Facebook betjener næsten 2 milliarder brugere, mere end en milliard af dem på daglig basis. Disse brugere er spredt over hele verden, og hver af dem har en konto. De fleste af disse konti er kun beskyttet af en adgangskode, hvilket betyder, at en ondsindet person, der kender din e-mail-adresse, kun har brug for endnu et stykke information for at stjæle din konto. Facebook har det vanskelige job at finde ud af, hvordan man forhindrer det uden at gener eller forvirre alle de brugere, hvis kulturelle normer og computerfærdigheder varierer meget
En af Facebooks sikkerhedsfunktioner er tofaktorautentificering, som du måske har hørt om . 2FA (den almindelige forkortelse) kan beskytte din konto, selv i tilfælde af at nogen får din adgangskode. 2FA implementeres normalt via SMS-beskeder eller en sikker app som Google Authenticator, selvom guldstandarden er en fysisk anden faktor . Detaljerne skifter fra service til service, men den generelle 2FA-proces fungerer således: 1) Du indtaster dit brugernavn og din adgangskode. 2) Hjemmesiden eller appen fører dig til en anden skærm, hvor du bliver bedt om at indtaste en engangskode genereret af din anden faktor. Voilà, du er med!
Men husk Facebooks milliarder af forskellige brugere? Ikke alle er samvittighedsfulde nok til at læse det med småt. Det viser sig, at du kan aktivere 2FA uden virkelig at vide, hvad du laver, og ender med at være låst ude af din konto. Facebook vil forhindre det næsten lige så meget som det vil forhindre hackere i at sværme platformen.
Så virksomheden tilbyder brugere, der aktiverer 2FA, en uges lang frist for at afgøre, om de virkelig virkelig vil have det. Det er valgfrit, men valgt som standard. Før afdragsperioden er udløbet, kan brugerne vælge at logge ind som normalt. Dette gør 2FA deaktiveret.
Ikke alle synes, det er en god idé.
Dette er den slags uansvarlige, hjernedøde sikkerhedspolitik, der skader mennesker, @Facebook . Skær denne lort ud. cc. @alexstamos pic.twitter.com/tVX7fczw37
- Nadim Kobeissi (@kaepora) 25. maj 2017
Til en vis grad overvinder dette først og fremmest formålet med at oprette 2FA. En hacker kan stadig komme ind på din konto bare ved at bruge din adgangskode, hvis de formår at strejke inden for afdragsperioden.
Nogle eksperter i cybersikkerhedsfællesskabet finder Facebooks designvalg frustrerende. Nadim Kobeissi ?, der oprettede den krypterede messaging-app Cryptocat, kaldte det 'den slags uansvarlige, hjernedøde sikkerhedspolitik, der skader mennesker.' Han tilføjede: 'Utroligt. Jeg tilbragte en hel dag med at forsøge at komme til bunden af, hvorfor en social aktivists Facebook * forblev * usikker, selv efter 2FA. ' Det viste sig, at afdragsfriheden var synderen.
Facebook sikkerhedsingeniør Brad Hill chimet ind at sige, at funktionen er 'der for at beskytte folk, der ikke læser instruktionerne, når de laver konsekvente ting', og påpeger, at brugerne får et valg om, hvorvidt de vil have afdragsfrihed:
Det er der for at beskytte folk, der ikke læser instruktionerne, når de laver følgevirkninger. pic.twitter.com/WHxoXSa4As
- hillbrad (@hillbrad) 25. maj 2017
Kobeissi skød tilbage , 'Dette kan overraske dig, men når du beskæftiger dig med nogle MENA-regioner, er konsekvenserne af det med småt ikke en del af deres model.' Til hvilken Hill svarede , 'Jeg er faktisk slet ikke overrasket over, at der er forskellige mentale modeller for, hvordan 2FA fungerer i en befolkning på næsten 2 milliarder mennesker. Jeg bruger bogstaveligt talt timer hver dag på at tænke over det. Og jeg ser på data. ' (Kobeissi uddybede sin tankegang yderligere her .)
Facebook-sikkerhedschef Alex Stamos uddybet i en tweetstorm : 'Som med sikkerhedsseler er fejl nr. 1 fejltilstand ikke 2FA. Jeg tvivler på, at nogen stor udbyder har bedre end encifret penetration. Så bebrejder vi de mennesker, der ikke vælger at bruge funktionalitet rettet mod sikkerhedspurister, eller designer vi et system, der fungerer for alle? Som med [end-to-end-kryptering] er 2FA en trickle down-teknologi, der kræves og implementeres af eksperter, der elsker at argumentere over hjørnesager og fejltilstande. '
Han fortsatte med at bemærke: 'Husk, at modstanderen også får en stemme. At tillade, at konti perma-låses med det samme, vil også blive misbrugt i forbindelse med kontoovertagelser. ' Med andre ord vil hackere, der tager kontrol over en konto, gøre det muligt for 2FA for at blokere legitime brugere fra at gendanne deres konti. (Selvfølgelig ville det være underligt for en hacker at vælge afdragsfri periode.)
Folk der stoler på adgangskodeadministratorer at generere og gemme lange, unikke adgangskoder begrænser effektivt deres risiko. Folk der bruger de samme legitimationsoplysninger igen og igen til forskellige tjenester, er derimod meget lettere at målrette mod, fordi konto- og adgangskodedatabaser ofte overtrådt og frigivet på mørke net.
Facebook indser dette, så virksomheden forsøger at hjælpe brugerne med at beskytte sig selv. Det ønsker naturligvis at minimere antallet af konti, der bliver hacket.
Det er meget sværere for en ondsindet person at kapre en konto, der er beskyttet af 2FA (selvom smart social engineering, som typisk indebærer at kontakte firmaets supportrepræsentanter og narre dem, nogle gange kan gøre tricket, og SMS er ikke helt sikker ). De fleste hackere ønsker at 'pwn' (hacker-speak for own) mange konti hurtigt og er ikke villige til at afsætte ekstra tid og kræfter til en enkelt bruger.
Med andre ord, at holde Facebook-konti sikre er lige så meget et spørgsmål om at forstå menneskelig adfærd, som det bygger teknologiske værktøjer. Som ingeniør Brad Hill sagde, når du har at gøre med milliarder af brugere, skal du imødekomme mange forskellige niveauer af erfaring og forskellige forestillinger om, hvordan sikkerhed skal fungere. Enhver valgmulighed, der passer til alle, skuffer nogle mennesker.
