„Facebook“ aptarnauja beveik 2 milijardus vartotojų, daugiau nei milijardas jų kasdien. Tie vartotojai yra išsibarstę po visą pasaulį ir kiekvienas iš jų turi paskyrą. Daugumą tų sąskaitų tik saugo a slaptažodį, o tai reiškia, kad piktavaliui, žinančiam jūsų el. pašto adresą, reikia tik dar vienos informacijos, kad pavogtų jūsų paskyrą. „Facebook“ sunkiai sekasi išsiaiškinti, kaip to išvengti, nepatogindami ir nesupainiodami visų vartotojų, kurių kultūrinės normos ir kompiuterinis raštingumas labai skiriasi
Viena iš „Facebook“ saugumo funkcijų yra dviejų veiksnių autentifikavimas, kurį jūs gali būti girdėjęs . „2FA“ (įprastas santrumpa) gali apsaugoti jūsų sąskaitą net tuo atveju, jei kažkas gauna jūsų slaptažodį. 2FA paprastai įgyvendinama per SMS žinutes ar saugią programą, tokią kaip „Google Authenticator“, nors auksinis standartas yra a fizinis antrasis faktorius . Išsami informacija keičiasi iš paslaugos į paslaugą, tačiau bendras 2FA procesas veikia taip: 1) Jūs įveskite savo vartotojo vardą ir slaptažodį. 2) Svetainė ar programa nukreipia jus į kitą ekraną, kur jūsų prašoma įvesti vienkartinį kodą, kurį sugeneruoja jūsų antrasis faktorius. Voilà, tu esi!
Bet ar prisimenate milijardus „Facebook“ naudotojų? Ne visi jie yra pakankamai sąžiningi, kad galėtų perskaityti smulkų šriftą. Pasirodo, kad galite įgalinti „2FA“ nežinodami, ką darote, ir galiausiai esate užrakinti savo paskyroje. „Facebook“ nori to išvengti beveik tiek pat, kiek nori, kad įsilaužėliai nesišnibždėtų perone.
Taigi bendrovė siūlo vartotojams, kurie įgalina „2FA“ per savaitę trunkantį lengvatinį laikotarpį, nuspręsti, ar jie tikrai to nori. Tai neprivaloma, bet pasirinkta pagal numatytuosius nustatymus. Prieš pasibaigiant lengvatiniam laikotarpiui, vartotojai gali pasirinkti prisijungti kaip įprasta. Tai padarius bus išjungtas 2FA.
Ne visi mano, kad tai puiki idėja.
kas yra namų patarėja
Tai yra neatsakinga, nuo smegenų mirusi saugumo politika, kuri kenkia žmonėms, @Facebook . Iškirpkite šį nesąmonę. cc. @alexstamos pic.twitter.com/tVX7fczw37
- Nadimas Kobeissi (@kaepora) 2017 m. Gegužės 25 d
Tam tikru mastu tai pirmiausia panaikina 2FA sukūrimo tikslą. Užpuolikas vis tiek gali patekti į jūsų sąskaitą naudodamas jūsų slaptažodį, jei pavyksta streikuoti per atidėjimo laikotarpį.
kiek metų yra Marjorie Bridges Woods
Kai kuriems kibernetinio saugumo bendruomenės ekspertams „Facebook“ dizaino pasirinkimas kelia vargą. Nadimas Kobeissi?, Sukūręs šifruotą susirašinėjimo programą „Cryptocat“, pavadino „tokia neatsakinga, nuo smegenų mirusi saugumo politika, kuri kenkia žmonėms“. Jis pridūrė: „Neįtikėtina. Visą dieną bandžiau suprasti, kodėl socialinio aktyvisto „Facebook“ * net ir po 2FA liko nesaugus “. Paaiškėjo, kad kaltininkas buvo malonės laikotarpis.
„Facebook“ saugumo inžinierius Bradas Hillas chiminas sakyti, kad ši funkcija yra „skirta apsaugoti žmones, kurie neskaito instrukcijų, kai daro svarbius veiksmus“, nurodydama, kad vartotojams suteikiama galimybė pasirinkti, ar jie nori atidėjimo laikotarpio:
Tai yra skirtas apsaugoti žmones, kurie neskaito instrukcijų, kai daro dalykus. pic.twitter.com/WHxoXSa4As
- Hillbradas (@hillbrad) 2017 m. Gegužės 25 d
Kobeissi nušautas atgal 'Tai gali jus nustebinti, bet kai susiduriama su kai kuriais MENA regiono žmonėmis, tas smulkus šriftas nėra jų modelio dalis'. Į kurią kalvą atsakė 'Aš iš tikrųjų visai nesistebiu, kad egzistuoja skirtingi mentaliniai modeliai, kaip 2FA veikia beveik 2 milijardų žmonių populiacijoje. Aš tiesiogine to žodžio prasme praleidžiu kasdien galvodamas apie tai. Aš žiūriu į duomenis “. (Kobeissi toliau išplėtojo savo mąstymą čia .)
kokio ūgio yra al rokeris
„Facebook“ vyriausiasis saugumo pareigūnas Alexas Stamosas išplėtota tviteryje : 'Kaip ir saugos diržams, # 1 gedimo režimas yra 2FA nenaudojamas. Abejoju, kad bet kuris stambus paslaugų teikėjas turi geriau nei vieno skaitmens skverbtis. Taigi ar kaltiname žmones, kurie nesirenka funkcijų, skirtų saugumo puristams, ar sukuriame visiems tinkamą sistemą? Kaip ir [nuo galo iki galo šifruojant], „2FA“ yra „nutekėjimo“ technologija, kurios reikalauja ir įgyvendina ekspertai, mėgstantys ginčytis dėl kampinių atvejų ir nesėkmių režimų “.
Jis toliau pažymėjo: „Atminkite, kad priešininkas taip pat gauna balsą. Leidimas akimirksniu užrakinti sąskaitas bus piktnaudžiaujamas ir perimant sąskaitas “. Kitaip tariant, įsilaužėliai, pasinaudoję paskyros valdymu, įgalins „2FA“, kad teisėti vartotojai negalėtų atkurti savo sąskaitų. (Žinoma, būtų keista, jei įsilaužėlis pasirinktų lengvatinį laikotarpį.)
Žmonės, kuriais pasitikima slaptažodžių valdytojai sukurti ir saugoti ilgus, unikalius slaptažodžius efektyviai sumažina jų riziką. Kita vertus, žmones, kurie naudoja tuos pačius kredencialus įvairioms paslaugoms, daug lengviau taikyti, nes paskyrų ir slaptažodžių duomenų bazės dažnai pažeidžiami ir paleido ant tamsiųjų tinklų.
„Facebook“ tai suvokia, todėl įmonė stengiasi padėti vartotojams apsisaugoti. Akivaizdu, kad jis nori sumažinti įsibrovimų skaičių.
Kenkėjiškam asmeniui yra daug sunkiau užgrobti 2FA saugomą paskyrą (nors protinga socialinė inžinerija, kuri paprastai apima susisiekimą su įmonės palaikymo atstovais ir jų apgaulę, kartais gali padaryti apgauti ir SMS nėra visiškai saugus ). Daugelis įsilaužėlių nori greitai „įsisavinti“ (įsilaužėliai kalba patys) daugybę paskyrų ir nenori skirti papildomo laiko ir pastangų vienam vartotojui.
Kitaip tariant, „Facebook“ paskyrų saugumas yra ne tik supratimas apie žmogaus elgesį, bet ir technologinių priemonių kūrimas. Kaip sakė inžinierius Bradas Hillas, kai susiduriate su milijardais vartotojų, turite atsižvelgti į daugybę skirtingų patirties lygių ir skirtingų saugumo koncepcijų. Bet koks variantas „vienas dydis tinka visiems“ tikrai nuvils kai kuriuos žmones.
