Facebook phục vụ gần 2 tỷ người dùng, hơn một tỷ người trong số họ hàng ngày. Những người dùng đó trải rộng trên toàn thế giới và mỗi người trong số họ đều có một tài khoản. Hầu hết các tài khoản đó chỉ được bảo vệ bởi một mật khẩu, có nghĩa là kẻ xấu biết địa chỉ email của bạn chỉ cần thêm một thông tin nữa để đánh cắp tài khoản của bạn. Facebook gặp khó khăn trong việc tìm ra cách ngăn chặn điều đó mà không gây bất tiện hoặc khó hiểu cho tất cả những người dùng đó, những người có các chuẩn mực văn hóa và trình độ tin học rất khác nhau
Một trong những tính năng bảo mật của Facebook là xác thực hai yếu tố, bạn có thể đã nghe nói về . 2FA (chữ viết tắt phổ biến) có thể bảo vệ tài khoản của bạn ngay cả trong trường hợp ai đó lấy được mật khẩu của bạn. 2FA thường được triển khai qua tin nhắn SMS hoặc ứng dụng bảo mật như Google Authenticator, mặc dù tiêu chuẩn vàng là yếu tố vật lý thứ hai . Các chi tiết thay đổi từ dịch vụ sang dịch vụ, nhưng quy trình 2FA chung hoạt động như sau: 1) Bạn nhập tên người dùng và mật khẩu của mình. 2) Trang web hoặc ứng dụng đưa bạn đến một màn hình khác, nơi bạn được yêu cầu nhập mã một lần được tạo bởi yếu tố thứ hai của bạn. Voilà, bạn đã tham gia!
Nhưng hãy nhớ hàng tỷ người dùng đa dạng của Facebook? Không phải tất cả họ đều đủ lương tâm để đọc bản in đẹp. Hóa ra là bạn có thể bật 2FA mà không thực sự biết mình đang làm gì và cuối cùng bị khóa tài khoản của mình. Facebook muốn ngăn chặn điều đó nhiều nhất có thể vì họ muốn ngăn chặn tin tặc tràn vào nền tảng.
Vì vậy, công ty cung cấp cho những người dùng kích hoạt 2FA thời gian gia hạn kéo dài một tuần để quyết định xem họ có thực sự muốn nó hay không. Nó là tùy chọn, nhưng được chọn theo mặc định. Trước khi hết thời gian gia hạn, người dùng có thể chọn đăng nhập như bình thường. Làm như vậy sẽ tắt 2FA.
Không phải ai cũng nghĩ đó là một ý tưởng tuyệt vời.
Đây là loại chính sách an ninh vô trách nhiệm, chết não, gây hại cho người dân, @Facebook . Bỏ chuyện nhảm nhí này đi. cc. @alexstamos pic.twitter.com/tVX7fczw37
- Nadim Kobeissi (@kaepora) Ngày 25 tháng 5 năm 2017
Ở một mức độ nhất định, điều này đánh bại mục đích của việc thiết lập 2FA ngay từ đầu. Kẻ tấn công vẫn có thể xâm nhập vào tài khoản của bạn chỉ bằng cách sử dụng mật khẩu của bạn nếu chúng cố gắng tấn công trong thời gian gia hạn.
Một số chuyên gia trong cộng đồng an ninh mạng nhận thấy sự lựa chọn thiết kế của Facebook gây khó chịu. Nadim Kobeissi ?, người đã tạo ra ứng dụng nhắn tin mã hóa Cryptocat, đã gọi nó 'loại chính sách an ninh vô trách nhiệm, chết não, gây hại cho người dân.' Anh ấy nói thêm, 'Không thể tin được. Tôi đã dành cả ngày để tìm hiểu nguyên nhân tại sao Facebook của một nhà hoạt động xã hội * vẫn * không an toàn ngay cả sau 2FA. ' Hóa ra chính thời gian ân hạn mới là thủ phạm.
Kỹ sư bảo mật của Facebook Brad Hill chen vào để nói rằng tính năng này 'ở đó để bảo vệ những người không đọc hướng dẫn khi làm những việc do hậu quả', chỉ ra rằng người dùng được đưa ra lựa chọn về việc họ có muốn thời gian gia hạn hay không:
Nó ở đó để bảo vệ những người không đọc hướng dẫn khi làm những việc do hậu quả. pic.twitter.com/WHxoXSa4As
- hillbrad (@hillbrad) Ngày 25 tháng 5 năm 2017
Kobeissi bắn trả , 'Điều này có thể làm bạn ngạc nhiên, nhưng khi đối phó với một số người ở vùng MENA, hàm ý của bản in đẹp đó không phải là một phần của mô hình của họ.' Đồi nào đã trả lời , 'Tôi thực sự không ngạc nhiên khi có những mô hình tinh thần khác nhau về cách 2FA hoạt động trong một dân số gần 2 tỷ người. Tôi thực sự dành hàng giờ mỗi ngày để nghĩ về điều đó. Và tôi xem xét dữ liệu. ' (Kobeissi nói rõ thêm về suy nghĩ của mình đây .)
Giám đốc an ninh của Facebook Alex Stamos được xây dựng trong một tweetstorm : 'Như với dây an toàn, chế độ lỗi số 1 là 2FA không được sử dụng. Tôi nghi ngờ bất kỳ nhà cung cấp lớn nào có khả năng thâm nhập tốt hơn một con số. Vì vậy, chúng ta đổ lỗi cho những người không chọn sử dụng chức năng nhắm vào những người theo chủ nghĩa bảo mật, hay chúng ta thiết kế một hệ thống hoạt động cho tất cả? Cũng như [mã hóa end-to-end], 2FA là một công nghệ nhỏ giọt, được yêu cầu và thực hiện bởi các chuyên gia, những người thích tranh luận về các trường hợp góc và chế độ thất bại. '
Anh ấy tiếp tục lưu ý, 'Hãy nhớ rằng kẻ thù cũng nhận được phiếu bầu. Việc cho phép tài khoản bị khóa vĩnh viễn ngay lập tức cũng sẽ bị lạm dụng trong việc chiếm đoạt tài khoản. ' Nói cách khác, tin tặc chiếm quyền kiểm soát tài khoản sẽ kích hoạt 2FA để chặn người dùng hợp pháp khôi phục tài khoản của họ. (Tất nhiên, sẽ rất lạ nếu một hacker chọn thời gian gia hạn.)
Những người dựa vào quản lý mật khẩu để tạo và lưu trữ các mật khẩu dài, duy nhất đang hạn chế rủi ro một cách hiệu quả. Mặt khác, những người sử dụng cùng một thông tin đăng nhập lặp đi lặp lại cho các dịch vụ khác nhau dễ nhắm mục tiêu hơn nhiều, bởi vì cơ sở dữ liệu tài khoản và mật khẩu thường bị vi phạm và phát hành trên darknet.
Facebook nhận ra điều này nên công ty cố gắng giúp người dùng tự bảo vệ mình. Rõ ràng là nó muốn giảm thiểu số lượng tài khoản bị tấn công.
Khó hơn rất nhiều để kẻ xấu chiếm đoạt tài khoản được bảo vệ bởi 2FA (mặc dù kỹ thuật xã hội thông minh, thường liên quan đến việc liên hệ với đại diện hỗ trợ của công ty và lừa họ, đôi khi có thể thực hiện thủ thuật SMS không hoàn toàn an toàn ). Hầu hết các tin tặc muốn 'pwn' (hacker nói riêng) nhiều tài khoản một cách nhanh chóng và không sẵn sàng dành thêm thời gian và công sức cho một người dùng.
Nói cách khác, việc giữ an toàn cho tài khoản Facebook cũng giống như việc hiểu hành vi của con người cũng như việc xây dựng các công cụ công nghệ. Như kỹ sư Brad Hill đã nói, khi bạn giao dịch với hàng tỷ người dùng, bạn phải đáp ứng nhiều cấp độ kinh nghiệm khác nhau và quan niệm khác nhau về cách thức hoạt động của bảo mật. Bất kỳ tùy chọn 'một kích thước phù hợp với tất cả' nhất định sẽ khiến một số người thất vọng.
