Facebook обслужва почти 2 милиарда потребители, повече от милиард от тях ежедневно. Тези потребители са разпределени по цял свят и всеки от тях има акаунт. Повечето от тези акаунти са просто защитени от парола, което означава, че злонамерен човек, който знае имейл адреса ви, се нуждае само от още една информация, за да открадне вашия акаунт. Facebook има трудната работа да измисли как да предотврати това, без да създава неудобства или объркване на всички онези потребители, чиито културни норми и компютърна грамотност варират значително
Една от функциите за сигурност на Facebook е двуфакторното удостоверяване, което вие може да сте чували за . 2FA (често срещаното съкращение) може да защити вашия акаунт дори в случай, че някой получи паролата ви. 2FA обикновено се прилага чрез SMS съобщения или защитено приложение като Google Authenticator, въпреки че златният стандарт е физически втори фактор . Подробностите се променят от услуга на услуга, но общият процес 2FA работи по следния начин: 1) Въвеждате потребителското си име и парола. 2) Уебсайтът или приложението ви отвеждат на друг екран, където трябва да въведете еднократен код, генериран от втория ви фактор. Voilà, влизаш!
Но помните ли милиардите разнообразни потребители на Facebook? Не всички от тях са достатъчно съвестни, за да прочетат дребния шрифт. Оказва се, че можете да активирате 2FA, без наистина да знаете какво правите, и в крайна сметка да сте заключени от акаунта си. Facebook иска да предотврати това почти толкова, колкото иска да попречи на хакерите да роят платформата.
Така че компанията предлага на потребителите, които позволяват 2FA гратисен период от една седмица, да решат дали наистина го искат. Не е задължително, но е избрано по подразбиране. Преди да изтече гратисният период, потребителите могат да изберат да влязат както обикновено. Това ще изключи 2FA.
Не всеки смята, че това е чудесна идея.
която е домашният съветник
Това е вид безотговорна, умряла от мозъка политика за сигурност, която вреди на хората, @Facebook . Прекратете тази глупост. cc. @alexstamos pic.twitter.com/tVX7fczw37
- Надим Кобейси (@kaepora) 25 май 2017 г.
До известна степен това поражда първоначално целта за създаване на 2FA. Нападателят все още може да влезе във вашия акаунт, само като използва паролата ви, ако успее да нанесе удар в рамките на гратисния период.
откъде са родителите на blac china
Някои експерти от общността за киберсигурност смятат, че изборът на дизайн на Facebook е разочароващ. Надим Кобейси ?, който създаде приложението за криптирани съобщения Cryptocat, нарече го „видът на безотговорна, умряла от мозъка политика за сигурност, която вреди на хората“. Той добави: „Невероятно. Прекарах цял ден, опитвайки се да разбера защо Facebook * на социален активист остана * несигурен дори след 2FA. ' Оказа се, че гратисният период е виновникът.
Инженер по сигурността на Facebook Брад Хил подкани да се каже, че функцията е „там, за да защити хората, които не четат инструкциите, когато правят последващи неща“, посочвайки, че потребителите получават избор дали искат гратисния период:
Той е там, за да защити хората, които не четат инструкциите, когато правят последващи неща. pic.twitter.com/WHxoXSa4As
- hillbrad (@hillbrad) 25 май 2017 г.
Кобейси отстрелян , „Това може да ви изненада, но когато се занимавате с хора от региона на MENA, последиците от този фин шрифт не са част от техния модел.“ До кой хълм отговори , „Всъщност изобщо не съм изненадан, че съществуват различни умствени модели за това как работи 2FA при население от почти 2 милиарда души. Буквално прекарвам часове всеки ден в мисли за това. И аз гледам данни. ' (Кобейси доразви своето мислене тук .)
уесли снайпс гей ли е?
Главен служител по сигурността на Facebook Алекс Стамос разработена в туитър : „Както при предпазните колани, режимът за отказ # 1 е 2FA, който не се използва. Съмнявам се, че някой голям доставчик има по-добро от едноцифрено проникване. И така, обвиняваме ли хората, които не избират да използват функционалност, насочена към пуристите за сигурност, или създаваме система, която работи за всички? Както и при [криптиране от край до край], 2FA е технология за просмукване, изисквана и внедрена от експерти, които обичат да спорят за ъглови случаи и режими на отказ.
Той продължи, отбелязвайки: „Не забравяйте, че противникът също получава глас. Разрешаването на акаунтите да бъдат перманентно заключени незабавно ще бъде злоупотребявано, както и при поемане на акаунти. ' С други думи, хакерите, които поемат контрола върху акаунт, ще активират 2FA, за да блокират законните потребители да възстановят своите акаунти. (Разбира се, би било странно за хакер да избере гратисния период.)
Хора, които разчитат мениджъри на пароли за генериране и съхраняване на дълги, уникални пароли ефективно ограничават риска. Хората, които използват едни и същи идентификационни данни отново и отново за различни услуги, от друга страна, са много по-лесни за насочване, защото бази данни за акаунти и пароли често са нарушени и пуснати на тъмните мрежи.
Facebook осъзнава това, така че компанията се опитва да помогне на потребителите да се защитят. Очевидно иска да минимизира броя на акаунтите, които се хакват.
За злонамерен човек е много по-трудно да отвлече акаунт, защитен от 2FA (въпреки че интелигентното социално инженерство, което обикновено включва свързване с представители на фирмена поддръжка и измама, понякога може да свърши работа и SMS не е напълно защитен ). Повечето хакери искат да „заловят“ (говорят сами за себе си) много акаунти и не са склонни да отделят допълнително време и усилия за един потребител.
С други думи, поддържането на сигурността на акаунтите във Facebook е въпрос както на разбиране на човешкото поведение, така и на изграждане на технологични инструменти. Както каза инженер Брад Хил, когато имате работа с милиарди потребители, трябва да се съобразите с много различни нива на опит и различни концепции за това как трябва да работи сигурността. Всяка опция „един размер отговаря на всички“ е длъжна да разочарова някои хора.
