Facebook, günlük olarak bir milyardan fazlası olmak üzere yaklaşık 2 milyar kullanıcıya hizmet veriyor. Bu kullanıcılar tüm dünyaya yayılmış durumda ve her birinin bir hesabı var. Bu hesapların çoğu yalnızca bir şifre , bu, e-posta adresinizi bilen kötü niyetli bir kişinin hesabınızı çalmak için yalnızca bir bilgiye daha ihtiyacı olduğu anlamına gelir. Facebook, kültürel normları ve bilgisayar okuryazarlığı büyük ölçüde farklılık gösteren tüm kullanıcıları rahatsız etmeden veya kafalarını karıştırmadan bunu nasıl önleyeceğinizi bulmakta zorlanıyor.
Facebook'un güvenlik özelliklerinden biri iki faktörlü kimlik doğrulamadır. duymuş olabilir . 2FA (genel kısaltma), birisinin şifrenizi ele geçirmesi durumunda bile hesabınızı koruyabilir. 2FA, altın standart olmasına rağmen genellikle SMS mesajlaşma veya Google Authenticator gibi güvenli bir uygulama aracılığıyla uygulanır. fiziksel ikinci faktör . Ayrıntılar hizmetten hizmete değişir, ancak genel 2FA süreci şu şekilde çalışır: 1) Kullanıcı adınızı ve şifrenizi girersiniz. 2) Web sitesi veya uygulama sizi ikinci faktörünüz tarafından oluşturulan bir kerelik kodu girmenizin istendiği başka bir ekrana götürür. İşte geldin!
Ancak Facebook'un milyarlarca farklı kullanıcısını hatırlıyor musunuz? Hepsi ince baskıyı okuyacak kadar vicdanlı değil. Ne yaptığınızı gerçekten bilmeden 2FA'yı etkinleştirebileceğiniz ve sonunda hesabınızdan kilitlenebileceğiniz ortaya çıktı. Facebook, bilgisayar korsanlarının platforma girmesini engellemek istediği kadar bunu önlemek istiyor.
Bu nedenle şirket, 2FA'yı bir haftalık ödemesiz süreyi etkinleştiren kullanıcılara, gerçekten, gerçekten isteyip istemediklerine karar vermelerini sağlıyor. İsteğe bağlıdır, ancak varsayılan olarak seçilidir. Ek süre dolmadan kullanıcılar normal şekilde giriş yapmayı seçebilirler. Bunu yapmak 2FA'yı kapatır.
Herkes bunun harika bir fikir olduğunu düşünmüyor.
Bu, insanlara zarar veren sorumsuz, beyin ölümü gerçekleşen bir güvenlik politikasıdır. @Facebook . Bu saçmalığı kes. cc. @alexstamos pic.twitter.com/tVX7fczw37
-- Nadim Kobeissi (@kaepora) 25 Mayıs 2017
Bir dereceye kadar, bu, ilk etapta 2FA kurma amacını bozar. Bir saldırgan, ödemesiz süre içinde saldırmayı başarırsa, yalnızca parolanızı kullanarak hesabınıza girebilir.
Siber güvenlik topluluğundaki bazı uzmanlar, Facebook'un tasarım seçimini sinir bozucu buluyor. Şifreli mesajlaşma uygulaması Cryptocat'i yaratan Nadim Kobeissi? onu aradı 'insanlara zarar veren sorumsuz, beyin ölümü gerçekleşen bir güvenlik politikası.' İnanılmaz, diye ekledi. Bütün günümü bir sosyal aktivistin Facebook'unun 2FA'dan sonra bile neden *güvensiz kaldığını* anlamaya çalışarak geçirdim.' Suçlunun ödemesiz dönem olduğu ortaya çıktı.
Facebook güvenlik mühendisi Brad Hill araya girdi özelliğin 'sonuçlu şeyler yaparken talimatları okumayan kişileri korumak için orada' olduğunu söylemek, kullanıcılara ek süre isteyip istemedikleri konusunda bir seçenek verildiğini belirtmek için:
Önemli şeyler yaparken talimatları okumayan insanları korumak için oradadır. pic.twitter.com/WHxoXSa4As
-- hillbrad (@hillbrad) 25 Mayıs 2017
Kobeissi geri çekildi 'Bu sizi şaşırtabilir, ancak MENA bölgesindeki bazı insanlarla uğraşırken, bu ince baskının sonuçları onların modellerinin bir parçası değildir.' Hangi Tepeye yanıtladı 'Neredeyse 2 milyarlık bir nüfusta 2FA'nın nasıl çalıştığına dair farklı zihinsel modeller olmasına aslında hiç şaşırmadım. Kelimenin tam anlamıyla her gün saatlerce bunu düşünerek geçiriyorum. Ve verilere bakıyorum.' (Kobeissi düşüncesini daha da detaylandırdı İşte .)
Facebook güvenlik şefi Alex Stamos bir tweetstorm'da detaylandırıldı : 'Emniyet kemerlerinde olduğu gibi, 1 numaralı arıza modu 2FA'nın kullanılmamasıdır. Herhangi bir büyük sağlayıcının tek haneli penetrasyondan daha iyi olduğundan şüpheliyim. O halde, güvenlik konusunda sadeliği hedefleyen işlevleri kullanmayı tercih etmeyen insanları mı suçluyoruz, yoksa herkes için çalışan bir sistem mi tasarlıyoruz? [Uçtan uca şifrelemede] olduğu gibi, 2FA, kritik durumlar ve başarısızlık modları üzerinde tartışmayı seven uzmanlar tarafından talep edilen ve uygulanan bir damlama teknolojisidir.'
Devam etti, 'Düşmanın da oy aldığını unutmayın. Hesapların anında kalıcı olarak kilitlenmesine izin vermek, hesap ele geçirmelerinde de kötüye kullanılacak.' Başka bir deyişle, bir hesabın kontrolünü ele geçiren bilgisayar korsanları, meşru kullanıcıların hesaplarını kurtarmasını engellemek için 2FA'yı etkinleştirecektir. (Tabii ki, bir bilgisayar korsanının ek süreyi seçmesi garip olurdu.)
Güvenen insanlar şifre yöneticileri uzun, benzersiz şifreler oluşturmak ve saklamak, risklerini etkin bir şekilde sınırlandırmaktadır. Aynı kimlik bilgilerini çeşitli farklı hizmetler için tekrar tekrar kullanan kişiler ise, hesap ve şifre veritabanları nedeniyle hedeflenmek çok daha kolaydır. genellikle ihlal edilir ve darknet'lerde yayınlandı.
Facebook bunu fark eder ve bu nedenle şirket, kullanıcıların kendilerini korumalarına yardımcı olmaya çalışır. Açıkçası, saldırıya uğrayan hesap sayısını en aza indirmek istiyor.
Kötü niyetli bir kişinin 2FA tarafından korunan bir hesabı ele geçirmesi çok daha zordur (ancak genellikle şirket destek temsilcileriyle iletişime geçmeyi ve onları kandırmayı içeren akıllı sosyal mühendislik bazen hile yapabilir ve SMS tamamen güvenli değil ). Çoğu bilgisayar korsanı, çok sayıda hesabı hızlı bir şekilde 'pwn' (hacker-konuşma) ister ve tek bir kullanıcıya fazladan zaman ve çaba harcamaya istekli değildir.
Başka bir deyişle, Facebook hesaplarını güvende tutmak, teknolojik araçlar oluşturmak kadar insan davranışlarını anlamakla da ilgilidir. Mühendis Brad Hill'in dediği gibi, milyarlarca kullanıcıyla uğraşırken, güvenliğin nasıl çalışması gerektiğine dair birçok farklı deneyim düzeyine ve farklı anlayışlara uyum sağlamanız gerekir. Herhangi bir 'herkese uyan tek beden' seçeneği bazı insanları hayal kırıklığına uğratmak zorundadır.
