Facebook Hack ujawnia niebezpieczeństwa związane z używaniem jednego konta do logowania się do innych usług
Istnieje kilka efektów flow-on z ostatniego włamania na Facebooku. Shutterstock

Facebook ogłosił w piątek, że jego zespół inżynierów wykrył problem z bezpieczeństwem dotyczący prawie 50 milionów kont. Z powodu błędu w kodzie Facebooka hakerzy byli w stanie przejąć konto i używać go w taki sam sposób, jak gdybyś zalogował się na konto za pomocą hasła.

Firma twierdzi, że teraz naprawiła problem w swoim kodzie i zresetowała tokeny dostępu dla tych kont – wraz z 40 milionami innych kont, które były podatne na tę lukę. Jeśli w zeszłym tygodniu wylogowałeś się z konta na Facebooku, prawdopodobnie zostałeś dotknięty.

Poza tym niewiele wiadomo na temat zakresu naruszenia bezpieczeństwa. W swojej aktualizacji zabezpieczeń Facebook powiedział:

„Ponieważ dopiero rozpoczęliśmy nasze śledztwo, musimy jeszcze ustalić, czy te konta zostały wykorzystane niewłaściwie lub czy uzyskano dostęp do jakichkolwiek informacji. Nie wiemy również, kto stoi za tymi atakami ani gdzie się one znajdują”.

wewnętrzna grafika subskrypcji

Co to znaczy

To nie jest najgorsze jak dotąd naruszenie danych. To wyróżnienie należy do biura kredytowego Equifax, któremu skradziono dane osobowe z kont 147 mln osób. Ale, niestety dla Facebooka, niedawny haker ma kilka efektów.

Po pierwsze, naruszenie może naruszać ogólne rozporządzenie o ochronie danych Unii Europejskiej (`RODO), który został wprowadzony w maju. Chociaż RODO ma zastosowanie tylko do obywateli Europy, kary za naruszenia danych są surowe – do 4% globalnego obrotu za naruszenie.

Po drugie, zagrożone są również wszelkie konta na innych platformach, które korzystają z weryfikacji przez Facebooka. Dzieje się tak, ponieważ obecnie powszechną praktyką jest używanie jednego konta jako automatycznej weryfikacji do łączenia się z innymi platformami, na przykład poprzez użycie konta Facebook do logowania się na innej platformie społecznościowej, takiej jak Twitter, Spotify czy Instagram. Jest to znane jako jednokrotne logowanie (SSO).

Jak działa jednokrotne logowanie

Jeśli łączysz się z dowolnym systemem, potrzebujesz jakiejś formy uwierzytelnienia – zwykle poświadczenia logowania, takie jak para nazwy użytkownika i hasła. Kiedy masz wiele różnych systemów, które wymagają poświadczeń, zanim będziesz mógł ich użyć, nagle stajesz przed koniecznością zapamiętania dziesięciu różnych (najlepiej bardzo długich) haseł.

Niektórzy mogą to zrobić, ale wielu nie. I nadal chcemy, aby systemy były bezpieczne. Gdybyśmy mogli połączyć się z jednym systemem, który był zaufany przez inne i użyć hasła zaufanego systemu, nie potrzebowalibyśmy dziesięciu haseł – tylko jednego. Na tym polega zasada logowania jednokrotnego.

Ale działa to tylko tak długo, jak zaufany system jest bezpieczny. Jeśli tak nie jest, cyberprzestępca może użyć zhakowanego konta na jednej platformie (w tym przypadku Facebooku), aby uzyskać dostęp do dowolnej innej połączonej platformy.

Co powinieneś zrobić

Uwierzytelnianie zwykle działa z powodu jednego z trzech czynników:

* coś, co znasz, np. hasło

* coś, co posiadasz, np. kartę dostępu

* coś, czym jesteś, na przykład odcisk palca.

Oczywiście użycie więcej niż jednego czynnika zwiększa bezpieczeństwo. Na swoim koncie na Facebooku możesz wybrać uwierzytelnianie dwuskładnikowe. Oznacza to, że przy następnym logowaniu będziesz musiał podać swoje hasło oraz kod wysłany do Ciebie w wiadomości SMS.

Przyszłość weryfikacji

Zawsze istnieje napięcie między użytecznością a bezpieczeństwem. Ludzie chcą, aby systemy były bezpieczne, aby ich tożsamość nie została skradziona, a także chcą, aby te same systemy były łatwo dostępne. SSO to próba zrównoważenia użyteczności i bezpieczeństwa, ale hack na Facebooku ujawnia jego ograniczenia.

Wiele osób nie lubi haseł, więc wybierają hasła łatwe do zapamiętania, a przez to łatwe do złamania. Cyberprzestępcy mają dostęp do list milionów popularnych haseł (wskazówka: „Gandalf” nie jest tak wyjątkowy, jak mogłoby się wydawać).

Tokeny dostępu, takie jak karty lub inne urządzenia fizyczne (używane na przykład przez niektóre banki) są rozwiązaniem – o ile ich nie zgubisz. Być może najlepszym rozwiązaniem jest użycie unikalnego atrybutu fizycznego. W końcu zawsze masz przy sobie odcisk palca, tęczówkę lub głos.

O autorzeKonwersacje

Mike'a Johnstone'a, badacz bezpieczeństwa, profesor nadzwyczajny w dziedzinie systemów odpornych, Edith Cowan University

Artykuł został opublikowany ponownie Konwersacje na licencji Creative Commons. Przeczytać oryginalny artykuł.

Powiązane książki

at Rynek wewnętrzny i Amazon