Logo
Hoofd Technologie De rare maas in de wet die zelfs goed beveiligde Facebook-accounts kwetsbaar maakt

De rare maas in de wet die zelfs goed beveiligde Facebook-accounts kwetsbaar maakt

Uw Horoscoop Voor Morgen

Facebook bedient bijna 2 miljard gebruikers, meer dan een miljard op dagelijkse basis. Die gebruikers zijn verspreid over de hele wereld en hebben allemaal een account. De meeste van die accounts worden alleen beschermd door een wachtwoord , wat betekent dat een kwaadwillende die uw e-mailadres kent slechts één extra stukje informatie nodig heeft om uw account te stelen. Facebook heeft de moeilijke taak om uit te zoeken hoe dat te voorkomen zonder al die gebruikers te hinderen of te verwarren, wier culturele normen en computervaardigheden sterk verschillen

Een van de beveiligingsfuncties van Facebook is tweefactorauthenticatie, die u misschien wel eens van gehoord . 2FA (de gebruikelijke afkorting) kan uw account beschermen, zelfs in het geval dat iemand uw wachtwoord verkrijgt. 2FA wordt meestal geïmplementeerd via sms of een beveiligde app zoals Google Authenticator, hoewel de gouden standaard een fysieke tweede factor . De details veranderen van service tot service, maar het algemene 2FA-proces werkt als volgt: 1) U voert uw gebruikersnaam en wachtwoord in. 2) De website of app brengt je naar een ander scherm, waar je wordt gevraagd een eenmalige code in te voeren die is gegenereerd door je tweede factor. Voilà, je doet mee!

Maar herinner je je de miljarden verschillende gebruikers van Facebook nog? Ze zijn niet allemaal gewetensvol genoeg om de kleine lettertjes te lezen. Het blijkt dat je 2FA kunt inschakelen zonder echt te weten wat je doet, en uiteindelijk wordt je account buitengesloten. Facebook wil dat bijna net zo graag voorkomen als dat het hackers het platform wil laten zwermen.

Daarom biedt het bedrijf gebruikers die 2FA inschakelen een respijtperiode van een week om te beslissen of ze het echt, echt willen. Het is optioneel, maar standaard geselecteerd. Voordat de respijtperiode voorbij is, kunnen gebruikers ervoor kiezen om in te loggen zoals normaal. Als u dit doet, wordt 2FA uitgeschakeld.

Niet iedereen vindt dat een goed idee.

hoe oud is jeremy maclin

Tot op zekere hoogte gaat dit voorbij aan het doel van het opzetten van 2FA in de eerste plaats. Een aanvaller kan nog steeds toegang krijgen tot uw account door uw wachtwoord te gebruiken als hij erin slaagt binnen de respijtperiode toe te slaan.

hoe lang is john smoltz

Sommige experts in de cyberbeveiligingsgemeenschap vinden de ontwerpkeuze van Facebook frustrerend. Nadim Kobeissi?, die de versleutelde berichten-app Cryptocat heeft gemaakt, noemde het 'het soort onverantwoordelijk, hersendood veiligheidsbeleid dat mensen schade berokkent.' Hij voegde eraan toe: 'Ongelooflijk. Ik ben een hele dag bezig geweest om uit te zoeken waarom de Facebook van een sociale activist zelfs na 2FA onveilig bleef.' Het bleek dat de uitstelperiode de boosdoener was.

Facebook-beveiligingsingenieur Brad Hill stemde in om te zeggen dat de functie 'er is om mensen te beschermen die de instructies niet lezen bij het doen van consequente dingen', erop wijzend dat gebruikers de keuze krijgen of ze de respijtperiode willen:

Kobeissi teruggeschoten , 'Het zal je misschien verbazen, maar als je te maken hebt met mensen uit de MENA-regio, maken de implicaties van die kleine lettertjes geen deel uit van hun model.' naar welke heuvel? reageerde ,,Het verbaast me eigenlijk helemaal niet dat er verschillende mentale modellen zijn voor hoe 2FA werkt in een populatie van bijna 2 miljard mensen. Ik denk er elke dag letterlijk uren over na. En ik kijk naar data.' (Kobeissi werkte zijn denken verder uit) hier .)

Alex Cowper Smith Goldman Sachs

Facebook chief security officer Alex Stamos uitgewerkt in een tweetstorm : 'Net als bij veiligheidsgordels is de #1 faalmodus dat 2FA niet wordt gebruikt. Ik betwijfel of een grote provider een betere penetratie heeft dan enkelcijferige penetratie. Dus geven we de mensen de schuld die er niet voor kiezen om functionaliteit te gebruiken die gericht is op beveiligingspuristen, of ontwerpen we een systeem dat voor iedereen werkt? Net als bij [end-to-end encryptie], is 2FA een trickle-down-technologie, die wordt geëist en geïmplementeerd door experts die graag ruzie maken over hoekgevallen en faalwijzen.'

Hij vervolgde: 'Vergeet niet dat de tegenstander ook een stem krijgt. Toestaan ​​dat accounts direct perma-locked worden, wordt ook misbruikt bij accountovernames.' Met andere woorden, hackers die de controle over een account overnemen, zullen 2FA inschakelen om te voorkomen dat legitieme gebruikers hun accounts kunnen herstellen. (Natuurlijk zou het vreemd zijn voor een hacker om voor de respijtperiode te kiezen.)

Mensen die vertrouwen op wachtwoordbeheerders om lange, unieke wachtwoorden te genereren en op te slaan, beperken hun risico effectief. Mensen die steeds weer dezelfde inloggegevens gebruiken voor verschillende services, zijn daarentegen veel gemakkelijker te targeten, omdat account- en wachtwoorddatabases worden vaak geschonden en uitgebracht op de darknets.

Facebook beseft dit, dus het bedrijf probeert gebruikers te helpen zichzelf te beschermen. Het is duidelijk dat het het aantal accounts dat wordt gehackt tot een minimum wil beperken.

Het is veel moeilijker voor een kwaadwillende persoon om een ​​account te kapen dat wordt beschermd door 2FA (hoewel slimme social engineering, waarbij meestal contact moet worden opgenomen met ondersteuningsvertegenwoordigers van het bedrijf en hen misleidt, soms de truc kan zijn, en SMS is niet helemaal veilig perfectly ). De meeste hackers willen veel accounts snel 'pwn' (hacker-spreken voor eigen) en zijn niet bereid om extra tijd en moeite te besteden aan een enkele gebruiker.

Met andere woorden, het beveiligen van Facebook-accounts is evenzeer een kwestie van het begrijpen van menselijk gedrag als het bouwen van technologische hulpmiddelen. Zoals ingenieur Brad Hill zei: als je met miljarden gebruikers te maken hebt, moet je rekening houden met veel verschillende ervaringsniveaus en verschillende opvattingen over hoe beveiliging zou moeten werken. Elke 'one size fits all'-optie zal sommige mensen teleurstellen.

Aanbevolen

Hoe u meer als een rijk persoon kunt denken (en daadwerkelijk rijk kunt worden)
Hoe u meer als een rijk persoon kunt denken (en daadwerkelijk rijk kunt worden)
Kun je niet kiezen tussen een jas en een trui? Maak kennis met de Swacket: de nieuwste innovatie van Under Armour
Kun je niet kiezen tussen een jas en een trui? Maak kennis met de Swacket: de nieuwste innovatie van Under Armour
3 dingen die ondernemers en oplichters gemeen hebben
3 dingen die ondernemers en oplichters gemeen hebben

Interessante Artikelen

Blanca Suarez - ook bekend als Lidia op Las Chicas del Cable (Cable Girls)
Blanca Suarez - ook bekend als Lidia op Las Chicas del Cable (Cable Girls)
Terry Crews heeft zojuist een geweldige brief gedeeld die hij van Old Spice heeft ontvangen, en het is een les in emotionele intelligentie
Terry Crews heeft zojuist een geweldige brief gedeeld die hij van Old Spice heeft ontvangen, en het is een les in emotionele intelligentie
Jasmine Pilchard Gosnell Bio
Jasmine Pilchard Gosnell Bio
Stop met mij porno te verkopen
Stop met mij porno te verkopen
Harvey Petito Bio
Harvey Petito Bio
Moet je een professionele Doodler inhuren?
Moet je een professionele Doodler inhuren?
Anthony Bourdain, Kate Spade en de groeiende #DestigmatizeDepression-beweging
Anthony Bourdain, Kate Spade en de groeiende #DestigmatizeDepression-beweging
Colin Cowherd's ex-vrouw Kimberly Ann Vadala, huidige relatie, carrière, onderscheidingen!
Colin Cowherd's ex-vrouw Kimberly Ann Vadala, huidige relatie, carrière, onderscheidingen!
Carter William Thicke Bio
Carter William Thicke Bio
KidBehindACamera Wiki: Leeftijd, Echte naam, Nettowaarde, Huis
KidBehindACamera Wiki: Leeftijd, Echte naam, Nettowaarde, Huis
10 zinloze zinnen die u in e-mails blijft opnemen
10 zinloze zinnen die u in e-mails blijft opnemen
Het echte probleem met Twitter Tip Jar
Het echte probleem met Twitter Tip Jar