Facebook apkalpo gandrīz 2 miljardus lietotāju, vairāk nekā miljardu no tiem ikdienā. Šie lietotāji ir izplatīti visā pasaulē, un katram no viņiem ir konts. Lielāko daļu šo kontu tikai aizsargā a parole, kas nozīmē, ka ļaunprātīgai personai, kas zina jūsu e-pasta adresi, ir nepieciešama tikai vēl viena informācija, lai nozagtu jūsu kontu. Facebook ir grūti izdomāt, kā to novērst, neradot neērtības un nemulsinot visus lietotājus, kuru kultūras normas un datorprasme ir ļoti atšķirīga
Viens no Facebook drošības elementiem ir divu faktoru autentifikācija, kuru jūs iespējams, dzirdējis . 2FA (parastais saīsinājums) var aizsargāt jūsu kontu pat tad, ja kāds iegūst jūsu paroli. 2FA parasti tiek ieviesta, izmantojot īsziņas vai drošu lietotni, piemēram, Google Authenticator, lai gan zelta standarts ir fiziskais otrais faktors . Sīkāka informācija mainās no pakalpojuma uz pakalpojumu, taču vispārējais 2FA process darbojas šādi: 1) Jūs ievadāt savu lietotājvārdu un paroli. 2) Vietne vai lietotne novirza jūs uz citu ekrānu, kur jums tiek lūgts ievadīt vienreizēju kodu, ko ģenerējis jūsu otrais faktors. Voilà, tu esi iekšā!
Bet vai atceraties Facebook miljardiem dažādu lietotāju? Ne visi no viņiem ir pietiekami apzinīgi, lai izlasītu smalko druku. Izrādās, ka jūs varat iespējot 2FA, īsti nezinot, ko darāt, un galu galā esat bloķēts no sava konta. Facebook vēlas to novērst gandrīz tikpat daudz, cik tas vēlas, lai hakeri neplātītos ar platformu.
Tātad uzņēmums piedāvā lietotājiem, kuri ļauj 2FA nedēļu ilgam labvēlības periodam izlemt, vai viņi to patiešām vēlas. Tas nav obligāts, bet tiek atlasīts pēc noklusējuma. Pirms labvēlības perioda beigām lietotāji var izvēlēties pieteikties kā parasti. To darot, 2FA tiks izslēgts.
Ne visi domā, ka tā ir lieliska ideja.
lapsu ziņas Riks Reihmuts apprecējās
Šī ir tāda bezatbildīga, smadzenēs mirusi drošības politika, kas kaitē cilvēkiem, @Facebook . Izgrieziet šo blēņas. cc. @alexstamos pic.twitter.com/tVX7fczw37
- Nadims Kobeissi (@kaepora) 2017. gada 25. maijs
Zināmā mērā tas pirmām kārtām zaudē mērķi izveidot 2FA. Uzbrucējs joprojām var piekļūt jūsu kontam, tikai izmantojot jūsu paroli, ja viņam izdodas streikot labvēlības periodā.
kas notika ar vinita nair cbs
Daži eksperti kiberdrošības kopienā uzskata, ka Facebook dizaina izvēle ir nomākta. Nadims Kobeissi?, Kurš izveidoja šifrētu ziņojumapmaiņas lietotni Cryptocat, to sauca 'tāda bezatbildīga, smadzenēs mirusi drošības politika, kas kaitē cilvēkiem.' Viņš piebilda: 'Neticami. Es pavadīju veselu dienu, cenšoties saprast, kāpēc sociālā aktīvista Facebook * palika * nedrošs arī pēc 2FA. ' Izrādījās, ka vainīgais ir labvēlības periods.
Facebook drošības inženieris Breds Hils iebalsoja teikt, ka šī funkcija ir paredzēta, lai aizsargātu cilvēkus, kuri nelasa instrukcijas, veicot attiecīgas darbības, norādot, ka lietotājiem tiek dota izvēle, vai viņi vēlas pagarinājuma periodu:
Tas ir paredzēts, lai aizsargātu cilvēkus, kuri, lasot sekojošas darbības, nelasa instrukcijas. pic.twitter.com/WHxoXSa4As
- Hillbrad (@hillbrad) 2017. gada 25. maijs
Kobeissi nošāva 'Tas var jūs pārsteigt, taču, strādājot ar dažiem MENA reģiona ļaudīm, šī smalkā drukātā rakstura sekas nav viņu modeļa daļa.' Uz kuru Kalnu atbildēja , 'Patiesībā es nemaz neesmu pārsteigts, ka pastāv dažādi mentālie modeļi, kā 2FA darbojas gandrīz 2 miljardu cilvēku populācijā. Es burtiski pavadu stundas katru dienu, domājot par to. Un es skatos uz datiem. ' (Kobeissi vēl vairāk attīstīja savu domāšanu šeit .)
cik garš ir al rokers
Facebook galvenais drošības virsnieks Alekss Stamos izstrādāts čivināt : 'Tāpat kā ar drošības jostām, # 1 atteices režīms netiek izmantots 2FA. Es šaubos, vai jebkuram lielam pakalpojumu sniedzējam ir labāk nekā viencipara izplatība. Tātad, vai mēs vainojam cilvēkus, kuri neizvēlas izmantot funkcionalitāti, kas vērsta uz drošības puristiem, vai mēs veidojam sistēmu, kas der visiem? Tāpat kā ar [end-to-end šifrēšanu], 2FA ir tehnoloģija, ko pieprasa un ievieš eksperti, kuri mīl strīdēties par stūra gadījumiem un neveiksmes režīmiem.
Viņš turpināja atzīmēt: 'Atcerieties, ka arī pretinieks saņem balsi. Ļaujot kontu tūlītēju bloķēšanu pastāvīgi, tiks ļaunprātīgi izmantota arī kontu pārņemšana. ” Citiem vārdiem sakot, hakeri, kas izmanto konta kontroli, ļaus 2FA, lai bloķētu likumīgos lietotājus no kontu atkopšanas. (Protams, būtu dīvaini, ja hakeris izvēlētos labvēlības periodu.)
Cilvēki, uz kuriem paļaujas paroļu pārvaldnieki lai ģenerētu un uzglabātu garas, unikālas paroles, efektīvi tiek ierobežots to risks. No otras puses, daudz vieglāk ir atlasīt cilvēkus, kuri dažādos pakalpojumos atkal un atkal izmanto vienus un tos pašus akreditācijas datus, jo kontu un paroļu datu bāzes bieži tiek pārkāpti un palaida tumšajos tīklos.
Facebook to saprot, tāpēc uzņēmums cenšas palīdzēt lietotājiem sevi pasargāt. Acīmredzot tā vēlas samazināt uzlauzto kontu skaitu.
Ļaunprātīgai personai ir daudz grūtāk nolaupīt kontu, kuru aizsargā 2FA (lai gan gudra sociālā inženierija, kas parasti ietver sazināšanos ar uzņēmuma atbalsta pārstāvjiem un viņu mānīšanu, dažreiz var izdarīt šo triku, un SMS nav pilnīgi droša ). Lielākā daļa hakeru vēlas ātri iegūt daudz kontu (hakeri runā paši) un nevēlas veltīt papildu laiku un pūles vienam lietotājam.
Citiem vārdiem sakot, Facebook kontu drošība ir tikpat svarīga kā cilvēka uzvedības izpratne, kā arī tehnoloģisko rīku veidošana. Kā teica inženieris Breds Hils, kad jums ir darīšana ar miljardiem lietotāju, jums ir jāpielāgo daudz dažādu pieredzes līmeņu un dažādu koncepciju par to, kā drošībai vajadzētu darboties. Jebkura opcija “viens izmērs der visiem” noteikti pievils dažus cilvēkus.
