Facebook은 거의 20 억 명의 사용자에게 서비스를 제공하며, 매일 10 억 명 이상이 있습니다. 이러한 사용자는 전 세계에 퍼져 있으며 각 사용자는 계정을 가지고 있습니다. 이러한 계정의 대부분은 이는 귀하의 이메일 주소를 아는 악의적 인 사람이 귀하의 계정을 도용하기 위해 하나 이상의 정보 만 필요함을 의미합니다. Facebook은 문화적 규범과 컴퓨터 활용 능력이 매우 다양한 모든 사용자를 불편하게하거나 혼란스럽게하지 않고이를 방지하는 방법을 찾는 어려운 일을하고 있습니다.
Facebook의 보안 기능 중 하나는 2 단계 인증입니다. 들어봤을지도 모른다 . 2FA (일반적인 약어)는 누군가가 귀하의 비밀번호를 알아 낸 경우에도 귀하의 계정을 보호 할 수 있습니다. 2FA는 일반적으로 SMS 메시징 또는 Google Authenticator와 같은 보안 앱을 통해 구현됩니다. 물리적 두 번째 요소 . 세부 정보는 서비스마다 변경되지만 일반적인 2FA 프로세스는 다음과 같이 작동합니다. 1) 사용자 이름과 비밀번호를 입력합니다. 2) 웹 사이트 또는 앱은 두 번째 요소로 생성 된 일회성 코드를 입력하라는 다른 화면으로 이동합니다. Voilà, 당신은 안으로!
그러나 Facebook의 수십억 명의 다양한 사용자를 기억하십니까? 그들 모두가 작은 글씨를 읽을만큼 충분히 성실한 것은 아닙니다. 실제로 무엇을하고 있는지 알지 못해도 2FA를 활성화 할 수 있으며 결국 계정이 잠 깁니다. 페이스 북은 해커가 플랫폼에 몰려 드는 것을 막고 자하는만큼이를 막고 자합니다.
따라서 회사는 2FA를 활성화하는 사용자에게 일주일 동안 유예 기간을 제공하여 진정으로 원하는지 여부를 결정합니다. 선택 사항이지만 기본적으로 선택됩니다. 유예 기간이 끝나기 전에 사용자는 평소처럼 로그인하도록 선택할 수 있습니다. 그렇게하면 2FA가 해제됩니다.
모두가 그것이 좋은 생각이라고 생각하지는 않습니다.
로니 퀸은 얼마를 버나요
이것은 사람들에게 해를 끼치는 일종의 무책임하고 뇌사적인 보안 정책입니다. @Facebook . 이 헛소리를 잘라내세요. cc. 뿡 빵뀨 pic.twitter.com/tVX7fczw37
-Nadim Kobeissi (@kaepora) 2017 년 5 월 25 일
어느 정도 이것은 처음에 2FA를 설정하는 목적에 위배됩니다. 공격자는 유예 기간 내에 공격을 받으면 암호를 사용하여 계정에 계속 액세스 할 수 있습니다.
시에라 달라스의 키는 얼마입니까
사이버 보안 커뮤니티의 일부 전문가들은 Facebook의 디자인 선택이 실망 스럽다고 생각합니다. 암호화 된 메시징 앱 Cryptocat을 만든 Nadim Kobeissi? 를 호출 '사람들에게 해를 끼치는 일종의 무책임한 뇌사 보안 정책.' 그는 '믿을 수 없다. 나는 하루 종일 사회 운동가의 페이스 북이 2FA 이후에도 안전하지 않은 상태로 남아있는 이유를 파악하려고 하루 종일 보냈습니다. ' 유예 기간이 범인이라는 것이 밝혀졌습니다.
Facebook 보안 엔지니어 Brad Hill 차임 이 기능은 '결과적인 일을 할 때 지침을 읽지 않는 사람들을 보호하기위한 것'이라고 말하면서 사용자가 유예 기간을 원하는지 여부를 선택할 수 있다는 점을 지적합니다.
결과적인 일을 할 때 지침을 읽지 않는 사람들을 보호하기위한 것입니다. pic.twitter.com/WHxoXSa4As
-Hillbrad (@hillbrad) 2017 년 5 월 25 일
고베이시 반격 , '이것은 당신을 놀라게 할 수 있지만 일부 MENA 지역 사람들을 다룰 때 그 작은 글씨의 의미는 모델의 일부가 아닙니다.' 어느 언덕으로 응답 , '실제로 거의 20 억 인구에서 2FA가 작동하는 방식에 대한 다양한 정신 모델이 있다는 사실에 전혀 놀랍지 않습니다. 나는 말 그대로 매일 그것에 대해 생각하는 데 몇 시간을 보냅니다. 그리고 저는 데이터를 봅니다. ' (Kobeissi는 그의 생각을 더 자세히 설명했습니다. 여기 .)
알 로커의 키는 얼마입니까
Facebook 최고 보안 책임자 Alex Stamos 트윗 폭풍에 정교하게 : '안전 벨트와 마찬가지로 # 1 실패 모드는 2FA가 사용되지 않는 것입니다. 큰 공급자가 한 자릿수 보급보다 나은지 의심합니다. 그렇다면 우리는 보안 순수 주의자를 겨냥한 기능을 사용하지 않는 사람들을 탓하는 것일까 요, 아니면 모두를 위해 작동하는 시스템을 설계합니까? [종단 간 암호화]와 마찬가지로 2FA는 코너 케이스 및 실패 모드에 대해 논쟁하는 것을 좋아하는 전문가가 요구하고 구현하는 세류 다운 기술입니다. '
그는 계속해서 '적대자도 표를 얻는다는 것을 기억하십시오. 계정이 즉시 영구 잠금되도록 허용하는 것은 계정 탈취에서도 악용 될 것입니다. ' 즉, 계정을 장악 한 해커는 합법적 인 사용자의 계정 복구를 차단하기 위해 2FA를 활성화합니다. (물론 해커가 유예 기간을 선택하는 것은 이상 할 것입니다.)
의지하는 사람들 암호 관리자 길고 고유 한 암호를 생성하고 저장하는 것은 위험을 효과적으로 제한하고 있습니다. 반면에 다양한 서비스에 대해 동일한 자격 증명을 반복해서 사용하는 사람들은 계정 및 암호 데이터베이스가 있기 때문에 훨씬 더 쉽게 타겟팅 할 수 있습니다. 종종 위반됩니다 그리고 다크 넷에 공개되었습니다.
페이스 북은이를 인식하여 사용자가 스스로를 보호 할 수 있도록 돕습니다. 분명히 해킹당하는 계정의 수를 최소화하려고합니다.
악의적 인 사람이 2FA로 보호되는 계정을 탈취하는 것이 훨씬 더 어렵습니다 (일반적으로 회사 지원 담당자에게 연락하고 속이는 것과 관련된 영리한 사회 공학은 때때로 트릭을 수행 할 수 있습니다. SMS는 완벽하게 안전하지 않습니다. ). 대부분의 해커는 많은 계정을 신속하게 'pwn'(해커가 직접 말)하기를 원하며 단일 사용자에게 추가 시간과 노력을 할애하지 않습니다.
즉, Facebook 계정을 안전하게 유지하는 것은 기술 도구를 구축하는 것만큼이나 인간의 행동을 이해하는 문제입니다. 엔지니어 Brad Hill이 말했듯이 수십억 명의 사용자를 처리 할 때는 다양한 수준의 경험과 보안 작동 방식에 대한 다양한 개념을 수용해야합니다. 어떤 '하나의 크기'옵션은 일부 사람들을 실망시킬 수밖에 없습니다.
