Naghahain ang Facebook ng halos 2 bilyong mga gumagamit, higit sa isang bilyon sa kanila sa araw-araw. Ang mga gumagamit na iyon ay kumalat sa buong mundo, at ang bawat isa sa kanila ay mayroong isang account. Karamihan sa mga account na iyon ay protektado lamang ng a password, na nangangahulugang ang isang mapanirang tao na nakakaalam ng iyong email address ay nangangailangan lamang ng isa pang piraso ng impormasyon upang nakawin ang iyong account. Ang Facebook ay may mahirap na trabaho sa pag-uunawa kung paano ito maiiwasan nang hindi nakakagambala o nakalilito sa lahat ng mga gumagamit, na ang mga kaugalian sa kultura at literacy sa computer ay malawak na nag-iiba
Ang isa sa mga tampok sa seguridad ng Facebook ay ang pagpapatotoo ng dalawang-kadahilanan, na ikaw maaaring narinig ng . Ang 2FA (ang karaniwang pagpapaikli) ay maaaring maprotektahan ang iyong account kahit na sa kaganapan na may makakuha ng iyong password. Karaniwang ipinatutupad ang 2FA sa pamamagitan ng pagmemensahe ng SMS o isang ligtas na app tulad ng Google Authenticator, bagaman ang pamantayang ginto ay a pisikal na pangalawang kadahilanan . Ang mga detalye ay nagbabago mula sa serbisyo patungo sa serbisyo, ngunit ang pangkalahatang proseso ng 2FA ay gumagana tulad nito: 1) Ipasok mo ang iyong username at password. 2) Dadalhin ka ng website o app sa isa pang screen, kung saan hiniling sa iyo na magpasok ng isang isang beses na code na nabuo ng iyong pangalawang kadahilanan. VoilĂ , nakapasok ka na!
Ngunit natatandaan ang bilyun-bilyong magkakaibang mga gumagamit ng Facebook? Hindi lahat sa kanila ay sapat na nakonsensya upang mabasa ang mainam na pag-print. Lumalabas na maaari mong paganahin ang 2FA nang hindi mo talaga nalalaman kung ano ang iyong ginagawa, at magtapos na naka-lock sa iyong account. Nais ng Facebook na pigilan iyon halos kasing gusto nitong panatilihin ang mga hacker mula sa pagsiksik sa platform.
Kaya't ang kumpanya ay nag-aalok ng mga gumagamit na paganahin ang 2FA ng isang linggong panahon ng biyaya upang magpasya kung talagang gusto nila ito. Opsyonal ito, ngunit pinili bilang default. Bago matapos ang panahon ng biyaya, maaaring pumili ang mga gumagamit na mag-login tulad ng normal. Ang paggawa nito ay magpapapatay sa 2FA.
Hindi iniisip ng lahat na isang magandang ideya.
Ito ang uri ng hindi responsable, patakaran sa seguridad na patay sa utak na nakakasama sa mga tao, @Facebook . Gupitin ang kalokohan na ito. cc. @alexstamos pic.twitter.com/tVX7fczw37
- Nadim Kobeissi (@kaepora) Mayo 25, 2017
Sa isang tiyak na lawak, tinalo nito ang layunin ng pag-set up ng 2FA sa unang lugar. Ang isang magsasalakay ay maaari pa ring makapasok sa iyong account sa pamamagitan lamang ng paggamit ng iyong password kung namamahala sila upang mag-welga sa loob ng panahon ng biyaya.
Ang ilang mga dalubhasa sa komunidad ng cybersecurity ay nakakainis na pagpipilian ng disenyo ng Facebook. Nadim Kobeissi ?, sino ang lumikha ng naka-encrypt na app ng pagmemensahe na Cryptocat, tinawag ito 'ang uri ng hindi responsable, patakaran sa seguridad na patay sa utak na pumipinsala sa mga tao.' Idinagdag niya, 'Hindi makapaniwala. Ginugol ko ang isang buong araw na sinusubukan na makarating sa ilalim ng kung bakit ang Facebook ng isang aktibista sa lipunan * ay nanatiling * walang katiyakan kahit na matapos ang 2FA. ' Ito ay naka-out na ang panahon ng biyaya ay ang salarin.
Ang security engineer sa Facebook na si Brad Hill chim in upang sabihin na ang tampok ay 'nariyan upang protektahan ang mga tao na hindi basahin ang mga tagubilin kapag gumagawa ng mga kinahinatnang bagay,' na tinutukoy na ang mga gumagamit ay binibigyan ng isang pagpipilian tungkol sa kung nais nila ang panahon ng biyaya:
Nariyan upang protektahan ang mga taong hindi basahin ang mga tagubilin kapag gumagawa ng mga kinahinatnang bagay. pic.twitter.com/WHxoXSa4As
- Hillbrad (@hillbrad) Mayo 25, 2017
Kobeissi binaril pabalik , 'Maaaring sorpresahin ka nito, ngunit kapag nakikipag-usap sa ilang mga tao sa rehiyon ng MENA, ang mga implikasyon ng mahusay na pag-print na iyon ay hindi bahagi ng kanilang modelo.' Saang burol sumagot , 'Talagang hindi ako nagulat na mayroong magkakaibang mga modelo ng pag-iisip para sa kung paano gumagana ang 2FA sa isang populasyon na halos 2 bilyong katao. Literal na gumugugol ako ng oras araw-araw sa pag-iisip tungkol doon. At tumingin ako sa data. ' (Kobeissi karagdagang elaborated kanyang pag-iisip dito .)
Punong security officer ng Facebook na si Alex Stamos elaborated sa isang tweetstorm : 'Tulad ng mga sinturon sa upuan, ang # 1 na pagkabigo mode ay hindi ginagamit ang 2FA. Duda ako ang anumang malaking provider ay may mas mahusay kaysa sa solong-digit na pagtagos. Kaya't sinisisi ba natin ang mga taong hindi pumili na gumamit ng pag-andar na naglalayon sa mga purista sa seguridad, o nagdidisenyo ba kami ng isang system na gumagana para sa lahat? Tulad ng [end-to-end na pag-encrypt], ang 2FA ay isang trickle down na teknolohiya, hinihingi at ipinatupad ng mga dalubhasa na mahilig makipagtalo sa mga sulok na kaso at mga mode na pagkabigo. '
Nagpunta siya upang tandaan, 'Tandaan na ang kalaban ay nakakakuha din ng isang boto. Ang pagpapahintulot sa mga account na agad na naka-lock ng perma ay maaabuso pati na rin sa mga pagkuha ng account. ' Sa madaling salita, ang mga hacker na kumuha ng kontrol sa isang account ay magpapagana sa 2FA upang hadlangan ang mga lehitimong gumagamit mula sa pagbawi ng kanilang mga account. (Siyempre, kakaiba para sa isang hacker na pumili para sa panahon ng biyaya.)
Mga taong umaasa mga tagapamahala ng password upang makabuo at mag-imbak ng mahaba, natatanging mga password ay mabisang naglilimita sa kanilang peligro. Ang mga taong gumagamit ng parehong mga kredensyal nang paulit-ulit para sa iba't ibang iba't ibang mga serbisyo, sa kabilang banda, ay mas madaling ma-target, dahil ang mga database ng account at password ay madalas na nilabag at pinakawalan sa mga darknet.
Napagtanto ito ng Facebook, kaya sinusubukan ng kumpanya na tulungan ang mga gumagamit na protektahan ang kanilang sarili. Malinaw na nais nitong i-minimize ang bilang ng mga account na na-hack.
Mas mahirap para sa isang nakakahamak na tao na mag-hijack ng isang account na protektado ng 2FA (kahit na ang matalino sa social engineering, na karaniwang nagsasangkot sa pakikipag-ugnay sa mga reps ng suporta sa kumpanya at panloloko sa kanila, ay maaaring gawin ang trick, at Ang SMS ay hindi perpektong ligtas ). Karamihan sa mga hacker ay nais na 'pwn' (hacker-speak para sa sarili) ng maraming mga account nang mabilis at hindi handang maglaan ng labis na oras at pagsisikap sa isang solong gumagamit.
Sa madaling salita, ang pagpapanatiling ligtas ng mga account sa Facebook ay isang bagay ng pag-unawa sa pag-uugali ng tao tulad ng pagbuo ng mga tool na pang-teknolohikal. Tulad ng sinabi ng engineer na si Brad Hill, kapag nakikipag-usap ka sa bilyun-bilyong mga gumagamit, kailangan mong tumanggap ng maraming iba't ibang mga antas ng karanasan at iba't ibang mga haka-haka kung paano dapat gumana ang seguridad. Anumang pagpipilian na 'isang sukat umaangkop sa lahat' ay tiyak na mabigo sa ilang mga tao.
