A Facebook csaknem 2 milliárd felhasználót szolgál ki, közülük napi több mint egymilliárd. Ezek a felhasználók az egész világon el vannak terjesztve, és mindegyiknek van fiókja. Ezen számlák többségét csupán a jelszó, ami azt jelenti, hogy az e-mail címét ismerő rosszindulatú személynek csak egy további információra van szüksége a fiókja ellopásához. A Facebooknak nehéz dolga van kitalálni, hogyan lehet ezt megakadályozni anélkül, hogy kellemetlenségeket vagy zavart okozna mindazoknak a felhasználóknak, akiknek kulturális normái és számítógépes műveltsége nagyon eltérő
A Facebook egyik biztonsági jellemzője a kétfaktoros hitelesítés, amelyet Ön hallhatott róla . A 2FA (a gyakori rövidítés) még abban az esetben is megvédheti fiókját, ha valaki megszerzi a jelszavát. A 2FA-t általában SMS-ben vagy olyan biztonságos alkalmazáson keresztül valósítják meg, mint a Google Authenticator, bár az arany standard a fizikai második tényező . A részletek szolgáltatásról szolgáltatásra változnak, de az általános 2FA folyamat így működik: 1) Adja meg felhasználónevét és jelszavát. 2) A webhely vagy alkalmazás egy másik képernyőre vezet, ahol a második tényező által generált egyszeri kód megadását kéri. Voilà, bent vagy!
De emlékszel a Facebook több milliárd felhasználójára? Nem mindegyikük elég lelkiismeretes ahhoz, hogy elolvassa az apró betűs részt. Kiderült, hogy engedélyezheti a 2FA-t anélkül, hogy valóban tudná, mit csinál, és végül bezárja magát a fiókjából. A Facebook ezt majdnem annyira meg akarja akadályozni, mint amennyire meg akarja tartani a hackerektől, hogy ne nyüzsögjenek a platformon.
Tehát a vállalat felajánlja a 2FA-t lehetővé tevő felhasználóknak egy hét türelmi időt, hogy eldöntsék, valóban akarják-e. Nem kötelező, de alapértelmezés szerint kiválasztva. A türelmi idő lejárta előtt a felhasználók a szokásos módon bejelentkezhetnek. Ezzel kikapcsolja a 2FA-t.
Nem mindenki gondolja, hogy ez nagyszerű ötlet.
Ez a fajta felelőtlen, agyhalott biztonsági politika árt az embereknek, @Facebook . Vágd ki ezt a baromságot. cc. @alexstamos pic.twitter.com/tVX7fczw37
- Nadim Kobeissi (@kaepora) 2017. május 25
Bizonyos mértékig ez elsõsorban a 2FA felállításának célját veti vissza. A támadó továbbra is csak a jelszavának használatával juthat be a fiókjába, ha sikerül lecsapnia a türelmi időn belül.
A kiberbiztonsági közösség egyes szakértői frusztrálónak találják a Facebook tervezési választását. Nadim Kobeissi ?, aki létrehozta a Cryptocat titkosított üzenetküldő alkalmazást, hívtam 'az a fajta felelőtlen, agyhalott biztonsági politika, amely árt az embereknek.' Hozzátette: - Hihetetlen. Egész nap azzal próbáltam eljutni, hogy egy társadalmi aktivista Facebookja * miért maradt bizonytalan még a 2FA után is. ' Kiderült, hogy a türelmi idő volt a tettes.
Brad Hill Facebook biztonsági mérnök beharangozta mondani, hogy ez a funkció „azon személyek védelmére szolgál, akik nem olvassák el az utasításokat, amikor következményes dolgokat végeznek”, rámutatva arra, hogy a felhasználók választhatnak arról, hogy szeretnék-e a türelmi időt:
Azon emberek védelmére szolgál, akik nem olvassák el az utasításokat, amikor következményes dolgokat végeznek. pic.twitter.com/WHxoXSa4As
- hillbrad (@hillbrad) 2017. május 25
Kobeissi visszalő , 'Ez meglepetést okozhat Önnek, de amikor néhány MENA-régióbeli emberrel foglalkozik, ennek a finom betűnek a következményei nem tartoznak a modelljükhöz.' Melyik Hillre válaszolt , 'Valójában egyáltalán nem lepődöm meg azon, hogy különböző mentális modellek léteznek a 2FA működésére csaknem 2 milliárd lakosú népességben. Szó szerint minden nap órákat töltök ezen gondolkodva. És megnézem az adatokat. (Kobeissi tovább részletezte gondolkodását itt .)
Alex Stamos, a Facebook biztonsági főnöke tweetstormban dolgozta fel : 'A biztonsági övekhez hasonlóan a # 1 meghibásodási mód 2FA nem használatos. Kétlem, hogy bármelyik nagy szolgáltatónál jobb lenne az egyjegyű penetráció. Tehát hibáztatjuk azokat az embereket, akik nem a biztonsági puristáknak szánt funkcionalitás mellett döntenek, vagy egy mindenkinek megfelelő rendszert tervezünk? Csakúgy, mint a [végpontok közötti titkosítás] esetében, a 2FA is egy csepegtető technológia, amelyet olyan szakemberek követelnek és valósítanak meg, akik szeretnek vitatkozni a sarok esetek és a hibamódok felett. ”
Ezt követően megjegyezte: „Ne feledje, hogy az ellenfél is szavazatot kap. A fiókok azonnali zárolásának engedélyezésével visszaélnek a számlák átvétele során is. ' Más szavakkal, a hackerek, akik megragadják a fiók irányítását, lehetővé teszik a 2FA-t annak érdekében, hogy megakadályozzák a törvényes felhasználókat a fiókok helyreállításában. (Természetesen furcsa lenne, ha egy hacker a türelmi időt választaná.)
Olyan emberek, akikre támaszkodnak jelszókezelők hosszú, egyedi jelszavak létrehozása és tárolása hatékonyan korlátozza kockázatukat. Azokat az embereket, akik ugyanazt a hitelesítő adatot használják újra és újra a különböző szolgáltatásokhoz, sokkal könnyebb megcélozni, mert a fiók- és jelszó-adatbázisok gyakran megsértik és elengedte a sötét hálókon.
A Facebook rájön erre, ezért a vállalat megpróbálja segíteni a felhasználókat, hogy megvédjék magukat. Nyilvánvalóan minimalizálni akarja a feltört fiókok számát.
Sokkal nehezebb egy rosszindulatú személy számára eltéríteni a 2FA által védett fiókot (bár az okos társadalmi mérnöki tevékenység, amely általában a vállalati támogatási munkatársakkal való kapcsolatfelvételt és az átverést jelenti, néha megteheti a trükköt, Az SMS nem tökéletesen biztonságos ). A legtöbb hacker nagyon sok fiókot akar „pwn” -ozni (saját magának beszélni), és nem hajlandó külön időt és erőfeszítést fordítani egyetlen felhasználóra.
Más szóval, a Facebook-fiókok biztonságának megőrzése éppúgy az emberi viselkedés megértésének kérdése, mint a technológiai eszközök építése. Mint Brad Hill mérnök elmondta, amikor több milliárd felhasználóval van dolgod, sokféle tapasztalattal és különböző elképzelésekkel kell rendelkezned a biztonság működéséről. Bármely „egy méret mindenkinek” opció csalódást okozhat néhány embernek.
