Facebook tjänar nästan 2 miljarder användare, mer än en miljard av dem dagligen. Dessa användare är spridda över hela världen, och var och en av dem har ett konto. De flesta av dessa konton är bara skyddade av a lösenord, vilket innebär att en skadlig person som känner till din e-postadress bara behöver ytterligare en information för att stjäla ditt konto. Facebook har det svåra jobbet att ta reda på hur man kan förhindra det utan att besvära eller förvirra alla användare, vars kulturella normer och datakunskap varierar mycket
En av Facebooks säkerhetsfunktioner är tvåfaktorautentisering, som du kanske har hört talas om . 2FA (den vanliga förkortningen) kan skydda ditt konto även i händelse av att någon får ditt lösenord. 2FA implementeras vanligtvis via SMS eller en säker app som Google Authenticator, även om guldstandarden är en fysisk andra faktor . Detaljerna ändras från tjänst till tjänst, men den allmänna 2FA-processen fungerar så här: 1) Du anger ditt användarnamn och lösenord. 2) Webbplatsen eller appen tar dig till en annan skärm där du blir ombedd att ange en engångskod som genereras av din andra faktor. Voilà, du är i!
Men kommer du ihåg Facebooks miljarder olika användare? Inte alla är samvetsgranna för att läsa det finstilta. Det visar sig att du kan aktivera 2FA utan att verkligen veta vad du gör, och sluta låst utanför ditt konto. Facebook vill förhindra det nästan lika mycket som det vill hindra hackare från att svärma plattformen.
Så företaget erbjuder användare som möjliggör 2FA en veckolång frist för att avgöra om de verkligen, verkligen vill ha det. Det är valfritt, men valt som standard. Innan respitperioden är slut kan användare välja att logga in som vanligt. Om du gör det stängs 2FA av.
Inte alla tycker att det är en bra idé.
Detta är den typ av oansvarigt, hjärndöd säkerhetspolitik som skadar människor, @Facebook . Klipp ut det här skiten. cc. @alexstamos pic.twitter.com/tVX7fczw37
- Nadim Kobeissi (@kaepora) 25 maj 2017
Till en viss grad motverkar detta syftet med att ställa in 2FA i första hand. En angripare kan fortfarande komma in på ditt konto bara genom att använda ditt lösenord om de lyckas slå in inom respitperioden.
Vissa experter inom cybersäkerhetsgemenskapen tycker Facebooks designval är frustrerande. Nadim Kobeissi ?, som skapade den krypterade meddelandeappen Cryptocat, kallade det 'den typ av oansvarig, hjärndöd säkerhetspolitik som skadar människor.' Han tillade: 'Otroligt. Jag tillbringade en hel dag med att försöka komma till botten med varför en socialaktivists Facebook * förblev * osäker även efter 2FA. ' Det visade sig att respitperioden var den skyldige.
Facebooks säkerhetsingenjör Brad Hill instämde att säga att funktionen är 'där för att skydda människor som inte läser instruktionerna när de gör konsekventa saker', och påpekar att användarna får välja om de vill ha respitperioden:
Det är där för att skydda människor som inte läser instruktionerna när de gör följder. pic.twitter.com/WHxoXSa4As
- hillbrad (@hillbrad) 25 maj 2017
Kobeissi skjuten tillbaka , 'Det här kan överraska dig, men när du har att göra med vissa människor i MENA-regionen är konsekvenserna av det finstilta inte en del av deras modell.' Till vilken Hill svarade , 'Jag är faktiskt inte alls förvånad över att det finns olika mentala modeller för hur 2FA fungerar i en befolkning på nästan 2 miljarder människor. Jag spenderar bokstavligen timmar varje dag på att tänka på det. Och jag tittar på data. ' (Kobeissi vidareutvecklade sitt tänkande här .)
Facebooks säkerhetschef Alex Stamos utarbetas i en tweetstorm : 'Som med säkerhetsbälten används felläge nr 1 inte 2FA. Jag tvivlar på att någon stor leverantör har bättre än ensiffrig penetration. Så klandrar vi människorna som inte väljer att använda funktionalitet inriktad på säkerhetspurister, eller designar vi ett system som fungerar för alla? Som med [end-to-end-kryptering] är 2FA en trickle down-teknik, efterfrågad och implementerad av experter som älskar att diskutera hörnärenden och fellägen. '
Han fortsatte och noterade: 'Kom ihåg att motståndaren också får rösta. Att låta konton perma-låses omedelbart kommer att missbrukas liksom i kontoövertaganden. ' Med andra ord kommer hackare som tar kontroll över ett konto att aktivera 2FA för att blockera legitima användare från att återställa sina konton. (Naturligtvis skulle det vara konstigt för en hackare att välja nådeperioden.)
Människor som litar på lösenordshanterare för att generera och lagra långa, unika lösenord begränsar deras risk effektivt. Människor som använder samma referenser om och om igen för olika tjänster, å andra sidan, är mycket lättare att rikta in sig, eftersom konto- och lösenordsdatabaser bryts ofta och släpptes på mörknäten.
Facebook inser detta, så företaget försöker hjälpa användare att skydda sig själva. Uppenbarligen vill det minimera antalet konton som hackas.
Det är mycket svårare för en skadlig person att kapa ett konto som är skyddat av 2FA (även om smart socialteknik, som vanligtvis handlar om att kontakta företagets supportrepresentanter och lura dem, kan det ibland göra tricket och SMS är inte helt säkert ). De flesta hackare vill 'pwn' (hackerspråk för egen hand) många konton snabbt och är inte villiga att ägna extra tid och ansträngning åt en enskild användare.
Med andra ord är att hålla Facebook-konton säkra lika mycket att förstå mänskligt beteende som att bygga tekniska verktyg. Som ingenjör Brad Hill sa, när du har att göra med miljarder användare måste du tillgodose många olika nivåer av erfarenhet och olika föreställningar om hur säkerhet ska fungera. Alla alternativ 'en storlek passar alla' kommer säkert att göra några människor besvikna.
