Sukčiavimas vartotojams? „Facebook“ vieno paspaudimo prisijungimo įrankis prieštarauja geriausio saugumo praktikai.

Kasdien daugelyje skirtingų svetainių žmonės pamiršta savo slaptažodžius. Ir kasdien šios svetainės reaguoja į žmonių pamirštą slaptažodį? užklausos, naudojant tokias funkcijas kaip dviejų veiksnių autentifikavimas, padedantis užregistruoti šias vargšas sielas. Kokia dauguma platformų neturi tai siųsti šaltus el. laiškus nieko neįtariantiems vartotojams, prašydamas juos vėl prisijungti. Tačiau „Facebook“ nėra dauguma platformų.

Nors „Facebook“ vieno paspaudimo funkcija nėra nauja, apie ją kalbama retai - taupyti supainioti vartotojai bando pakelti akis ar tai sukčiavimas. Tai pagrįstas klausimas, ypač atsižvelgiant į naujausią „Facebook“ saugumo pažeidimą, kai įsilaužėliai naudojo platformos kodo klaidą, norėdami pasiekti milijonus vartotojų paskyrų. Ekspertai teigia, kad nulaužimas greičiausiai sukels sukčiavimo išpuolių skaičius . Nors vienas paspaudimas iš tikrųjų yra tikras ir ne sukčiavimo sukčiavimu, jame gausu nesaugių saugumo praktikų - galbūt viskas dėl „Facebook“ vartotojų numerių vairavimo. Aš kreipiausi į „Facebook“ ir paklausiau, kada buvo paleistas vienas paspaudimas ir kodėl. Negavau atsakymų į tuos konkrečius klausimus, tačiau nusiuntęs įmonei „One Click“ el. Laiško pavyzdį, atstovas patvirtino, kad jis atkeliavo iš socialinio tinklo. Atstovas taip pat nurodė mane „Facebook“ saugos nustatymų puslapio kryptimi, kur vartotojai gali patvirtinti, ar „Facebook“ atsiuntė jiems el. laišką .



Šis įrankis yra naudingas, ypač todėl, kad vartotojus, kurie iš „Facebook“ gauna prieigos prie vieno paspaudimo el. Laišką, pasitinka gana įtartinai atrodantys security@facebookmail.com adresas. Laiške paaiškinama, kad „Facebook“ pastebėjo, kad vartotojui kilo problemų prisijungiant. Prie pastabos pridėtas mygtukas, kuriame rašoma: Prisijunkite vienu paspaudimu. Spustelėkite jį ir vartotojas bus automatiškai vėl prisijungęs prie „Facebook“. („Facebook“ taip pat prašo vartotojų pranešti įmonei, ar nesėkmingas bandymas prisijungti atsirado ne iš jų.)

Viskas apie „vieno paspaudimo“ metodą atrodo nesąžininga - nuo @ facebookmail.com el. Pašto galūnės iki įrašo be slaptažodžio. Vieno paspaudimo prisijungimo nuorodos siuntimas el. Paštu yra pakankamai blogas, bet ir to nepageidaujamo el. Laiško siuntimas yra labai prasta saugumo praktika, Markas Burnettas, saugumo konsultantas ir autorius. Puikūs slaptažodžiai: pasirinkimas, apsauga ir autentifikavimas , pasakė man elektroniniu paštu. Viena vertus, „Facebook“ nežinotų, ar gavėjo el. Pašto adresas vis dar galioja, ar prie jo gali prisijungti kiti vartotojai. Be to, sako Burnettas, nors vieno paspaudimo nuoroda kai kuriais atvejais gali būti minimaliai priimtinas būdas prisijungti, langas, kuriam galioja ši nuoroda, turėtų būti labai mažas, matuojamas per kelias minutes. El. Laiškuose [„Facebook“ nenurodo], kada baigsis nuorodos galiojimo laikas, tačiau norint suteikti vartotojams galimybę atsakyti, ji turėtų būti daug ilgesnė nei įprasta - galbūt kelios dienos ar daugiau.

Burnettas sako, kad retai kada techninės platformos kreipiasi į vartotojus, kurie nesijungia, nesvarbu, ar jie pamiršo savo slaptažodį. Dauguma prisijungimo svetainių veikia kaip „Tumblr“, kur tie, kurie negali prisijungti, įveda su paskyra susietą el. Pašto adresą ir prašo prisijungimo nuorodos el. Paštu. Burnettas sako, kad svarbu, kad vartotojas inicijavo užklausą ir kad nuoroda galiotų gana greitai. „Facebook“ siūlo šią galimybę užrakintiems vartotojams, tačiau panašu, kad „One Click“ yra alternatyva saugesniam vartotojo inicijuotam modeliui. Slaptažodžio nustatymas iš naujo turėtų apimti nusistovėjusį daugiapakopį procesą, apimantį tam tikrą minkšto autentifikavimo formą, pavyzdžiui, atsakymą į klausimą ar informacijos teikimą, sako Burnettas. Kitaip tariant, kažkas saugesnio, nei vien mygtuko paspaudimas.



Nerimą kelia ne tik žiniuonė, bet ir pati žinutė. „Burnett“ teigia, kad „One Click“ el. Pašto adresas yra panašus į sukčiavimą. Šie el. Laiškai prieštarauja visai gerajai praktikai, kurią saugumo pramonėje daugelį metų bandėme įdiegti įmonėms, sako Burnettas. Laikykitės tokių dalykų kaip domenų vardai nuoseklūs, venkite prisijungimo nuorodų ir aiškiai nustatykite, kada susisieksite su vartotojais dėl jų paskyros.

Iš „Facebook“ gauti nepagalvotą el. Laišką yra neįprasta: Tiesą sakant, socialinis tinklas teigė, kad vietoj to, kad el. Pašto vartotojai nukentėtų nuo jo naujausio saugumo pažeidimo, jis numestų pranešimą vartotojų naujienų kanaluose. Burnettas pasakoja apie „Vieną paspaudimą“: beveik taip, kaip jį sukūrė kažkas, neturintis realaus saugumo mokymo.

Atsakymas į klausimą „Kodėl vienas paspaudimas“? atrodo akivaizdu: „Facebook“ nori išlaikyti vartotojus, galbūt labiau nei bet kada anksčiau, po to #DeleteFacebook ir modelis mažėja vartotojo numeriai . Į „Bloomberg“ istorija nuo šių metų pradžios ištyrė daugybę būdų, kuriais socialinis tinklas bando sulaikyti vartotojus arba juos sugrąžinti. Vienas pasakojimui apklaustas vyras ištrynė „Facebook“ iš savo telefono ir retai prisijungė; galiausiai jis gavo „One Click“ el. laišką. Vis dėlto jis nebandė prisijungti ir abejojo, ar kas nors kitas. Jų siunčiamų laiškų turinys iš esmės bando jus apgauti, - sakė [Rishi] Gorantala. Kaip kažkas bandė pasiekti mano sąskaitą, todėl turėčiau eiti ir prisijungti.



Ringer rašytojas Danny Heifetzas turėjo panašios patirties ir buvo panašiai įtartinas. Aš pamiršau slaptažodį, buvau susierzinęs, nusprendžiau, kad darau pertrauką nuo „Facebook“, ir likau neprisijungęs, sako jis. Tik po pakartotinių agresyvių el. Laiškų iš „Facebook“ su atnaujinimais, ko jam trūksta, jis gavo „Vieno paspaudimo“ pranešimą, kuriame sakoma, kad jam vis dėlto nereikia savo slaptažodžio. Taigi po kelių savaičių maldavimo, kad prisijungčiau, „Facebook“ iš esmės visiškai nepaisė slaptažodžių. Tai sukrėtė mano mintis.

Emmanuelis Schalitas, „Dashlane“, slaptažodžių valdymo sistemos, kuri gali būti naudojama vietoj „Facebook Connect“ („Facebook“ vieno prisijungimo įrankis, egzistuojantis visame internete), generalinis direktorius, norėdamas prisijungti prie įvairių paskyrų, sako, kad jo įmonė ir „Facebook“ iš esmės bando išspręsti tą pačią problemą įvairiais būdais. Pasak jo, „Facebook“ turi šį didžiulį milžinišką saugyklą šimtams milijonų vartotojų, kur jie saugo kiekvieno asmens duomenis viename dideliame saugykloje, kurį jie valdo ir saugo. Kai tai padarys, bet kada svetainė ar programa bus suderinama su „Facebook“ prisijungimo metodu, žmonės galės prisijungti nieko neįvedę. Tai labai patogu. Problema yra ta, kad pažeidus tą vienintelį gigantišką saugyklą, kaip ką tik įvyko, tada kiekvieno asmens duomenys yra nutekėję, ir jums net nežinant, kažkas gali prisijungti prie „Uber“ ar kitos programos, naudojančios „Facebook“ prisijungimo metodą. Dashlane'as laikosi kitokio požiūrio, decentralizuodamas vartotojo duomenis, kad tik vartotojas galėtų juos pasiekti. Norint valdyti decentralizuotą sistemą yra sunkiau ir reikia daugiau skaičiavimo pajėgumų (tai yra viena priežasčių, kodėl „Dashlane“ turi mokamas parinktis, o „Facebook“ yra nemokama), tačiau tai yra saugiau.

Žinote, mes taip pat turime „Dashlane“ naudotojų, kurie nebevykdo. Tai atsitinka su bet kuriuo produktu, sako Schalit. Bet Dashlane nesiunčia el. Laiško, kuriame raginama vartotojus spustelėti ir prisijungti; pagal savo prigimtį jis negali. Jei kas nors pamiršo savo slaptažodį, negalime jų vėl prisijungti. Pasak jo, negalime jų iš naujo susieti. Pagal apibrėžimą, jei naudojate tikrą tapatybės platformą, jei pametate slaptažodį, turite paleisti iš naujo. Mes mokame to kainą kiekvieną dieną, tačiau sutinkame su ta kaina, nes tai yra kaina, kuria iš tikrųjų pasitikime savo vartotojais.

Nesvarbu, ar „Facebook“ vienas paspaudimas yra desperatiškas bandymas padidinti aktyvių vartotojų skaičių, ar būdas įspėti vartotojus apie išorinius prisijungimo bandymus, ar šių dviejų būdų derinys, jis vengia geriausios saugumo praktikos, kad pasiektų savo tikslą. Jų ketinimas gali būti neblogas, nes tiesa, kad daugelis žmonių pamiršta savo slaptažodžius, sako Schalit. Tačiau tai, kaip jie eina, ypač po visko, kas nutiko „Facebook“, gali pakelti antakius.

Įdomios Straipsniai

Populiarios Temos

Kietas anapus: nepaprastas Stuarto Scotto gyvenimas ir palikimas

Kietas anapus: nepaprastas Stuarto Scotto gyvenimas ir palikimas

'Nelaimės menininkas' yra toks geras, tai gerai

'Nelaimės menininkas' yra toks geras, tai gerai

„Ringer Staff“ 2018 m. NFL projekto QB reitingai

„Ringer Staff“ 2018 m. NFL projekto QB reitingai

„Veronica Mars“ jau dirbo gerbėjų tarnyboje. Dabar tai gali būti tiesiog savimi.

„Veronica Mars“ jau dirbo gerbėjų tarnyboje. Dabar tai gali būti tiesiog savimi.

Kodėl „Mandalorian“ 2 sezonas pavyko (ir kaip galėtų atrodyti 3 sezonas)

Kodėl „Mandalorian“ 2 sezonas pavyko (ir kaip galėtų atrodyti 3 sezonas)

„Didžioji Britanijos kepimo paroda“ yra sugadinta. Štai penkių taškų planas, kaip tai išspręsti.

„Didžioji Britanijos kepimo paroda“ yra sugadinta. Štai penkių taškų planas, kaip tai išspręsti.

Giliai pasinerkite į 50 centų „Praturtėk arba mirsi“

Giliai pasinerkite į 50 centų „Praturtėk arba mirsi“

Geriausios 2019 m. Memos

Geriausios 2019 m. Memos

Kodėl Patriotų dinastijos pamokos ir toliau lieka neišmoktos

Kodėl Patriotų dinastijos pamokos ir toliau lieka neišmoktos

„Išgyvenęs asmuo: karo nugalėtojai“ traukia neįmanoma

„Išgyvenęs asmuo: karo nugalėtojai“ traukia neįmanoma

„Sostų žaidimas“ laisvai baigiasi: ką Samas ir Gilly atskleis savo Citadelės knygose?

„Sostų žaidimas“ laisvai baigiasi: ką Samas ir Gilly atskleis savo Citadelės knygose?

„Siužetas prieš Ameriką“ yra prekės ženklas Davidas Simonas

„Siužetas prieš Ameriką“ yra prekės ženklas Davidas Simonas

Pamirškite AFC čempionato žaidimą. Pagaliau atėjo laikas Patricko Mahomeso ir Josho Alleno mėtymo konkursui.

Pamirškite AFC čempionato žaidimą. Pagaliau atėjo laikas Patricko Mahomeso ir Josho Alleno mėtymo konkursui.

Lil Wayne'as grįžo ... bet ar Lil Wayne'as grįžo? Momentinės reakcijos į albumą „Tha Carter V“

Lil Wayne'as grįžo ... bet ar Lil Wayne'as grįžo? Momentinės reakcijos į albumą „Tha Carter V“

Kaip „Heat-Answer AD-on-Jimmy“? Trys klausimai, apibrėžiantys 5 žaidimą.

Kaip „Heat-Answer AD-on-Jimmy“? Trys klausimai, apibrėžiantys 5 žaidimą.

Ar Malikas Monkas yra NBA plėtros išimtis ar naujos rūšies taisyklė?

Ar Malikas Monkas yra NBA plėtros išimtis ar naujos rūšies taisyklė?

Paklauskite maesterio: viskas, ką žinome apie naktinį karalių, kai siūlome Adieu

Paklauskite maesterio: viskas, ką žinome apie naktinį karalių, kai siūlome Adieu

Ką „tikras detektyvas“ gali mums pasakyti apie lenktynes?

Ką „tikras detektyvas“ gali mums pasakyti apie lenktynes?

NFL aviacijos reido revoliucijos atvejis

NFL aviacijos reido revoliucijos atvejis

Mūsų mėgstamiausi, kurie liko mūsų „Breakup Song“ reitinge

Mūsų mėgstamiausi, kurie liko mūsų „Breakup Song“ reitinge

Posezono skausmo indeksas: blogiausių MLB atkrintamųjų dešimtmečio nuostolių reitingas

Posezono skausmo indeksas: blogiausių MLB atkrintamųjų dešimtmečio nuostolių reitingas

Kaip „dėdė piešė“?

Kaip „dėdė piešė“?

NBA netrukus prasidės naujas sezonas. Bet ar žaidėjai ir treneriai pasiruošę?

NBA netrukus prasidės naujas sezonas. Bet ar žaidėjai ir treneriai pasiruošę?

„Sostų žaidimas“ baigiasi laisvai: ar mūsų herojai sužinos, kaip buvo pastatyta siena?

„Sostų žaidimas“ baigiasi laisvai: ar mūsų herojai sužinos, kaip buvo pastatyta siena?

Dangus bandė užblokuoti jūsų požiūrį į sakalų įžeidimą

Dangus bandė užblokuoti jūsų požiūrį į sakalų įžeidimą

Pasirodo, kad sąskaitų gerbėjai išmetė dar vieną dildo į patriotus - ir tai buvo geriausias Buffalo metimas per dieną

Pasirodo, kad sąskaitų gerbėjai išmetė dar vieną dildo į patriotus - ir tai buvo geriausias Buffalo metimas per dieną

Ar Amerika pasirengusi Fugazi prezidentui?

Ar Amerika pasirengusi Fugazi prezidentui?

JAV priklauso geriausias Kanados sportas

JAV priklauso geriausias Kanados sportas

Jūs nematėte paauglių šou, panašaus į „Mes esame tokie, kokie esame“

Jūs nematėte paauglių šou, panašaus į „Mes esame tokie, kokie esame“

Kaip „49ers“ sužaidė savo „Super Bowl“ LIV viltis

Kaip „49ers“ sužaidė savo „Super Bowl“ LIV viltis

Kaip ilgalaikis LeBrono Jameso nebuvimas galėtų paveikti komandų veiksmus per prekybos terminą?

Kaip ilgalaikis LeBrono Jameso nebuvimas galėtų paveikti komandų veiksmus per prekybos terminą?

Su pieštuku: „John Wick“

Su pieštuku: „John Wick“

Kai varžovai stengiasi neatsilikti, „Lakers“ tapo dar geresni

Kai varžovai stengiasi neatsilikti, „Lakers“ tapo dar geresni

Jaredo Dunno keistos vaikystės tyrinėjimas

Jaredo Dunno keistos vaikystės tyrinėjimas

Michaelas Jordanas dominavo savo amžiuje, tačiau jis šio nevaldė

Michaelas Jordanas dominavo savo amžiuje, tačiau jis šio nevaldė