Facebook opslužuje gotovo 2 milijarde korisnika, više od milijardu njih svakodnevno. Ti su korisnici rašireni po cijelom svijetu i svaki od njih ima svoj račun. Većina tih računa samo je zaštićena lozinku, što znači da zlonamjernoj osobi koja zna vašu e-adresu treba samo još jedan podatak da bi vam ukrala račun. Facebook ima težak posao smisliti kako to spriječiti bez neugodnosti ili zbunjivanja svih onih korisnika, čije se kulturne norme i računalna pismenost jako razlikuju
Jedna od Facebook-ovih sigurnosnih značajki je dvofaktorska autentifikacija koju vi možda čuo za . 2FA (uobičajena kratica) može zaštititi vaš račun čak i u slučaju da netko dobije vašu lozinku. 2FA se obično implementira putem SMS poruka ili sigurne aplikacije poput Google Authenticator, iako je zlatni standard fizički drugi faktor . Pojedinosti se mijenjaju od usluge do usluge, ali općeniti postupak 2FA funkcionira ovako: 1) Unesite svoje korisničko ime i lozinku. 2) Web stranica ili aplikacija odvest će vas na drugi zaslon, gdje se od vas traži da unesete jednokratni kôd koji generira vaš drugi faktor. Voilà, ušao si!
Ali sjećate se Facebookovih milijardi različitih korisnika? Nisu svi dovoljno savjesni da pročitaju sitni tisak. Ispada da možete omogućiti 2FA bez da stvarno znate što radite i na kraju izgubiti pristup računu. Facebook to želi spriječiti gotovo onoliko koliko želi spriječiti hakere da roje platformu.
Tako tvrtka nudi korisnicima koji omogućuju 2FA tjedni poček da odluče žele li to zaista. Nije obavezno, ali odabrano prema zadanim postavkama. Prije isteka počeka korisnici se mogu odlučiti za prijavu kao i obično. To će isključiti 2FA.
Ne misle svi to sjajno.
koja je gospođa kućna savjetnica
Ovo je vrsta neodgovorne, umro mrtve sigurnosne politike koja šteti ljudima, @Facebook . Prekini ovo sranje. cc. @alexstamos pic.twitter.com/tVX7fczw37
- Nadim Kobeissi (@kaepora) 25. svibnja 2017
To u određenoj mjeri poništava svrhu postavljanja 2FA. Napadač i dalje može ući na vaš račun samo pomoću vaše lozinke ako uspije izvršiti napad u roku milosti.
Neto vrijednost Izraela Houghtona 2017
Neki stručnjaci iz zajednice cyber sigurnosti smatraju da je Facebook-ov izbor dizajna frustrirajući. Nadim Kobeissi ?, koji je stvorio aplikaciju za šifriranje poruka Cryptocat, nazvao to 'vrsta neodgovorne, umro mrtve sigurnosne politike koja šteti ljudima.' Dodao je: 'Nevjerojatno. Proveo sam cijeli dan pokušavajući shvatiti zašto je Facebook * društvenog aktivista * ostao nesiguran čak i nakon 2FA. ' Ispostavilo se da je grejs period bio krivac.
Facebook inženjer zaštite Brad Hill zazvonio reći da je značajka 'tu da zaštiti ljude koji ne čitaju upute kad rade posljedične stvari', ističući da korisnici imaju mogućnost izbora žele li poček:
Tu je da zaštiti ljude koji ne čitaju upute kad rade posljedične stvari. pic.twitter.com/WHxoXSa4As
- hillbrad (@hillbrad) 25. svibnja 2017
Kobeissi uzvrati pucanj , 'Ovo će vas možda iznenaditi, ali kad imate posla s nekim ljudima iz regije Bliskog istoka i Bliskog Istoka, implikacije tog sitnog tiska nisu dio njihovog modela.' Do kojeg Brda odgovorio , 'Zapravo me uopće ne čudi da postoje različiti mentalni modeli kako 2FA djeluje u populaciji od gotovo 2 milijarde ljudi. Doslovno provodim sate svaki dan razmišljajući o tome. I gledam podatke. ' (Kobeissi je dalje razradio svoje razmišljanje ovdje .)
koliko je visok al roker
Glavni službenik Facebooka Alex Stamos razrađeno u tweet oluji : 'Kao i kod sigurnosnih pojaseva, i # 1 način kvara je 2FA koji se ne koristi. Sumnjam da bilo koji veliki pružatelj usluga ima bolju penetraciju od jednoznamenkaste. Pa krivimo li ljude koji ne odluče koristiti funkcionalnost namijenjenu sigurnosnim puristima ili dizajniramo sustav koji funkcionira za sve? Kao i kod [end-to-end enkripcije], 2FA je tehnologija kap po kap, koju zahtijevaju i provode stručnjaci koji se vole prepirati oko kutnih slučajeva i načina kvarova.
Dalje je primijetio: 'Zapamtite da i protivnik dobiva glas. Dopuštanje trenutnog zaključavanja računa bit će zloupotrijebljeno i prilikom preuzimanja računa. ' Drugim riječima, hakeri koji preuzmu kontrolu nad računom omogućit će 2FA kako bi legitimnim korisnicima onemogućili oporavak računa. (Naravno, bilo bi čudno da se haker odluči za poček.)
Ljudi koji se oslanjaju upravitelji lozinki za generiranje i pohranu dugih, jedinstvenih lozinki učinkovito ograničavaju svoj rizik. S druge strane, ljude koji iznova i iznova koriste iste vjerodajnice za različite usluge, puno je lakše ciljati, jer baze podataka računa i lozinki često se krše i pušten na darknetima.
Facebook to shvaća, pa tvrtka pokušava pomoći korisnicima da se zaštite. Očito želi smanjiti broj računa koji se hakiraju.
Zlonamjernoj osobi je puno teže oteti račun zaštićen 2FA-om (iako pametni socijalni inženjering, koji obično uključuje kontaktiranje predstavnika tvrtke za podršku i njihovo podvođenje, ponekad može učiniti trik i SMS nije savršeno siguran ). Većina hakera želi brzo 'zaloziti' (hakerski-govorite za sebe) puno računa i nisu spremni posvetiti dodatno vrijeme i trud jednom korisniku.
Drugim riječima, održavanje Facebook računa siguran je problem razumijevanja ljudskog ponašanja koliko i izgradnje tehnoloških alata. Kao što je rekao inženjer Brad Hill, kada imate posla s milijardama korisnika, morate prilagoditi mnoge različite razine iskustva i različite koncepcije kako bi sigurnost trebala funkcionirati. Bilo koja opcija „jedna veličina odgovara svima“ zasigurno će razočarati neke ljude.
