Logo
Haupt Technologie Das seltsame Schlupfloch, das selbst gut gesicherte Facebook-Konten angreifbar macht

Das seltsame Schlupfloch, das selbst gut gesicherte Facebook-Konten angreifbar macht

Ihr Horoskop Für Morgen

Facebook bedient fast 2 Milliarden Nutzer, mehr als eine Milliarde von ihnen täglich. Diese Benutzer sind auf der ganzen Welt verteilt und jeder von ihnen hat ein Konto. Die meisten dieser Konten sind lediglich durch a . geschützt password , was bedeutet, dass eine böswillige Person, die Ihre E-Mail-Adresse kennt, nur eine weitere Information benötigt, um Ihr Konto zu stehlen. Facebook hat die schwierige Aufgabe herauszufinden, wie dies verhindert werden kann, ohne all die Benutzer zu belästigen oder zu verwirren, deren kulturelle Normen und Computerkenntnisse stark variieren

Eine der Sicherheitsfunktionen von Facebook ist die Zwei-Faktor-Authentifizierung, die Sie vielleicht gehört haben . 2FA (die gebräuchliche Abkürzung) kann Ihr Konto auch für den Fall schützen, dass jemand Ihr Passwort erhält. 2FA wird normalerweise über SMS-Nachrichten oder eine sichere App wie Google Authenticator implementiert, obwohl der Goldstandard a physikalischer zweiter Faktor . Die Details ändern sich von Dienst zu Dienst, aber der allgemeine 2FA-Prozess funktioniert wie folgt: 1) Sie geben Ihren Benutzernamen und Ihr Passwort ein. 2) Die Website oder App führt Sie zu einem anderen Bildschirm, auf dem Sie aufgefordert werden, einen einmaligen Code einzugeben, der von Ihrem zweiten Faktor generiert wurde. Voilà, du bist dabei!

Aber erinnern Sie sich an die Milliarden unterschiedlicher Nutzer von Facebook? Nicht alle sind gewissenhaft genug, um das Kleingedruckte zu lesen. Es stellt sich heraus, dass Sie 2FA aktivieren können, ohne wirklich zu wissen, was Sie tun, und am Ende aus Ihrem Konto ausgesperrt werden. Facebook will das fast ebenso verhindern, wie es Hacker davon abhalten will, die Plattform zu schwärmen.

Daher bietet das Unternehmen Benutzern, die 2FA aktivieren, eine einwöchige Nachfrist, um zu entscheiden, ob sie es wirklich, wirklich wollen. Es ist optional, aber standardmäßig ausgewählt. Vor Ablauf des Kulanzzeitraums können sich Benutzer wie gewohnt anmelden. Dadurch wird 2FA deaktiviert.

Das finden nicht alle eine tolle Idee.

wie groß ist roger goodell

Dies verfehlt bis zu einem gewissen Grad den Zweck der Einrichtung von 2FA. Ein Angreifer kann immer noch mit Ihrem Passwort in Ihr Konto gelangen, wenn er es schafft, innerhalb der Nachfrist zuzuschlagen.

Crystal Bernard heiratete Billy Dean

Einige Experten in der Cybersicherheits-Community finden die Designwahl von Facebook frustrierend. Nadim Kobeissi?, der die verschlüsselte Messaging-App Cryptocat entwickelt hat, nannte es 'die Art von unverantwortlicher, hirntoter Sicherheitspolitik, die den Menschen schadet.' Er fügte hinzu: „Unglaublich. Ich habe einen ganzen Tag damit verbracht, auf den Grund zu gehen, warum das Facebook eines sozialen Aktivisten auch nach 2FA *unsicher* blieb.' Es stellte sich heraus, dass die Nachfrist schuld war.

Facebook-Sicherheitsingenieur Brad Hill eingeläutet zu sagen, dass die Funktion 'dazu dient, Personen zu schützen, die die Anweisungen nicht lesen, wenn sie folgenschwere Dinge tun', und weist darauf hin, dass Benutzer die Wahl haben, ob sie die Kulanzfrist wünschen:

Kobeissi zurückgeschossen , 'Das mag Sie überraschen, aber wenn Sie mit einigen Leuten aus der MENA-Region zu tun haben, sind die Auswirkungen dieses Kleingedruckten nicht Teil ihres Modells.' Zu welchem ​​Hügel geantwortet , 'Ich bin überhaupt nicht überrascht, dass es verschiedene mentale Modelle dafür gibt, wie 2FA in einer Bevölkerung von fast 2 Milliarden Menschen funktioniert. Ich verbringe buchstäblich jeden Tag Stunden damit, darüber nachzudenken. Und ich schaue mir Daten an.' (Kobeissi führte seine Überlegungen weiter aus Hier .)

brandi maxiell vermögen 2016

Facebook-Sicherheitsbeauftragter Alex Stamos in einem Tweetstorm ausgearbeitet : „Wie bei den Sicherheitsgurten ist der Fehlermodus Nr. 1 2FA nicht verwendet. Ich bezweifle, dass ein großer Anbieter eine bessere als einstellige Penetration hat. Machen wir also den Leuten die Schuld, die sich nicht dafür entscheiden, Funktionen für Sicherheitspuristen zu verwenden, oder entwickeln wir ein System, das für alle funktioniert? Wie bei der [End-to-End-Verschlüsselung] ist 2FA eine Trickle-Down-Technologie, die von Experten gefordert und implementiert wird, die gerne über Eckfälle und Fehlermöglichkeiten streiten.'

Er fuhr fort: „Denken Sie daran, dass der Gegner auch eine Stimme bekommt. Die sofortige dauerhafte Sperrung von Konten wird auch bei Kontoübernahmen missbraucht.' Mit anderen Worten, Hacker, die die Kontrolle über ein Konto übernehmen, aktivieren 2FA, um legitime Benutzer daran zu hindern, ihre Konten wiederherzustellen. (Natürlich wäre es für einen Hacker seltsam, sich für die Kulanzfrist zu entscheiden.)

Menschen, die sich darauf verlassen Passwort-Manager lange, eindeutige Passwörter zu generieren und zu speichern, begrenzen deren Risiko effektiv. Personen, die immer wieder dieselben Zugangsdaten für verschiedene Dienste verwenden, sind dagegen viel leichter anzusprechen, da Konto- und Passwortdatenbanken werden oft verletzt und in den Darknets veröffentlicht.

Facebook ist sich dessen bewusst und versucht, den Nutzern dabei zu helfen, sich selbst zu schützen. Offensichtlich möchte es die Anzahl der Konten minimieren, die gehackt werden.

Es ist viel schwieriger für eine böswillige Person, ein durch 2FA geschütztes Konto zu kapern (obwohl cleveres Social Engineering, bei dem normalerweise die Supportmitarbeiter des Unternehmens kontaktiert und ausgetrickst werden, manchmal den Zweck erfüllen kann und SMS ist nicht ganz sicher ). Die meisten Hacker möchten viele Konten schnell 'pwn' (hacker-sprich für sich selbst) und sind nicht bereit, einem einzelnen Benutzer zusätzliche Zeit und Mühe zu widmen.

Mit anderen Worten, die Sicherheit von Facebook-Konten ist genauso wichtig, das menschliche Verhalten zu verstehen, als auch technologische Werkzeuge zu entwickeln. Wie der Ingenieur Brad Hill sagte, müssen Sie, wenn Sie mit Milliarden von Benutzern zu tun haben, viele unterschiedliche Erfahrungsstufen und unterschiedliche Vorstellungen davon berücksichtigen, wie Sicherheit funktionieren sollte. Jede 'Einheitsgröße'-Option wird einige Leute enttäuschen.

Empfohlen

Mitchell Conran Bio
Mitchell Conran Bio
Robin Givens Bio
Robin Givens Bio
Wo ist Missy Rothstein nach ihrer Scheidung mit dem amerikanischen Stuntman Bam Margera?
Wo ist Missy Rothstein nach ihrer Scheidung mit dem amerikanischen Stuntman Bam Margera?

Interessante Artikel

Gabriele Corcos Bio
Gabriele Corcos Bio
Neue und bessere Arbeitsweisen
Neue und bessere Arbeitsweisen
Bryan Tanaka Bio
Bryan Tanaka Bio
Alle Details der Ex-Frau von Narvel Blackstock, Elisa Gayle Ritter! Wissen über ihr Eheleben, Kinder, Vermögen
Alle Details der Ex-Frau von Narvel Blackstock, Elisa Gayle Ritter! Wissen über ihr Eheleben, Kinder, Vermögen
Apple hat gerade eine einjährige kostenlose Testversion von Apple TV Plus angeboten. Aber stellen Sie sicher, dass Sie diesen zusätzlichen Schritt zum Prozess hinzufügen
Apple hat gerade eine einjährige kostenlose Testversion von Apple TV Plus angeboten. Aber stellen Sie sicher, dass Sie diesen zusätzlichen Schritt zum Prozess hinzufügen
ASMR Cherry Crush Bio
ASMR Cherry Crush Bio
30 fantastische Zitate über Dummheit, was mit dem heutigen Aprilscherz und so ist
30 fantastische Zitate über Dummheit, was mit dem heutigen Aprilscherz und so ist
Tracy Butler Bio
Tracy Butler Bio
Annette O’Toole Bio
Annette O’Toole Bio
Die 2 wichtigsten Tage in Ihrem Leben
Die 2 wichtigsten Tage in Ihrem Leben
Gracie Gold Bio
Gracie Gold Bio
Wie Oculus VR Crowdfunding zu einem 2-Milliarden-Dollar-Geschäft machte (eine 6-Schritte-Checkliste)
Wie Oculus VR Crowdfunding zu einem 2-Milliarden-Dollar-Geschäft machte (eine 6-Schritte-Checkliste)