Facebook betjener nesten 2 milliarder brukere, mer enn en milliard av dem på daglig basis. Disse brukerne er spredt over hele verden, og hver av dem har en konto. De fleste av disse kontoene er bare beskyttet av a passord, noe som betyr at en ondsinnet person som kjenner e-postadressen din bare trenger en annen informasjon for å stjele kontoen din. Facebook har den vanskelige jobben med å finne ut hvordan man kan forhindre det uten å forstyrre eller forvirre alle brukerne, hvis kulturelle normer og datakunnskaper varierer mye
En av Facebooks sikkerhetsfunksjoner er tofaktorautentisering, som du kanskje har hørt om . 2FA (den vanlige forkortelsen) kan beskytte kontoen din selv i tilfelle noen får passordet ditt. 2FA implementeres vanligvis via SMS-meldinger eller en sikker app som Google Authenticator, selv om gullstandarden er en fysisk andre faktor . Detaljene endres fra tjeneste til tjeneste, men den generelle 2FA-prosessen fungerer slik: 1) Du skriver inn brukernavn og passord. 2) Nettstedet eller appen tar deg til et annet skjermbilde, der du blir bedt om å angi en engangskode generert av den andre faktoren din. Voilà, du er med!
Men husker du Facebooks milliarder av forskjellige brukere? Ikke alle av dem er pliktoppfyllende nok til å lese de små skriftene. Det viser seg at du kan aktivere 2FA uten å vite hva du gjør, og ende opp med å være låst utenfor kontoen din. Facebook ønsker å forhindre det nesten like mye som det vil forhindre at hackere svermer plattformen.
Så selskapet tilbyr brukere som aktiverer 2FA en ukes lang frist for å bestemme om de virkelig, virkelig vil ha det. Det er valgfritt, men valgt som standard. Før nådeperioden er ute, kan brukerne velge å logge inn som normalt. Hvis du gjør det, slås 2FA av.
Ikke alle synes det er en god idé.
hvem er hjemmerådgiverdamen
Dette er den typen uansvarlig, hjernedød sikkerhetspolitikk som skader mennesker, @Facebook . Klipp ut dette drittet. cc. @alexstamos pic.twitter.com/tVX7fczw37
- Nadim Kobeissi (@kaepora) 25. mai 2017
Til en viss grad beseirer dette formålet med å sette opp 2FA i utgangspunktet. En angriper kan fremdeles komme inn på kontoen din bare ved å bruke passordet ditt hvis de klarer å streike i løpet av løpetiden.
hvor høy er emma slater
Noen eksperter i cybersecurity-miljøet synes Facebooks designvalg er frustrerende. Nadim Kobeissi ?, som opprettet den krypterte meldingsappen Cryptocat, kalte det 'den typen uansvarlig, hjernedød sikkerhetspolitikk som skader mennesker.' Han la til: 'Utrolig. Jeg brukte en hel dag på å prøve å komme til bunns i hvorfor en sosial aktivists Facebook * forble * usikker selv etter 2FA. ' Det viste seg at nådeperioden var synderen.
Facebooks sikkerhetsingeniør Brad Hill chimed inn å si at funksjonen er 'der for å beskytte folk som ikke leser instruksjonene når de gjør konsekvente ting', og påpeker at brukerne får et valg om de vil ha nådeperioden:
Det er der for å beskytte folk som ikke leser instruksjonene når de gjør ting som følger. pic.twitter.com/WHxoXSa4As
- hillbrad (@hillbrad) 25. mai 2017
Kobeissi skutt tilbake , 'Dette kan overraske deg, men når du har å gjøre med noen MENA-regionfolk, er ikke implikasjonene av den fine utskriften en del av modellen deres.' Til hvilken Hill svarte , 'Jeg er faktisk ikke i det hele tatt overrasket over at det er forskjellige mentale modeller for hvordan 2FA fungerer i en befolkning på nesten 2 milliarder mennesker. Jeg bruker bokstavelig talt timer hver dag på å tenke på det. Og jeg ser på data. ' (Kobeissi utdypet videre tankegangen sin her .)
hvor høy er al roker
Facebook-sikkerhetssjef Alex Stamos utdypet i en tweetstorm : 'Som med sikkerhetsbelter, brukes ikke feilmodus nr. 2FA. Jeg tviler på at noen store leverandører har bedre enn ensifret penetrasjon. Så klandrer vi menneskene som ikke velger å bruke funksjonalitet rettet mot sikkerhetspurister, eller designer vi et system som fungerer for alle? Som med [end-to-end-kryptering], er 2FA en trickle down-teknologi, krevd og implementert av eksperter som elsker å krangle om hjørnesaker og sviktmodus. '
Han sa videre: 'Husk at motstanderen også får en stemme. Å tillate at kontoer blir perma-låst umiddelbart, blir også misbrukt i kontoovertakelser. ' Med andre ord, hackere som tar kontroll over en konto vil gjøre det mulig for 2FA for å blokkere legitime brukere fra å gjenopprette kontoene sine. (Selvfølgelig ville det være rart for en hacker å velge avdragsperioden.)
Folk som stoler på passordbehandlere for å generere og lagre lange, unike passord begrenser risikoen effektivt. Mennesker som bruker samme legitimasjon om og om igjen for forskjellige tjenester, er derimot mye lettere å målrette, fordi konto- og passorddatabaser blir ofte brutt og sluppet ut på mørke nettene.
Facebook innser dette, så selskapet prøver å hjelpe brukerne med å beskytte seg selv. Åpenbart ønsker den å minimere antall kontoer som blir hacket.
Det er mye vanskeligere for en ondsinnet person å kapre en konto beskyttet av 2FA (selv om smart sosialteknikk, som vanligvis innebærer å kontakte representanter for bedriftens support og lure dem, noen ganger kan gjøre susen, og SMS er ikke helt sikker ). De fleste hackere ønsker å 'pwn' (hacker-speak for own) mange kontoer raskt og er ikke villige til å bruke ekstra tid og krefter på en enkelt bruker.
Å holde Facebook-kontoer sikre er med andre ord like mye et spørsmål om å forstå menneskelig atferd som å bygge teknologiske verktøy. Som ingeniør Brad Hill sa, når du har å gjøre med milliarder brukere, må du imøtekomme mange forskjellige nivåer av erfaring og forskjellige forestillinger om hvordan sikkerhet skal fungere. Alle muligheter for en størrelse som passer alle vil skuffe noen mennesker.
