Facebook teenindab peaaegu 2 miljardit kasutajat, neist igapäevaselt üle miljardi. Need kasutajad on levinud üle kogu maailma ja igaühel neist on konto. Enamikku neist kontodest kaitseb lihtsalt a parool, mis tähendab, et pahatahtlik inimene, kes teab teie e-posti aadressi, vajab teie konto varastamiseks veel ühte teavet. Facebookil on keeruline ülesanne välja mõelda, kuidas seda vältida, ilma et see tekitaks ebamugavusi või segadust kõigile neile kasutajatele, kelle kultuurinormid ja arvutioskus on väga erinevad
Üks Facebooki turvaelementidest on kaheteguriline autentimine, mille teie olla kuulnud . 2FA (levinud lühend) võib teie kontot kaitsta ka siis, kui keegi teie parooli saab. 2FA rakendatakse tavaliselt SMS-sõnumite või turvalise rakenduse kaudu nagu Google Authenticator, ehkki kullastandard on a füüsiline teine tegur . Üksikasjad muutuvad teenustest teenustesse, kuid üldine 2FA protsess toimib järgmiselt: 1) Sisestate oma kasutajanime ja parooli. 2) Veebisait või rakendus viib teid teisele ekraanile, kus teil palutakse sisestada ühekordne kood, mille genereeris teie teine tegur. Voilà, sa oled sees!
Kuid mäletate Facebooki miljardeid erinevaid kasutajaid? Kõik need pole piisavalt kohusetundlikud, et peenet kirja lugeda. Selgub, et saate 2FA lubada, teadmata tegelikult, mida teete, ja lõpuks olete oma kontolt lukustatud. Facebook soovib seda takistada peaaegu sama palju kui häkkerite platvormi sülemlemist.
Nii pakub ettevõte kasutajatele, kes võimaldavad 2FA-le nädalase armuaja, otsustada, kas nad seda tõesti soovivad. See on valikuline, kuid vaikimisi valitud. Enne ajapikenduse lõppu saavad kasutajad valida tavapärase sisselogimise. Nii tehes lülitatakse 2FA välja.
Kõik ei arva, et see on suurepärane idee.
kes on kodunõustaja daam
See on selline vastutustundetu, ajusurmatud julgeolekupoliitika, mis kahjustab inimesi, @Facebook . Lõika see jama välja. cc. @alexstamos pic.twitter.com/tVX7fczw37
- Nadim Kobeissi (@kaepora) 25. mai 2017
Teatud määral lükkab see ära 2FA seadistamise eesmärgi. Ründaja pääseb endiselt teie kontole lihtsalt teie parooli kasutades, kui neil õnnestub ajapikenduse jooksul streikida.
mis juhtus vinita nair cbs-iga
Mõned küberturvalisuse eksperdid peavad Facebooki disainivalikut pettumust valmistavaks. Nadim Kobeissi?, Kes lõi krüptitud sõnumside rakenduse Cryptocat, kutsus seda 'selline vastutustundetu, ajusurmatud julgeolekupoliitika, mis inimesi kahjustab'. Ta lisas: 'Uskumatu. Veetsin terve päeva, et jõuda lõpuni, miks sotsiaalaktivisti Facebook * jäi ebaturvaliseks ka pärast 2FA-d. ' Selgus, et süüdi oli armuaeg.
Facebooki turvainsener Brad Hill kostis sisse öelda, et see funktsioon on mõeldud selleks, et kaitsta inimesi, kes ei loe juhiseid järgmiste toimingute tegemisel, juhtides tähelepanu sellele, et kasutajatele antakse valik, kas nad soovivad ajapikendust:
Selle eesmärk on kaitsta inimesi, kes ei loe juhiseid tagajärgede tegemisel. pic.twitter.com/WHxoXSa4As
- hillbrad (@hillbrad) 25. mai 2017
Kobeissi tulistas tagasi , 'See võib teid üllatada, kuid mõne MENA piirkonna elanikega suheldes ei kuulu selle peene kirjaga kaasnevad tagajärjed nende mudelisse.' Millise mäe juurde vastas , 'Ma pole tegelikult üldse üllatunud, et peaaegu 2 miljardi inimese elanikkonnas on 2FA toimimiseks erinevad mõttemudelid. Ma veedan selle mõtlemisele sõna otseses mõttes iga päev tunde. Ja ma vaatan andmeid. ' (Kobeissi täiendas oma mõtlemist veelgi siin .)
kui pikk on al roker
Facebooki turvaülem Alex Stamos viimistletud tormis : 'Nagu turvavööde puhul, on ka # 1 rikke režiim 2FA, mida ei kasutata. Ma kahtlen, et ühelgi suurel pakkujal on parem kui ühekohaline levik. Niisiis, kas me süüdistame inimesi, kes ei soovi kasutada turvapuristidele suunatud funktsionaalsust, või kujundame süsteemi, mis sobib kõigile? Nagu [otsast otsani krüptimise] puhul, on ka 2FA tehnoloogia, mida nõuavad ja rakendavad eksperdid, kes armastavad vaielda nurkade juhtumite ja ebaõnnestumisrežiimide üle. '
Ta jätkas märkimist: 'Pidage meeles, et ka vastane saab hääle. Kontode kohese püsilukustamise lubamist kuritarvitatakse ka kontode ülevõtmisel. ' Teisisõnu, häkkerid, kes haaravad kontrolli konto üle, võimaldavad 2FA-d, et tõkestada seaduslikel kasutajatel nende kontode taastamine. (Muidugi oleks häkkeril kummaline valida armuaeg.)
Inimesed, kellele loodetakse paroolihaldurid pikkade unikaalsete paroolide loomiseks ja säilitamiseks on nende risk tõhusalt piiratud. Inimesi, kes kasutavad samu mandaate erinevate teenuste jaoks ikka ja jälle, on seevastu palju lihtsam sihtida, kuna konto- ja parooliandmebaasid sageli rikutakse ja vabastati tumevõrkudel.
Facebook mõistab seda, nii et ettevõte püüab aidata kasutajatel end kaitsta. Ilmselgelt soovib see häkkivate kontode arvu minimeerida.
Pahatahtlikul inimesel on palju raskem kaaperdada 2FA-ga kaitstud kontot (ehkki nutikas sotsiaalne inseneritöö, mis hõlmab tavaliselt ettevõtte tugiteenuste esindajatega ühenduse võtmist ja nende petmist, võib mõnikord ka trikki teha SMS pole täiesti turvaline ). Enamik häkkeritest soovib kiiresti kontosid hankida (häkkerid räägivad ise) ega soovi pühendada lisaaega ja vaeva ühele kasutajale.
Teisisõnu, Facebooki kontode turvalisuse tagamine on sama palju inimese käitumise mõistmise kui ka tehnoloogiliste tööriistade loomise küsimus. Nagu ütles insener Brad Hill, peate miljardite kasutajatega suhtlemisel kasutama palju erinevaid kogemusi ja erinevaid arusaamu turvalisuse toimimisest. Igasugune valik „üks suurus sobib kõigile” valmistab mõnedele inimestele pettumuse.
