Facebook Hack paljastaa yksittäisen tilin käytön vaaroja kirjautuaksesi muihin palveluihin

Facebook Hack paljastaa yksittäisen tilin käytön vaaroja kirjautuaksesi muihin palveluihin
Viimeaikaisesta Facebook-hakata on useita läpivirtausvaikutuksia.
Shutterstock

Facebook ilmoitti perjantaina sen suunnittelutiimi oli havainnut turvallisuusongelman, joka vaikuttaa lähes 50: n miljoonaan tiliin. Facebookin koodin puutteen takia hakkerit pystyivät ottamaan tilin ja käyttämään sitä samalla tavalla kuin jos olisit kirjautunut tiliisi salasanalla.

Yhtiö sanoo, että se on nyt kiinnittänyt ongelman koodiinsa ja palauttanut kyseisten tilien käyttöoikeustunnukset - yhdessä 40 miljoonan muun tilin kanssa, jotka olivat haavoittuvaisia. Jos löysit itsesi kirjautuneena pois Facebook-tilistäsi viime viikolla, olet todennäköisesti vaikuttanut siihen.

Tämän lisäksi tietoturvan rikkomisen laajuudesta tiedetään vähän. Tietoturvapäivityksessään Facebook sanoi:

"Koska olemme vasta aloittaneet tutkimuksemme, meidän on vielä määritettävä, onko näitä tilejä käytetty väärin tai tietoja on saatavilla. Emme myös tiedä, kuka on näiden hyökkäysten takana tai missä he perustuvat."


Hanki viimeisin InnerSelfistä


Mitä se tarkoittaa

Tämä ei ole tähän mennessä pahin tietojen rikkominen. Tämä tunnustus kuuluu Equifaxin luottotoimistoille, jolla oli henkilötietoja varastettu 147 miljoonaa ihmistä. Mutta Facebookissa valitettavasti viime aikoina on useita läpivirtausvaikutuksia.

Ensinnäkin rikkominen voi johtaa Euroopan unionin yleiseen tietosuoja-asetukseen (GDPR), joka otettiin käyttöön toukokuussa. Vaikka GDPR koskee vain Euroopan kansalaisia, rangaistukset tietojen rikkomisesta ovat vakavia - jopa 4%: iin maailmanlaajuisesta liikevaihdosta per rikkomus.

Toiseksi, myös muut Facebook-vahvistusta käyttävät alustat ovat vaarassa. Tämä johtuu siitä, että nyt on yleinen käytäntö käyttää yhtä tiliä automaattisena varmistuksena yhteyden muodostamiseksi muihin alustoihin, esimerkiksi käyttämällä Facebook-tiliä kirjautumalla toiseen sosiaalisen median alustaan, kuten Twitteriin, Spotifyyn tai Instagramiin. Tätä kutsutaan yhtenä kirjautumiseen (SSO).

Kuinka yksi kirjautumistyö toimii

Jos muodostat yhteyden mihin tahansa järjestelmään, tarvitset jonkinlaista todentamista - yleensä kirjautumistunnusta, kuten käyttäjätunnusta ja salasanaparia. Kun sinulla on monia eri järjestelmiä, jotka edellyttävät valtakirjoja ennen kuin voit käyttää niitä, yhtäkkiä olet joutumassa muistamaan kymmenen erilaista (mieluiten hyvin pitkää) salasanaa.

Jotkut ihmiset voivat tehdä tämän, mutta monet eivät voi. Ja haluamme edelleen, että järjestelmät ovat turvallisia. Jos voisimme muodostaa yhteyden johonkin muuhun luotettuun järjestelmään ja käyttää luotettavan järjestelmän salasanaa, emme tarvitsisi kymmenen salasanaa - vain yhden. Se on SSO: n periaate.

Mutta tämä toimii vain niin kauan kuin luotettava järjestelmä on turvallinen. Jos näin ei ole, tietoverkkorikollisuus voisi käyttää hakattua tiliä yhdellä alustalla (tässä tapauksessa Facebookissa), jotta pääset mihin tahansa muuhun yhdistettyyn alustaan.

Mitä sinun pitäisi tehdä

Todennus toimii yleensä yhden kolmesta tekijästä johtuen:

* jotain tiedät, kuten salasana

* jotain sinulla on, kuten pääsykortti

* jotain olet, kuten sormenjälki.

On selvää, että useamman kuin yhden tekijän käyttö lisää turvallisuutta. Facebook-tilissäsi voit valita kahden tekijän todennuksen. Tämä tarkoittaa sitä, että sinun tulee syöttää salasanasi ja koodisi, joka lähetetään sinulle tekstiviestillä, kun seuraavan kerran kirjaudut sisään.

Tarkastuksen tulevaisuus

Käytettävyyden ja turvallisuuden välillä on aina jännitys. Ihmiset haluavat, että järjestelmät ovat turvallisia, jotta heidän identiteettinsä ei varastettu, ja haluavat myös, että samat järjestelmät ovat helposti saatavilla. SSO on pyrkimys tasapainottaa käytettävyyttä ja turvallisuutta, mutta Facebook-hakata paljastaa sen rajoitukset.

Monet ihmiset eivät pidä salasanoja, joten he valitsevat helposti muistettavat ja siten helposti murtautuvat salasanat. Tietoverkkorikollisilla on pääsy miljoonien yhteisten salasanojen luetteloon (vihje: "Gandalf" ei ole yhtä ainutlaatuinen kuin luulisi).

Pääsymerkit, kuten kortit tai muut fyysiset laitteet (kuten jotkut pankit käyttävät) ovat ratkaisu - niin kauan kuin et menetä sitä. Saattaa olla, että ainutlaatuisen fyysisen ominaisuuden käyttäminen on paras tapa edetä. Loppujen lopuksi olet aina mukana sormenjälki, iiris tai ääni kanssasi.

kirjailijastaConversation

Mike Johnstone, Turvatutkija, Vastuullisten järjestelmien apulaisprofessori, Edith Cowanin yliopisto

Tämä artikkeli julkaistaan ​​uudelleen Conversation Creative Commons -lisenssin alla. Lue alkuperäinen artikkeli.

Liittyvät kirjat

{amazonWS: searchindex = Kirjat; avainsanat = Internet-turvallisuus; maxresults = 3}

enafarzh-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

seuraa InnerSelfia

facebook-kuvakeTwitter-kuvakeRSS-kuvake

Hanki uusimmat sähköpostitse

{Emailcloak = off}