Facebook atén gairebé 2.000 milions d'usuaris, més d'un milió d'ells diàriament. Aquests usuaris estan repartits per tot el món i cadascun d'ells té un compte. La majoria d'aquests comptes només estan protegits per un contrasenya, el que significa que una persona malintencionada que coneix la vostra adreça electrònica només necessita una informació més per robar-vos el compte. Facebook té la difícil tasca d’esbrinar com evitar-ho sense molestar ni confondre tots aquells usuaris, les normes culturals dels quals i l’alfabetització informàtica varien àmpliament.
Una de les funcions de seguretat de Facebook és l’autenticació de dos factors pot haver sentit a parlar . 2FA (l'abreviatura comuna) pot protegir el vostre compte fins i tot en cas que algú obtingui la vostra contrasenya. 2FA sol implementar-se mitjançant missatgeria SMS o una aplicació segura com Google Authenticator, tot i que l’estàndard d’or és un segon factor físic . Els detalls canvien de servei a servei, però el procés general de 2FA funciona així: 1) Introduïu el vostre nom d'usuari i contrasenya. 2) El lloc web o l'aplicació us porten a una altra pantalla, on se us demana que introduïu un codi únic generat pel vostre segon factor. Voilà, ja estàs!
Però recordeu els milers de milions d’usuaris de Facebook? No tots són prou conscients per llegir la lletra petita. Resulta que podeu habilitar 2FA sense saber realment què feu i acabar bloquejat al vostre compte. Facebook vol evitar-ho gairebé tant, com evitar que els pirates informàtics pul·lulin contra la plataforma.
Per tant, l’empresa ofereix als usuaris que habiliten 2FA un període de gràcia d’una setmana per decidir si realment ho desitgen. És opcional, però està seleccionat per defecte. Abans que s’acabi el període de gràcia, els usuaris poden escollir iniciar la sessió de manera normal. En fer-ho, es desactivarà 2FA.
No tothom creu que sigui una gran idea.
quant guanya Lonnie Quinn
Aquest és el tipus de política de seguretat irresponsable i mortal que perjudica la gent, @Facebook . Retalla aquesta merda. cc. @alexstamos pic.twitter.com/tVX7fczw37
- Nadim Kobeissi (@kaepora) 25 de maig de 2017
En certa mesura, això derrota l'objectiu de configurar 2FA en primer lloc. Un atacant pot accedir al vostre compte només amb la vostra contrasenya si aconsegueix atacar dins del període de gràcia.
amb qui està casat amb Bob Harper
Alguns experts de la comunitat de ciberseguretat troben frustrant l’elecció de disseny de Facebook. Nadim Kobeissi ?, qui va crear l'aplicació de missatgeria xifrada Cryptocat, l’anomenava 'el tipus de política de seguretat irresponsable i morta pel cervell que perjudica les persones'. Va afegir: 'Increïble. Vaig passar un dia sencer intentant conèixer el motiu pel qual el Facebook * d'un activista social va romandre * insegur fins i tot després de 2FA '. Va resultar que el període de gràcia va ser el culpable.
Enginyer de seguretat de Facebook Brad Hill entonat dir que la funció està 'allà per protegir les persones que no llegeixen les instruccions quan fan coses conseqüents', assenyalant que els usuaris poden triar si volen el període de gràcia:
És aquí per protegir les persones que no llegeixen les instruccions quan fan coses conseqüents. pic.twitter.com/WHxoXSa4As
- hillbrad (@hillbrad) 25 de maig de 2017
Kobeissi tir enrere , 'Això us pot sorprendre, però quan es tracta amb algunes persones de la regió MENA, les implicacions d'aquesta lletra petita no formen part del seu model.' A quin turó va respondre En realitat, no em sorprèn gens que hi hagi diferents models mentals de com funciona el 2FA en una població de gairebé 2.000 milions de persones. Literalment passo hores cada dia pensant en això. I miro les dades. (Kobeissi va ampliar el seu pensament aquí .)
quina alçada té al roker
El cap de seguretat de Facebook, Alex Stamos elaborat en una tempesta de piulades : 'Igual que amb els cinturons de seguretat, no es fa servir el mode de fallada núm. 2FA. Dubto que qualsevol proveïdor gran tingui una penetració millor que la de només un dígit. Llavors, culpem a les persones que no opten per utilitzar funcionalitats dirigides a puristes de seguretat o dissenyem un sistema que funcioni per a tothom? Igual que amb el [xifratge d'extrem a extrem], el 2FA és una tecnologia de degoteig, exigida i implementada per experts als quals els agrada discutir sobre casos de cantonada i modes de fallada '.
Va recordar: 'Recordeu que l'adversari també obté un vot. Permetre que els comptes es bloquegin permanentment a l'instant també s'abusarà a les adquisicions de comptes. ' Dit d’una altra manera, els pirates informàtics que prenen el control d’un compte habilitaran 2FA per evitar que els usuaris legítims recuperin els seus comptes. (Per descomptat, seria estrany que un pirata informàtic optés pel període de gràcia).
Gent que confia gestors de contrasenyes per generar i emmagatzemar contrasenyes llargues i úniques limiten efectivament el risc. Les persones que utilitzen les mateixes credencials una i altra vegada per a diversos serveis diferents, en canvi, són molt més fàcils d’orientar perquè les bases de dades de comptes i contrasenyes sovint es violen i alliberat a les xarxes fosques.
Facebook s’adona d’això, de manera que l’empresa intenta ajudar els usuaris a protegir-se. Obbviament, vol minimitzar el nombre de comptes piratejats.
És molt més difícil per a una persona malintencionada segrestar un compte protegit per 2FA (tot i que l’enginyeria social intel·ligent, que normalment implica contactar amb representants d’assistència de l’empresa i enganyar-los, de vegades pot fer el truc, i Els SMS no són perfectament segurs ). La majoria dels pirates informàtics volen 'pwn' (parlar per compte propi) molts comptes ràpidament i no estan disposats a dedicar temps i esforç addicionals a un sol usuari.
En altres paraules, mantenir segurs els comptes de Facebook és tant comprendre el comportament humà com construir eines tecnològiques. Com va dir l’enginyer Brad Hill, quan es tracta de milers de milions d’usuaris, s’ha d’acomodar a diferents nivells d’experiència i diferents concepcions de com ha de funcionar la seguretat. Qualsevol opció 'talla única' pot decebre algunes persones.
