يخدم Facebook ما يقرب من 2 مليار مستخدم ، أكثر من مليار منهم على أساس يومي. هؤلاء المستخدمون منتشرون في جميع أنحاء العالم ، ولكل منهم حساب. معظم هذه الحسابات محمية فقط بامتداد كلمة المرور ، مما يعني أن الشخص الضار الذي يعرف عنوان بريدك الإلكتروني يحتاج فقط إلى معلومة أخرى لسرقة حسابك. يواجه Facebook مهمة صعبة تتمثل في اكتشاف كيفية منع ذلك دون إزعاج أو إرباك جميع هؤلاء المستخدمين ، الذين تختلف أعرافهم الثقافية ومحو أميتهم الحاسوبية على نطاق واسع
إحدى ميزات أمان Facebook هي المصادقة ذات العاملين ، والتي يمكنك أنت ربما سمعت عن . 2FA (الاختصار الشائع) يمكنه حماية حسابك حتى في حالة حصول شخص ما على كلمة مرورك. يتم تنفيذ 2FA عادةً عبر رسائل SMS أو تطبيق آمن مثل Google Authenticator ، على الرغم من أن المعيار الذهبي هو العامل الثاني المادي . تتغير التفاصيل من خدمة إلى أخرى ، لكن عملية المصادقة الثنائية (2FA) العامة تعمل على النحو التالي: 1) أدخل اسم المستخدم وكلمة المرور. 2) ينقلك موقع الويب أو التطبيق إلى شاشة أخرى ، حيث يُطلب منك إدخال رمز لمرة واحدة تم إنشاؤه بواسطة العامل الثاني. فويلا ، أنت في!
لكن هل تتذكر مليارات مستخدمي Facebook المتنوعين؟ ليس كلهم يتمتعون بالضمير الكافي لقراءة الخطوط الدقيقة. اتضح أنه يمكنك تمكين المصادقة الثنائية (2FA) دون أن تعرف حقًا ما تفعله ، وينتهي بك الأمر مغلقًا من حسابك. يريد Facebook منع ذلك بالقدر الذي يريده تقريبًا لمنع المتسللين من اكتظاظ المنصة.
لذا تقدم الشركة للمستخدمين الذين يمكّنون المصادقة الثنائية (2FA) فترة سماح مدتها أسبوع لتقرير ما إذا كانوا يريدون ذلك حقًا أم لا. إنه اختياري ، لكن يتم تحديده افتراضيًا. قبل انتهاء فترة السماح ، يمكن للمستخدمين اختيار تسجيل الدخول كالمعتاد. سيؤدي القيام بذلك إلى إيقاف تشغيل المصادقة الثنائية (2FA).
لا يعتقد الجميع أن هذه فكرة رائعة.
هذا هو نوع السياسة الأمنية غير المسؤولة والمدمرة التي تؤذي الناس ، @موقع التواصل الاجتماعي الفيسبوك . قطع هذا الهراء. نسخة. تضمين التغريدة pic.twitter.com/tVX7fczw37
- نديم قبيسي (kaepora) 25 مايو 2017
إلى حد ما ، هذا يتعارض مع الغرض من إنشاء 2FA في المقام الأول. لا يزال بإمكان المهاجم الدخول إلى حسابك فقط باستخدام كلمة المرور الخاصة بك إذا تمكن من الضرب خلال فترة السماح.
يجد بعض الخبراء في مجتمع الأمن السيبراني أن اختيار تصميم Facebook محبط. نديم قبيسي ؟، الذي أنشأ تطبيق المراسلة المشفر Cryptocat ، دعاه 'نوع السياسة الأمنية غير المسؤولة والمدمرة التي تؤذي الناس'. وأضاف: لا تصدق. لقد أمضيت يومًا كاملاً في محاولة لمعرفة السبب وراء بقاء * الناشط الاجتماعي على Facebook * غير آمن حتى بعد المصادقة الثنائية. اتضح أن فترة السماح كانت الجاني.
مهندس أمن فيسبوك براد هيل دق في للقول إن الميزة 'موجودة لحماية الأشخاص الذين لا يقرؤون التعليمات عند القيام بأشياء لاحقة' ، مشيرًا إلى أنه يتم منح المستخدمين خيارًا بشأن ما إذا كانوا يريدون فترة السماح أم لا:
إنه موجود لحماية الأشخاص الذين لا يقرؤون التعليمات عند القيام بأشياء تبعية. pic.twitter.com/WHxoXSa4As
- هيلبراد (@ hillbrad) 25 مايو 2017
قبيسي على اطلاق النار ، 'قد يفاجئك هذا ، ولكن عند التعامل مع بعض الأشخاص في منطقة الشرق الأوسط وشمال إفريقيا ، فإن الآثار المترتبة على تلك المطبوعات الدقيقة ليست جزءًا من نموذجهم.' إلى أي هيل أجاب ، 'في الواقع لست مندهشًا على الإطلاق من وجود نماذج عقلية مختلفة لكيفية عمل المصادقة الثنائية ثنائية العناصر في عدد سكان يقارب ملياري شخص. أنا حرفيًا أقضي ساعات كل يوم أفكر في ذلك. وأنا أنظر إلى البيانات. (ووسع قبيسي تفكيره بشكل أكبر هنا .)
رئيس أمن فيسبوك أليكس ستاموس وضعت في tweetstorm : 'كما هو الحال مع أحزمة المقاعد ، فإن وضع الفشل رقم 1 هو عدم استخدام 2FA. أشك في أن أي مزود كبير لديه أفضل من الاختراق أحادي الرقم. فهل نلوم الأشخاص الذين لا يختارون استخدام الوظائف التي تستهدف المتعصبين للأمان ، أم أننا نصمم نظامًا يناسب الجميع؟ كما هو الحال مع [التشفير من طرف إلى طرف] ، فإن 2FA هي تقنية متداخلة ، يطلبها وينفذها الخبراء الذين يحبون الجدل حول القضايا الجانبية وأنماط الفشل.
ومضى يقول: 'تذكر أن الخصم يحصل أيضًا على تصويت. سيتم إساءة استخدام السماح بإغلاق الحسابات بشكل دائم على الفور أيضًا في عمليات الاستحواذ على الحساب. بمعنى آخر ، المتسللين الذين يتحكمون في حساب ما سيمكنون المصادقة الثنائية (2FA) من أجل منع المستخدمين الشرعيين من استعادة حساباتهم. (بالطبع ، سيكون من الغريب أن يختار المخترق فترة السماح).
الناس الذين يعتمدون على مديري كلمات المرور إنشاء كلمات مرور طويلة وفريدة من نوعها وتخزينها يحد بشكل فعال من مخاطرها. من ناحية أخرى ، يسهل استهداف الأشخاص الذين يستخدمون نفس بيانات الاعتماد مرارًا وتكرارًا لخدمات مختلفة مختلفة ، نظرًا لأن قواعد بيانات الحساب وكلمات المرور غالبًا ما يتم اختراقها وأطلق سراحه على الشبكات المظلمة.
يدرك Facebook هذا ، لذلك تحاول الشركة مساعدة المستخدمين على حماية أنفسهم. من الواضح أنها تريد تقليل عدد الحسابات التي يتم اختراقها.
يصعب على أي شخص ضار اختراق حساب محمي بموجب المصادقة الثنائية (2FA) (على الرغم من أن الهندسة الاجتماعية الذكية ، والتي تتضمن عادةً الاتصال بممثلي دعم الشركة وخداعهم ، يمكنها أحيانًا تنفيذ الحيلة الرسائل القصيرة ليست آمنة تمامًا ). يرغب معظم المتسللين في 'pwn' (يتحدث المتسلل عن نفسه) كثيرًا من الحسابات بسرعة ولا يرغب في تخصيص وقت وجهد إضافي لمستخدم واحد.
بعبارة أخرى ، فإن الحفاظ على أمان حسابات Facebook هو أمر يتعلق بفهم السلوك البشري بقدر ما يتعلق ببناء أدوات تكنولوجية. كما قال المهندس براد هيل ، عندما تتعامل مع مليارات المستخدمين ، يجب أن تستوعب العديد من المستويات المختلفة من الخبرة والمفاهيم المختلفة لكيفية عمل الأمان. أي خيار 'مقاس واحد يناسب الجميع' من شأنه أن يخيب آمال بعض الناس.
