Facebook ให้บริการผู้ใช้เกือบ 2 พันล้านคน มากกว่าหนึ่งพันล้านคนในแต่ละวัน ผู้ใช้เหล่านี้กระจายไปทั่วโลก และแต่ละคนมีบัญชี บัญชีเหล่านั้นส่วนใหญ่ได้รับการคุ้มครองโดย รหัสผ่าน ซึ่งหมายความว่าบุคคลที่เป็นอันตรายที่ทราบที่อยู่อีเมลของคุณต้องการข้อมูลเพียงชิ้นเดียวเพื่อขโมยบัญชีของคุณ Facebook มีงานที่ยากลำบากในการหาวิธีป้องกันโดยไม่ทำให้ผู้ใช้เหล่านั้นไม่สะดวกหรือสับสน ซึ่งบรรทัดฐานทางวัฒนธรรมและการใช้คอมพิวเตอร์นั้นแตกต่างกันอย่างมาก
คุณลักษณะด้านความปลอดภัยอย่างหนึ่งของ Facebook คือการตรวจสอบสิทธิ์แบบสองปัจจัย ซึ่งคุณ อาจเคยได้ยิน . 2FA (ตัวย่อทั่วไป) สามารถปกป้องบัญชีของคุณได้แม้ในกรณีที่มีผู้ได้รับรหัสผ่านของคุณ โดยปกติแล้ว 2FA จะใช้งานผ่านการส่งข้อความ SMS หรือแอปที่ปลอดภัย เช่น Google Authenticator แม้ว่ามาตรฐานทองคำจะเป็น a ปัจจัยที่สองทางกายภาพ . รายละเอียดเปลี่ยนจากบริการเป็นบริการ แต่กระบวนการ 2FA ทั่วไปทำงานดังนี้: 1) คุณป้อนชื่อผู้ใช้และรหัสผ่านของคุณ 2) เว็บไซต์หรือแอปจะนำคุณไปยังหน้าจออื่น ซึ่งระบบจะขอให้คุณป้อนรหัสแบบใช้ครั้งเดียวที่สร้างโดยปัจจัยที่สองของคุณ Voila คุณอยู่ใน!
แต่จำผู้ใช้ที่หลากหลายหลายพันล้านคนของ Facebook ได้ไหม ไม่ใช่ทุกคนที่มีสติสัมปชัญญะมากพอที่จะอ่านรายละเอียด ปรากฎว่าคุณสามารถเปิดใช้งาน 2FA ได้โดยไม่ต้องรู้ว่าคุณกำลังทำอะไรอยู่ และสุดท้ายถูกล็อคไม่ให้เข้าใช้บัญชีของคุณ Facebook ต้องการป้องกันไม่ให้แฮ็กเกอร์เข้าถึงแพลตฟอร์มได้เกือบเท่าที่ต้องการ
ดังนั้น บริษัทจึงเสนอให้ผู้ใช้ที่เปิดใช้งาน 2FA ระยะเวลาผ่อนผันหนึ่งสัปดาห์เพื่อตัดสินใจว่าพวกเขาต้องการจริง ๆ หรือไม่ เป็นทางเลือก แต่ถูกเลือกโดยค่าเริ่มต้น ก่อนหมดระยะเวลาผ่อนผันผู้ใช้สามารถเลือกเข้าสู่ระบบได้ตามปกติ การทำเช่นนั้นจะปิด 2FA
ไม่ใช่ทุกคนที่คิดว่าเป็นความคิดที่ดี
ทอม อิซโซสูงเท่าไหร่
นี่เป็นนโยบายความปลอดภัยที่ไร้ความรับผิดชอบและไร้ความรับผิดชอบซึ่งเป็นอันตรายต่อผู้คน @Facebook . ตัดเรื่องไร้สาระนี้ออกไป ซีซี @alexstamos pic.twitter.com/tVX7fczw37
-- นาดิม โกเบซี่ (@kaepora) 25 พฤษภาคม 2017
ในระดับหนึ่ง สิ่งนี้ขัดต่อจุดประสงค์ในการจัดตั้ง 2FA ตั้งแต่แรก ผู้โจมตียังสามารถเข้าสู่บัญชีของคุณได้โดยใช้รหัสผ่านของคุณ หากพวกเขาสามารถโจมตีได้ภายในระยะเวลาผ่อนผัน
มาจอรี บริดจ์ วูดส์ อายุเท่าไหร่
ผู้เชี่ยวชาญบางคนในชุมชนความปลอดภัยทางไซเบอร์พบว่าตัวเลือกการออกแบบของ Facebook นั้นน่าผิดหวัง Nadim Kobeissi ผู้สร้างแอพส่งข้อความเข้ารหัส Cryptocat เรียกมันว่า 'ประเภทของนโยบายความปลอดภัยที่ไร้ความรับผิดชอบและสมองตายซึ่งเป็นอันตรายต่อผู้คน' เขาเสริมว่า 'ไม่น่าเชื่อ ฉันใช้เวลาทั้งวันพยายามหาคำตอบว่าทำไม Facebook ของนักเคลื่อนไหวทางสังคม *ยังคง* ไม่ปลอดภัยแม้หลังจาก 2FA' ปรากฎว่าระยะเวลาผ่อนผันเป็นผู้กระทำผิด
วิศวกรความปลอดภัย Facebook Brad Hill ตีระฆังใน เพื่อบอกว่าคุณลักษณะนี้ 'มีไว้เพื่อปกป้องผู้ที่ไม่อ่านคำแนะนำเมื่อทำสิ่งที่เป็นผลสืบเนื่อง' ชี้ให้เห็นว่าผู้ใช้จะได้รับทางเลือกว่าพวกเขาต้องการระยะเวลาผ่อนผันหรือไม่:
มีไว้เพื่อปกป้องผู้ที่ไม่อ่านคำแนะนำเมื่อทำสิ่งที่เป็นผลสืบเนื่อง pic.twitter.com/WHxoXSa4As
-- ฮิลแบรด (@hillbrad) 25 พฤษภาคม 2017
Kobeissi ยิงกลับ , 'สิ่งนี้อาจทำให้คุณประหลาดใจ แต่เมื่อต้องรับมือกับคนในภูมิภาค MENA บางส่วน นัยของการพิมพ์แบบละเอียดนั้นไม่ได้เป็นส่วนหนึ่งของแบบจำลองของพวกเขา' ที่เนินเขา ตอบกลับ , 'ฉันไม่แปลกใจเลยที่มีโมเดลทางจิตที่แตกต่างกันสำหรับวิธีที่ 2FA ทำงานในประชากรเกือบ 2 พันล้านคน ฉันใช้เวลาหลายชั่วโมงทุกวันเพื่อคิดเรื่องนี้ และฉันดูที่ข้อมูล' (Kobeissi อธิบายเพิ่มเติมเกี่ยวกับความคิดของเขา ที่นี่ .)
เจย์เกลเซอร์สูงเท่าไหร่
Alex Stamos หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ Facebook อธิบายในทวีตสตอร์ม : 'เช่นเดียวกับเข็มขัดนิรภัย โหมดความล้มเหลว #1 คือไม่ใช้ 2FA ฉันสงสัยว่าผู้ให้บริการรายใหญ่รายใดดีกว่าการเจาะหลักเดียว แล้วเราจะโทษคนที่ไม่เลือกใช้ฟังก์ชันที่มุ่งเป้าไปที่นักรักษาความปลอดภัยหรือว่าเราออกแบบระบบที่เหมาะกับทุกคนหรือไม่? เช่นเดียวกับ [การเข้ารหัสแบบ end-to-end] 2FA เป็นเทคโนโลยีที่ลดลงซึ่งเรียกร้องและดำเนินการโดยผู้เชี่ยวชาญที่ชอบโต้แย้งกรณีมุมและโหมดความล้มเหลว'
เขากล่าวต่อไปว่า 'จำไว้ว่าฝ่ายตรงข้ามก็ได้รับการโหวตเช่นกัน การอนุญาตให้บัญชีถูกล็อกโดยทันทีจะถูกละเมิดเช่นกันในการเข้าครอบครองบัญชี' กล่าวอีกนัยหนึ่ง แฮกเกอร์ที่เข้าควบคุมบัญชีจะเปิดใช้งาน 2FA เพื่อบล็อกผู้ใช้ที่ถูกกฎหมายไม่ให้กู้คืนบัญชีของตน (แน่นอนว่า คงจะแปลกที่แฮ็กเกอร์จะเลือกใช้ช่วงเวลาผ่อนผัน)
คนที่พึ่งได้ ผู้จัดการรหัสผ่าน การสร้างและจัดเก็บรหัสผ่านที่ยาวและไม่ซ้ำกันจะช่วยจำกัดความเสี่ยงได้อย่างมีประสิทธิภาพ ในทางกลับกัน ผู้ที่ใช้ข้อมูลประจำตัวเดียวกันซ้ำแล้วซ้ำเล่าสำหรับบริการต่างๆ ที่หลากหลาย จะกำหนดเป้าหมายได้ง่ายกว่ามาก เนื่องจากฐานข้อมูลของบัญชีและรหัสผ่าน มักจะถูกละเมิด และปล่อยออกสู่ความมืดมิด
Facebook ตระหนักดีถึงสิ่งนี้ บริษัทจึงพยายามช่วยเหลือผู้ใช้ในการปกป้องตนเอง เห็นได้ชัดว่าต้องการลดจำนวนบัญชีที่ถูกแฮ็กให้เหลือน้อยที่สุด
ยากกว่ามากสำหรับผู้ประสงค์ร้ายที่จะจี้บัญชีที่ได้รับการคุ้มครองโดย 2FA (แม้ว่าวิศวกรรมสังคมที่ชาญฉลาด ซึ่งโดยทั่วไปแล้วจะเกี่ยวข้องกับการติดต่อตัวแทนฝ่ายสนับสนุนของบริษัทและหลอกล่อ บางครั้งก็สามารถหลอกลวงได้ และ SMS ไม่ปลอดภัยอย่างสมบูรณ์ ). แฮ็กเกอร์ส่วนใหญ่ต้องการ 'pwn' (แฮ็กเกอร์พูดเพื่อตัวเอง) หลายบัญชีอย่างรวดเร็วและไม่ต้องการอุทิศเวลาและความพยายามพิเศษให้กับผู้ใช้คนเดียว
กล่าวอีกนัยหนึ่ง การรักษาบัญชี Facebook ให้ปลอดภัยนั้นเป็นเรื่องของการทำความเข้าใจพฤติกรรมของมนุษย์พอๆ กับการสร้างเครื่องมือทางเทคโนโลยี ดังที่วิศวกรของ Brad Hill กล่าว เมื่อคุณต้องติดต่อกับผู้ใช้หลายพันล้านคน คุณต้องรองรับประสบการณ์ในระดับต่างๆ และแนวคิดที่แตกต่างกันว่าการรักษาความปลอดภัยควรทำงานอย่างไร ตัวเลือก 'หนึ่งขนาดเหมาะกับทุกคน' จะทำให้บางคนผิดหวัง
