פייסבוק משרתת כמעט 2 מיליארד משתמשים, יותר ממיליארד מהם על בסיס יומי. משתמשים אלה פרוסים בכל רחבי העולם, ולכל אחד מהם חשבון. מרבית החשבונות הללו מוגנים רק על ידי א סיסמה, מה שאומר שאדם זדוני שמכיר את כתובת הדוא'ל שלך זקוק רק למידע נוסף כדי לגנוב את חשבונך. לפייסבוק התפקיד הקשה להבין כיצד למנוע זאת מבלי להפריע או לבלבל את כל אותם משתמשים, שהנורמות התרבותיות שלהם ואוריינות המחשב משתנים מאוד.
אחת מתכונות האבטחה של פייסבוק היא אימות דו-גורמי, אותו אתה אולי שמעתי על . 2FA (הקיצור המקובל) יכול להגן על חשבונך גם במקרה שמישהו ישיג את הסיסמה שלך. 2FA מיושם בדרך כלל באמצעות הודעות SMS או אפליקציה מאובטחת כמו מאמת גוגל, אם כי תקן הזהב הוא גורם שני פיזי . הפרטים משתנים משירות לשירות, אך תהליך ה- 2FA הכללי פועל כך: 1) אתה מזין את שם המשתמש והסיסמה שלך. 2) האתר או האפליקציה מעבירים אותך למסך אחר, שם אתה מתבקש להזין קוד חד פעמי שנוצר על ידי הגורם השני שלך. וואלה, אתה בפנים!
אבל זוכרים את מיליארדי המשתמשים המגוונים של פייסבוק? לא כולם מצפוניים מספיק כדי לקרוא את האותיות הקטנות. מתברר שתוכל להפעיל את 2FA מבלי לדעת באמת מה אתה עושה, ובסופו של דבר נעול מחוץ לחשבונך. פייסבוק רוצה למנוע את זה כמעט כמו שהיא רוצה למנוע מהאקרים לשטוף את הפלטפורמה.
כך שהחברה מציעה למשתמשים המאפשרים ל- 2FA תקופת חסד בת שבוע להחליט האם הם באמת רוצים באמת. זה אופציונלי, אך נבחר כברירת מחדל. לפני שתקופת החסד מסתיימת, המשתמשים יכולים לבחור להתחבר כרגיל. פעולה זו תשבית את 2FA.
לא כולם חושבים שזה רעיון נהדר.
פוקס ניוז ריק ריימוט נשוי
זו סוג של מדיניות ביטחון חסרת אחריות ומתה מוחית שפוגעת באנשים, @פייסבוק . גזור את השבל הזה. סמ'ק @alexstamos pic.twitter.com/tVX7fczw37
- נאדים קוביסי (@kaepora) 25 במאי 2017
במידה מסוימת זה מבסס את המטרה של הקמת 2FA מלכתחילה. תוקף עדיין יכול להיכנס לחשבונך רק באמצעות הסיסמה שלך אם הוא יצליח להכות בתקופת החסד.
בת כמה דבי מורגן
יש מומחים בקהילת אבטחת הסייבר שמבחינת העיצוב של פייסבוק מתסכלת. נדים קוביסי ?, שיצר את אפליקציית המסרים המוצפנת Cryptocat, קרא לזה 'סוג המדיניות הביטחונית חסרת האחריות והמתה המוחית שפוגעת באנשים.' הוא הוסיף, 'לא יאומן. ביליתי יום שלם בניסיון לרדת לעומק מדוע הפייסבוק של פעיל חברתי * נותר * חסר ביטחון גם אחרי 2FA. ' התברר שתקופת החסד הייתה האשמה.
מהנדס האבטחה של פייסבוק בראד היל נכנס פנימה לומר שהתכונה 'קיימת כדי להגן על אנשים שלא קוראים את ההוראות בעת ביצוע דברים תוצאתיים', ומציינת כי למשתמשים ניתנת בחירה אם הם רוצים את תקופת החסד:
זה שם כדי להגן על אנשים שלא קוראים את ההוראות כשעושים דברים תוצאתיים. pic.twitter.com/WHxoXSa4As
- hillbrad (@hillbrad) 25 במאי 2017
קובייסי נורה לאחור , 'זה אולי יפתיע אתכם, אבל כשמתמודדים עם אנשים מסוימים באזור MENA, ההשלכות של האותיות הקטנות אינן חלק מהמודל שלהן.' לאיזה היל הגיב , 'אני בעצם בכלל לא מופתע מכך שיש מודלים נפשיים שונים לאופן שבו 2FA עובדת באוכלוסייה של כמעט 2 מיליארד אנשים. אני ממש מבלה שעות כל יום במחשבות על כך. ואני מסתכל על נתונים. ' (קוביסי הרחיב עוד יותר את מחשבתו פה .)
כמה גבוה אל רוקר
קצין הביטחון הראשי של פייסבוק אלכס סטמוס פורט בסופת ציוצים : 'כמו עם חגורות בטיחות, מצב הכשל מספר 1 אינו בשימוש. אני בספק אם לספק גדול יותר יש חדירה חד ספרתית. אז האם אנו מאשימים את האנשים שלא בוחרים להשתמש בפונקציונליות המיועדת לטהרני אבטחה, או שמא אנו מתכננים מערכת המתאימה לכולם? כמו עם [הצפנה מקצה לקצה], 2FA היא טכנולוגיה מטפטפת, שדורשת ומיושמת על ידי מומחים שאוהבים להתווכח על מקרים פינתיים ומצבי כישלון. '
בהמשך ציין, 'זכרו שגם היריב מקבל הצבעה. מתן אפשרות לנעילת חשבונות באופן מיידי ינוצל לרעה כמו גם בהשתלטות על חשבונות. ' במילים אחרות, האקרים שתופסים שליטה בחשבון יאפשרו 2FA על מנת לחסום משתמשים לגיטימיים לשחזר את חשבונותיהם. (כמובן שזה יהיה מוזר עבור האקר לבחור בתקופת החסד).
אנשים שנשענים על מנהלי סיסמאות כדי ליצור ולאחסן סיסמאות ארוכות וייחודיות מגבילים למעשה את הסיכון שלהם. לעומת זאת, אנשים שמשתמשים באותם אישורים שוב ושוב לשירותים שונים שונים, לעומת זאת, הרבה יותר קל למקד מכיוון שמסדי נתונים של חשבונות וסיסמאות. לעיתים קרובות נפרצים ושוחרר ברשתות החשוכות.
פייסבוק מבינה זאת, ולכן החברה מנסה לעזור למשתמשים להגן על עצמם. ברור שהוא רוצה למזער את מספר החשבונות שנפרצים.
לאדם זדוני קשה הרבה יותר לחטוף חשבון המוגן על ידי 2FA (אם כי הנדסה חברתית חכמה, הכוללת בדרך כלל יצירת קשר עם נציגי התמיכה של החברה והונאתם, יכולה לפעמים לעשות את הטריק, ו SMS אינו מאובטח לחלוטין ). מרבית ההאקרים רוצים 'לבזבז' (האקרים לדבר בעצמם) הרבה חשבונות במהירות ולא מוכנים להקדיש זמן ומאמץ נוספים למשתמש יחיד.
במילים אחרות, שמירה על אבטחת חשבונות פייסבוק היא עניין של הבנת התנהגות אנושית באותה מידה כמו בניית כלים טכנולוגיים. כפי שאמר המהנדס בראד היל, כאשר אתה מתמודד עם מיליארדי משתמשים, אתה צריך להתאים לרמות שונות של חוויה ותפיסות שונות לגבי האופן שבו האבטחה צריכה לעבוד. כל אפשרות 'מידה אחת שמתאימה לכולם' עשויה לאכזב אנשים מסוימים.
