Facebook обслуживает почти 2 миллиарда пользователей, более миллиарда из них ежедневно. Эти пользователи разбросаны по всему миру, и у каждого из них есть учетная запись. Большинство этих учетных записей просто защищены пароль, что означает, что злоумышленнику, который знает ваш адрес электронной почты, требуется только одна часть информации, чтобы украсть вашу учетную запись. Facebook предстоит сложная работа по выяснению, как предотвратить это, не создавая неудобств и не сбивая с толку всех тех пользователей, чьи культурные нормы и компьютерная грамотность сильно различаются.
Одной из функций безопасности Facebook является двухфакторная аутентификация, которую вы возможно слышал о . 2FA (обычное сокращение) может защитить вашу учетную запись даже в том случае, если кто-то получит ваш пароль. 2FA обычно реализуется с помощью SMS-сообщений или безопасного приложения, такого как Google Authenticator, хотя золотым стандартом является физический второй фактор . Детали меняются от услуги к услуге, но общий процесс 2FA работает следующим образом: 1) Вы вводите свое имя пользователя и пароль. 2) Веб-сайт или приложение переведут вас на другой экран, где вас попросят ввести одноразовый код, сгенерированный вторым фактором. Вуаля, вы в деле!
Но помните миллиарды разных пользователей Facebook? Не все из них достаточно сознательны, чтобы читать мелкий шрифт. Оказывается, вы можете включить двухфакторную аутентификацию, даже не зная, что вы делаете, и в конечном итоге заблокировать свою учетную запись. Facebook хочет предотвратить это почти так же, как он хочет, чтобы хакеры не заполонили платформу.
Таким образом, компания предлагает пользователям, которые включают 2FA, недельный льготный период, чтобы решить, действительно ли они этого хотят. Это необязательно, но выбрано по умолчанию. До истечения льготного периода пользователи могут войти в систему как обычно. Двухфакторная аутентификация отключится.
Не все думают, что это отличная идея.
кто такая дама-консультант по дому
Это своего рода безответственная, бессмысленная политика безопасности, которая вредит людям, @Facebook . Избавьтесь от этой чуши. cc. @alexstamos pic.twitter.com/tVX7fczw37
- Надим Кобейси (@kaepora) 25 мая 2017 г.
В некоторой степени это противоречит цели создания 2FA. Злоумышленник по-прежнему может войти в вашу учетную запись, просто используя ваш пароль, если ему удастся нанести удар в течение льготного периода.
Гарри Хэмлин собственный капитал 2016
Некоторых экспертов в сообществе кибербезопасности разочаровывает выбор дизайна Facebook. Надим Кобейси?, Который создал приложение для обмена зашифрованными сообщениями Cryptocat, назвал это «Такая безответственная, безумная политика безопасности, которая вредит людям». Он добавил: «Невероятно. Я потратил целый день, пытаясь разобраться, почему Facebook * оставался * небезопасным даже после 2FA ». Оказалось, что виноват льготный период.
Инженер по безопасности Facebook Брэд Хилл вмешался в сказать, что эта функция предназначена «для защиты людей, которые не читают инструкции при выполнении важных действий», указывая на то, что пользователям предоставляется выбор относительно того, хотят ли они льготного периода:
Он нужен для защиты людей, которые не читают инструкции, когда делают важные вещи. pic.twitter.com/WHxoXSa4As
- hillbrad (@hillbrad) 25 мая 2017 г.
Кобейси выстрелил в ответ «Это может вас удивить, но когда вы имеете дело с некоторыми людьми из региона MENA, значение этого мелкого шрифта не является частью их модели». К какой холм ответил «Я на самом деле совсем не удивлен, что существуют разные ментальные модели того, как 2FA работает в населении почти 2 миллиарда человек. Я буквально часами каждый день думаю об этом. И я смотрю на данные ». (Кобейси развил свое мышление здесь .)
какой рост у джея глейзера
Директор по безопасности Facebook Алекс Стамос разработан в твиттере : 'Как и в случае с ремнями безопасности, режим отказа № 1 - 2FA не используется. Я сомневаюсь, что у какого-либо крупного провайдера проникновение лучше, чем однозначное число. Итак, обвиняем ли мы людей, которые не решают использовать функциональность, нацеленную на сторонников безопасности, или мы разрабатываем систему, которая работает для всех? Как и [сквозное шифрование], 2FA - это сквозная технология, востребованная и внедренная экспертами, которые любят спорить о крайних случаях и режимах отказа ».
Далее он отметил: «Помните, что противник также имеет право голоса. Разрешение мгновенной блокировки учетных записей будет нарушено также при захвате учетных записей ». Другими словами, хакеры, которые захватят контроль над учетной записью, включат 2FA, чтобы заблокировать законных пользователей от восстановления своих учетных записей. (Конечно, для хакера было бы странно выбрать льготный период.)
Люди, которые полагаются на менеджеры паролей создание и хранение длинных уникальных паролей эффективно ограничивают их риск. С другой стороны, людей, которые снова и снова используют одни и те же учетные данные для различных служб, гораздо проще нацелить, поскольку базы данных учетных записей и паролей часто нарушаются и выпущен в даркнете.
Facebook понимает это, поэтому компания пытается помочь пользователям защитить себя. Очевидно, он хочет минимизировать количество взломанных учетных записей.
Злоумышленнику намного сложнее захватить аккаунт, защищенный 2FA (хотя умная социальная инженерия, которая обычно включает в себя обращение к представителям службы поддержки компании и их обман, иногда может помочь, и SMS не совсем безопасен ). Большинство хакеров хотят быстро «взломать» (на хакерском языке) множество учетных записей и не хотят тратить дополнительное время и усилия на одного пользователя.
Другими словами, обеспечение безопасности учетных записей Facebook - это не только вопрос понимания человеческого поведения, но и создание технологических инструментов. Как сказал инженер Брэд Хилл, когда вы имеете дело с миллиардами пользователей, вы должны учитывать множество разных уровней опыта и разные концепции того, как должна работать безопасность. Любой вариант «один размер подходит всем» обязательно разочарует некоторых людей.
