Facebook servește aproape 2 miliarde de utilizatori, mai mult de un miliard dintre aceștia zilnic. Acești utilizatori sunt răspândiți în întreaga lume și fiecare dintre ei are un cont. Majoritatea acestor conturi sunt doar protejate de un parola, ceea ce înseamnă că o persoană rău intenționată care vă cunoaște adresa de e-mail are nevoie doar de o informație pentru a vă fura contul. Facebook are sarcina dificilă de a afla cum să prevină acest lucru fără să deranjeze sau să deruteze toți acei utilizatori, ale căror norme culturale și cunoștințe informatice variază foarte mult
Una dintre caracteristicile de securitate ale Facebook este autentificarea în doi factori, pe care tu poate a auzit de . 2FA (abrevierea obișnuită) vă poate proteja contul chiar și în cazul în care cineva vă obține parola. 2FA este de obicei implementat prin mesaje SMS sau o aplicație sigură precum Google Authenticator, deși standardul de aur este un al doilea factor fizic . Detaliile se schimbă de la serviciu la serviciu, dar procesul general 2FA funcționează astfel: 1) Introduceți numele de utilizator și parola. 2) Site-ul web sau aplicația vă duce la un alt ecran, unde vi se cere să introduceți un cod unic generat de al doilea factor. Voilà, te afli!
Dar îți amintești de miliardele de utilizatori ai Facebook? Nu toți sunt suficient de conștiincioși pentru a citi amprenta. Se pare că puteți activa 2FA fără să știți cu adevărat ce faceți și să rămâneți blocat din contul dvs. Facebook vrea să prevină acest lucru aproape la fel de mult ca să împiedice hackerii să roiască platforma.
Așadar, compania oferă utilizatorilor care permit 2FA o perioadă de grație de o săptămână pentru a decide dacă o doresc cu adevărat. Este opțional, dar selectat în mod implicit. Înainte de expirarea perioadei de grație, utilizatorii pot alege să se autentifice normal. Acest lucru va dezactiva 2FA.
Nu toată lumea crede că este o idee grozavă.
Acesta este genul de politică de securitate iresponsabilă, moartă, care dăunează oamenilor, @Facebook . Tăiați tâmpeniile astea. cc. @alexstamos pic.twitter.com/tVX7fczw37
- Nadim Kobeissi (@kaepora) 25 mai 2017
Într-o anumită măsură, acest lucru învinge scopul de a crea 2FA în primul rând. Un atacator poate pătrunde în contul dvs. doar folosind parola, dacă reușește să lovească în perioada de grație.
Unii experți din comunitatea de securitate cibernetică consideră frustrantă alegerea designului Facebook. Nadim Kobeissi ?, care a creat aplicația de mesagerie criptată Cryptocat, am sunat „genul de politică de securitate iresponsabilă, moartă pentru creier, care dăunează oamenilor”. El a adăugat: „Incredibil. Am petrecut o zi întreagă încercând să ajung la fundul motivului pentru care Facebook-ul unui activist social a rămas * nesigur chiar și după 2FA. ' S-a dovedit că perioada de grație a fost vinovatul.
Inginerul de securitate Facebook Brad Hill Intervenit să spunem că funcția este „acolo pentru a proteja persoanele care nu citesc instrucțiunile atunci când fac lucruri consecințe”, subliniind faptul că utilizatorii pot alege dacă doresc perioada de grație:
Este acolo pentru a proteja oamenii care nu citesc instrucțiunile atunci când fac lucruri consecvente. pic.twitter.com/WHxoXSa4As
- hillbrad (@hillbrad) 25 mai 2017
Kobeissi a ripostat „Acest lucru vă poate surprinde, dar când aveți de-a face cu unii oameni din regiunea MENA, implicațiile acelor tipărituri mici nu fac parte din modelul lor.” La care Hill a răspuns „Nu sunt deloc surprins că există diferite modele mentale pentru modul în care funcționează 2FA într-o populație de aproape 2 miliarde de oameni. Literal, petrec ore întregi în fiecare zi gândindu-mă la asta. Și mă uit la date. (Kobeissi și-a aprofundat gândirea Aici .)
Directorul de securitate Facebook, Alex Stamos elaborat într-o tweetstorm : „La fel ca în cazul centurilor de siguranță, modul de defecțiune # 1 nu este utilizat 2FA. Mă îndoiesc că orice furnizor mare are mai bine decât penetrarea dintr-o singură cifră. Deci, dăm vina pe oamenii care nu aleg să utilizeze funcționalități destinate puriștilor de securitate sau proiectăm un sistem care să funcționeze pentru toți? Ca și în cazul [criptării end-to-end], 2FA este o tehnologie de tip trickle down, cerută și implementată de experți cărora le place să discute despre cazuri de colț și moduri de eșec. ”
El a continuat să observe: „Amintiți-vă că și adversarul primește un vot. Permiterea blocării permanente a conturilor va fi abuzată și la preluarea contului. ' Cu alte cuvinte, hackerii care preiau controlul unui cont vor permite 2FA pentru a bloca utilizatorii legitimi să-și recupereze conturile. (Desigur, ar fi ciudat ca un hacker să opteze pentru perioada de grație.)
Oameni pe care se bazează manageri de parole pentru a genera și stoca parole lungi, unice, își limitează efectiv riscul. Pe de altă parte, persoanele care utilizează aceleași acreditări pentru diverse servicii diferite sunt mult mai ușor de direcționat, deoarece bazele de date de cont și parolă sunt adesea încălcate și eliberat pe darknets.
Facebook realizează acest lucru, astfel încât compania încearcă să ajute utilizatorii să se protejeze. Evident, vrea să minimizeze numărul de conturi care sunt piratate.
Este mult mai greu pentru o persoană rău intenționată să deturneze un cont protejat de 2FA (deși ingineria socială inteligentă, care implică de obicei contactarea reprezentanților de asistență a companiei și păcălirea lor, uneori poate face trucul și SMS-urile nu sunt perfect sigure ). Majoritatea hackerilor doresc să „pwn” (vorbesc despre hacker pentru propriile lor) o mulțime de conturi rapid și nu sunt dispuși să dedice timp și efort suplimentar unui singur utilizator.
Cu alte cuvinte, păstrarea sigură a conturilor Facebook este o chestiune de înțelegere a comportamentului uman, precum și construirea instrumentelor tehnologice. După cum a spus inginerul Brad Hill, atunci când aveți de-a face cu miliarde de utilizatori, trebuie să vă găzduiți multe niveluri diferite de experiență și concepții diferite despre cum ar trebui să funcționeze securitatea. Orice opțiune „one size fits all” va dezamăgi unii oameni.
