Facebookは約20億人のユーザーにサービスを提供しており、そのうちの1日あたりのユーザー数は10億人を超えています。それらのユーザーは世界中に散らばっており、それぞれにアカウントがあります。それらのアカウントのほとんどは、単にによって保護されています パスワード。これは、あなたのメールアドレスを知っている悪意のある人があなたのアカウントを盗むためにもう1つの情報しか必要としないことを意味します。 Facebookには、文化的規範やコンピューターリテラシーが大きく異なるすべてのユーザーに迷惑をかけたり混乱させたりせずに、それを防ぐ方法を見つけるという難しい仕事があります。
Facebookのセキュリティ機能の1つは、2要素認証です。 聞いたことがあるかもしれません 。 2FA(一般的な略語)は、誰かがあなたのパスワードを取得した場合でも、あなたのアカウントを保護することができます。 2FAは通常、SMSメッセージングまたはGoogle Authenticatorなどの安全なアプリを介して実装されますが、ゴールドスタンダードは 物理的な第2の要因 。詳細はサービスごとに異なりますが、一般的な2FAプロセスは次のように機能します。1)ユーザー名とパスワードを入力します。 2)ウェブサイトまたはアプリで別の画面に移動します。ここで、2番目の要素によって生成されたワンタイムコードを入力するように求められます。 Voilà、あなたは入っています!
しかし、Facebookの何十億もの多様なユーザーを覚えていますか?それらのすべてがファインプリントを読むのに十分良心的であるわけではありません。何をしているのかを実際に知らなくても2FAを有効にでき、アカウントからロックアウトされる可能性があることがわかりました。 Facebookは、ハッカーがプラットフォームに群がるのを防ぐのとほぼ同じくらい、それを防ぎたいと考えています。
そのため、同社は2FAを有効にするユーザーに、1週間の猶予期間を設けて、本当に本当に欲しいかどうかを判断できるようにしています。これはオプションですが、デフォルトで選択されています。猶予期間が終了する前に、ユーザーは通常のようにログインすることを選択できます。これを行うと、2FAがオフになります。
誰もがそれが素晴らしいアイデアだと思っているわけではありません。
トム・イッツォの身長
これは、人々に害を及ぼす無責任で脳死したセキュリティポリシーの一種です。 @フェイスブック 。このでたらめを切り取ります。 cc。 @alexstamos pic.twitter.com/tVX7fczw37
-ナディム・コベイシ(@kaepora) 2017年5月25日
これは、そもそも2FAを設定するという目的をある程度打ち破ります。攻撃者は、猶予期間内に攻撃できた場合でも、パスワードを使用するだけでアカウントに侵入できます。
タレク・エル・ムーサの両親の国籍
サイバーセキュリティコミュニティの一部の専門家は、Facebookのデザインの選択に苛立ちを感じています。暗号化されたメッセージングアプリCryptocatを作成したNadimKobeissi? それを呼んだ 「人々に害を及ぼす、無責任で脳死したセキュリティポリシーのようなものです。」彼は付け加えた、「信じられない。私は一日中、社会活動家のFacebookが2FAの後でさえも安全でないままだった理由を突き止めようとしていました。猶予期間が原因であることが判明しました。
Facebookのセキュリティエンジニア、ブラッドヒル チャイムで この機能は、「結果として生じることを行うときに指示を読まない人々を保護するためのものです」と言い、ユーザーは猶予期間を希望するかどうかを選択できることを指摘します。
結果として生じることをするときに指示を読まない人々を保護するためにそこにあります。 pic.twitter.com/WHxoXSa4As
--hillbrad(@hillbrad) 2017年5月25日
コビエッシ 撃ち返す 、「これはあなたを驚かせるかもしれませんが、一部のMENA地域の人々を扱うとき、その細かい印刷の意味は彼らのモデルの一部ではありません。」どの丘に 答えた 、'20億人近くの人口で、2FAがどのように機能するかについて、さまざまなメンタルモデルがあることにまったく驚いていません。私は文字通り毎日何時間もそれについて考えています。そして、私はデータを見ます。」 (コベイシは彼の考えをさらに詳しく述べた ここに 。)
アレックス・カウパー=スミス ゴールドマン・サックス
Facebookの最高セキュリティ責任者AlexStamos ツイートストームで詳しく説明 : 'シートベルトと同様に、#1の故障モードは2FAが使用されていないことです。大規模なプロバイダーが1桁の浸透よりも優れているとは思えません。では、セキュリティの純粋主義者を対象とした機能を使用しない人々を非難するのでしょうか、それともすべての人に役立つシステムを設計するのでしょうか。 [エンドツーエンド暗号化]と同様に、2FAはトリクルダウン技術であり、コーナーケースと障害モードについて議論するのが大好きな専門家によって要求され、実装されています。
彼は続けて次のように述べています。「敵も投票することを忘れないでください。アカウントを即座に永続的にロックできるようにすることは、アカウントの乗っ取りでも悪用されます。言い換えれば、アカウントの制御を奪うハッカーは、正当なユーザーがアカウントを回復するのをブロックするために2FAを有効にします。 (もちろん、ハッカーが猶予期間を選択するのは奇妙なことです。)
頼る人 パスワードマネージャー 長くて一意のパスワードを生成して保存することで、リスクを効果的に制限できます。一方、さまざまな異なるサービスに同じクレデンシャルを何度も使用する人は、アカウントとパスワードのデータベースがあるため、ターゲットを絞るのがはるかに簡単です。 しばしば違反されます ダークネットでリリースされました。
Facebookはこれを認識しているため、ユーザーが自分自身を保護できるように支援しようとしています。明らかに、ハッキングされるアカウントの数を最小限に抑えたいと考えています。
悪意のある人が2FAで保護されたアカウントを乗っ取るのははるかに困難です(ただし、通常は会社のサポート担当者に連絡してだましを行う巧妙なソーシャルエンジニアリングが、場合によってはそのトリックを実行できます。 SMSは完全に安全ではありません )。ほとんどのハッカーは、多くのアカウントをすばやく「pwn」(ハッカーは自分で話す)したいと考えており、1人のユーザーに余分な時間と労力を費やすことを望んでいません。
言い換えれば、Facebookアカウントを安全に保つことは、技術ツールを構築することと同じくらい人間の行動を理解することの問題です。エンジニアのBradHillが言ったように、何十億ものユーザーを扱うときは、セキュリティがどのように機能するかについて、さまざまなレベルの経験とさまざまな概念に対応する必要があります。 「1つのサイズですべてに対応」オプションは、一部の人々を失望させることになります。
