικής ασφαλείας που βλάπτει τους ανθρώπους». Πρόσθεσε, «Απίστευτο. Πέρασα μια ολόκληρη μέρα προσπαθώντας να φτάσω στο κάτω μέρος του γιατί το Facebook ενός κοινωνικού ακτιβιστή * παρέμεινε * ανασφαλές ακόμη και μετά το 2FA ». Αποδείχθηκε ότι η περίοδος χάριτος ήταν ο ένοχος.
Μηχανικός ασφάλειας Facebook Brad Hill πετάχτηκε, πρόσθεσε για να πούμε ότι η λειτουργία είναι «εκεί για να προστατεύει άτομα που δεν διαβάζουν τις οδηγίες όταν κάνουν επακόλουθα πράγματα», επισημαίνοντας ότι οι χρήστες έχουν τη δυνατότητα επιλογής για το αν θέλουν την περίοδο χάριτος:
Είναι εκεί για να προστατεύσει άτομα που δεν διαβάζουν τις οδηγίες όταν κάνουν επακόλουθα πράγματα. pic.twitter.com/WHxoXSa4As
- hillbrad (@hillbrad) 25 Μαΐου 2017
Κομπεήσι γυρίστηκε πίσω 'Αυτό μπορεί να σας εκπλήξει, αλλά όταν ασχολείστε με μερικούς ανθρώπους της περιοχής MENA, οι επιπτώσεις αυτής της λεπτής εκτύπωσης δεν αποτελούν μέρος του μοντέλου τους.' Σε ποιον Hill απάντησε «Στην πραγματικότητα δεν με εκπλήσσει καθόλου που υπάρχουν διαφορετικά νοητικά μοντέλα για το πώς λειτουργεί το 2FA σε έναν πληθυσμό σχεδόν 2 δισεκατομμυρίων ανθρώπων. Ξοδεύω κυριολεκτικά ώρες κάθε μέρα για να το σκεφτώ. Και κοιτάζω τα δεδομένα. ' (Ο Κόμπεισι εκπόνησε περαιτέρω τη σκέψη του εδώ .)
πόσο ψηλός είναι ο al roker
Ο επικεφαλής ασφαλείας του Facebook Alex Stamos επεξεργάστηκε σε ένα tweetstorm : «Όπως και με τις ζώνες ασφαλείας, η λειτουργία αστοχίας # 1 δεν χρησιμοποιείται 2FA. Αμφιβάλλω ότι οποιοσδήποτε μεγάλος πάροχος έχει καλύτερη από μονοψήφια διείσδυση. Λοιπόν, κατηγορούμε τους ανθρώπους που δεν επιλέγουν να χρησιμοποιούν λειτουργικότητα που αποσκοπεί σε καθαριστές ασφαλείας ή σχεδιάζουμε ένα σύστημα που να λειτουργεί για όλους; Όπως και με την [κρυπτογράφηση από άκρο σε άκρο], το 2FA είναι μια τεχνολογία απλοποίησης, που απαιτείται και εφαρμόζεται από εμπειρογνώμονες που τους αρέσει να διαφωνούν για γωνιακές περιπτώσεις και τρόπους αποτυχίας ».
Συνέχισε να σημειώνει, «Θυμηθείτε ότι ο αντίπαλος παίρνει επίσης μια ψήφο. Επιτρέποντας τους λογαριασμούς να κλειδώνονται με μόνιμο τρόπο θα καταχραστεί επίσης και κατά την ανάληψη λογαριασμού. ' Με άλλα λόγια, οι χάκερ που καταλαμβάνουν τον έλεγχο ενός λογαριασμού θα επιτρέψουν στο 2FA προκειμένου να αποκλείσουν τους νόμιμους χρήστες από την ανάκτηση των λογαριασμών τους. (Φυσικά, θα ήταν παράξενο για έναν χάκερ να επιλέξει την περίοδο χάριτος.)
Άτομα που βασίζονται διαχειριστές κωδικών πρόσβασης για τη δημιουργία και αποθήκευση μακρών, μοναδικών κωδικών πρόσβασης περιορίζουν αποτελεσματικά τον κίνδυνο. Τα άτομα που χρησιμοποιούν τα ίδια διαπιστευτήρια ξανά και ξανά για διάφορες διαφορετικές υπηρεσίες, από την άλλη πλευρά, είναι πολύ πιο εύκολο να στοχεύσουν, επειδή οι βάσεις δεδομένων λογαριασμών και κωδικών πρόσβασης συχνά παραβιάζονται και απελευθερώθηκε στα darknets.
Το Facebook το συνειδητοποιεί αυτό, έτσι η εταιρεία προσπαθεί να βοηθήσει τους χρήστες να προστατευτούν. Προφανώς θέλει να ελαχιστοποιήσει τον αριθμό των λογαριασμών που έχουν παραβιαστεί.
Είναι πολύ πιο δύσκολο για ένα κακόβουλο άτομο να παραβιάζει έναν λογαριασμό που προστατεύεται από το 2FA (αν και η έξυπνη κοινωνική μηχανική, η οποία συνήθως περιλαμβάνει την επικοινωνία με τους αντιπροσώπους υποστήριξης της εταιρείας και την εξαπάτησή τους, μπορεί μερικές φορές να κάνει το τέχνασμα και Το SMS δεν είναι απόλυτα ασφαλές ). Οι περισσότεροι χάκερ θέλουν να «pwn» (χάκερ-μιλούν μόνοι τους) πολλούς λογαριασμούς γρήγορα και δεν είναι πρόθυμοι να αφιερώσουν επιπλέον χρόνο και προσπάθεια σε έναν μόνο χρήστη.
Με άλλα λόγια, η διατήρηση ασφαλών λογαριασμών στο Facebook είναι τόσο ζήτημα κατανόησης της ανθρώπινης συμπεριφοράς όσο δημιουργεί τεχνολογικά εργαλεία. Όπως είπε ο μηχανικός Brad Hill, όταν αντιμετωπίζετε δισεκατομμύρια χρήστες, πρέπει να προσαρμόσετε πολλά διαφορετικά επίπεδα εμπειρίας και διαφορετικές αντιλήψεις για το πώς πρέπει να λειτουργεί η ασφάλεια. Οποιαδήποτε επιλογή «ένα μέγεθος ταιριάζει σε όλους» είναι βέβαιο ότι θα απογοητεύσει μερικούς ανθρώπους.
