Facebook Hack раскрывает опасности использования одной учетной записи для входа в другие службы
Есть несколько эффектов потока от недавнего взлома Facebook. Shutterstock

Facebook объявило в пятницу, что его команда разработчиков обнаружила проблему безопасности, затрагивающую почти 50 миллионные счета. Из-за недостатка в коде Facebook, хакеры смогли захватить учетную запись и использовать ее так же, как если бы вы вошли в учетную запись с паролем.

Компания заявила, что теперь исправила проблему в своем коде и сбросила токены доступа для этих учетных записей - вместе с 40 миллионами других учетных записей, которые были уязвимы для этого недостатка. Если вы обнаружили, что на прошлой неделе вы вышли из аккаунта Facebook, вероятно, вы пострадали.

Помимо этого, мало известно о степени нарушения безопасности. В своем обновлении для системы безопасности Facebook сказал:

«Поскольку мы только начали наше расследование, нам еще предстоит определить, были ли эти аккаунты использованы неправильно или какая-либо информация была доступна. Мы также не знаем, кто стоит за этими атаками или где они основаны».

графика подписки внутри себя

Что это значит

Это не худшее нарушение данных на сегодняшний день. Эта награда принадлежит кредитному бюро Equifax, в котором личные данные были украдены из счетов 147 миллионов человек, Но, к сожалению, для Facebook существует несколько эффектов от недавнего взлома.

Во-первых, нарушение может противоречить Европейскому стандарту защиты данных (GDPR), который был представлен в мае. Хотя ВВП только применим к европейским гражданам, штрафы за нарушения данных суровые - до 4% от общего оборота за нарушение.

Во-вторых, все учетные записи на других платформах, использующих проверку Facebook, также подвержены риску. Это потому, что сейчас обычной практикой является использование одной учетной записи в качестве автоматической проверки для подключения к другим платформам, например, используя учетную запись Facebook для входа в другую платформу социальных сетей, такую ​​как Twitter, Spotify или Instagram. Это известно как единый вход (SSO).

Как работает единый вход

Если вы подключаетесь к какой-либо системе, вам нужна определенная форма проверки подлинности - обычно это учетные данные для входа, такие как имя пользователя и пароль. Когда у вас есть много разных систем, которые все требуют учетных данных, прежде чем вы сможете их использовать, вы внезапно столкнетесь с запоминанием десяти разных (в идеале очень длинных) паролей.

Некоторые люди могут это сделать, но многие не могут. И мы все еще хотим, чтобы системы были в безопасности. Если бы мы могли подключиться к одной системе, которой доверяли другие, и использовать пароль доверенной системы, тогда нам не понадобится десять паролей - всего одна. Это принцип SSO.

Но это работает только до тех пор, пока надежная система защищена. Если это не так, киберпреступник может использовать взломанную учетную запись на одной платформе (в данном случае Facebook) для доступа к любой другой подключенной платформе.

Что ты должен делать

Аутентификация обычно работает из-за одного из трех факторов:

* что-то, что вы знаете, например пароль

* что-то у вас есть, например, карта доступа

* то, что вы, например, отпечаток пальца.

Очевидно, что использование более чем одного фактора повышает безопасность. В вашей учетной записи Facebook вы можете использовать двухфакторную аутентификацию. Это означает, что вам нужно будет ввести свой пароль плюс код, отправленный вам через SMS-сообщение при следующем входе в систему.

Будущее проверки

Всегда есть напряженность между юзабилити и безопасностью. Люди хотят, чтобы системы были в безопасности, чтобы их идентификаторы не были украдены, и они также хотят, чтобы одни и те же системы были легко доступны. SSO - это попытка сбалансировать удобство и безопасность, но взломы Facebook раскрывают свои ограничения.

Многим людям не нравятся пароли, поэтому они выбирают легко запоминаемые и, следовательно, легко ломающиеся пароли. Киберпреступники имеют доступ к спискам миллионов общих паролей (подсказка: «Гэндальф» не так уникален, как вы думаете).

Токены доступа, такие как карты или другие физические устройства (например, используемые некоторыми банками), являются решением - если вы его не потеряете. Возможно, использование уникального физического атрибута - лучший способ продвижения вперед. В конце концов, вы всегда носите с собой свой отпечаток пальца, диафрагму или голос.

Об автореБеседа

Майк Джонстон, Научный сотрудник по безопасности, доцент в области устойчивых систем, Университет Эдит Коуэн

Эта статья переиздана из Беседа под лицензией Creative Commons. Прочтите оригинал статьи.

Книги по этой теме

at Внутренний рынок самовыражения и Amazon