Facebook Hack openbaar die gevare van die gebruik van 'n enkele rekening om aan te meld by ander dienste

Facebook Hack openbaar die gevare van die gebruik van 'n enkele rekening om aan te meld by ander dienste
Daar is verskeie vloei-effekte van die onlangse Facebook-hack.
Shutter

Facebook aangekondig Vrydag het sy ingenieurspan 'n sekuriteitsprobleem ontdek wat byna 50 miljoen rekeninge geraak het. As gevolg van 'n fout in Facebook se kode, was hackers in staat om 'n rekening oor te neem en dit op dieselfde manier te gebruik as jy by die rekening aangemeld het met 'n wagwoord.

Die maatskappy sê dit het nou die probleem in sy kode opgelos en toegangtoetse vir daardie rekeninge gereset - saam met 40 miljoen ander rekeninge wat kwesbaar vir die fout was. As jy jouself verlede week uit jou Facebook-rekening aangeteken het, is dit waarskynlik dat jy geraak word.

Daarbenewens is min bekend oor die omvang van die sekuriteitsbreuk. In sy beveiligingsupdate het Facebook gesê:

"Aangesien ons eers ons ondersoek begin het, moet ons vasstel of hierdie rekeninge misbruik of enige inligting toeganklik was. Ons weet ook nie wie agter hierdie aanvalle is of waar hulle gebaseer is nie."

Wat dit beteken

Dit is nie die ergste data-oortreding tot op datum nie. Die toekenning behoort aan die kredietburo Equifax, wat persoonlike data gesteel het uit die rekeninge van 147 miljoen mense. Maar, ongelukkig vir Facebook, is daar verskeie vloei-effekte van die onlangse hack.

In die eerste plek kan die oortreding van die Europese Unie se algemene databeskermingsregulasie (BBP), wat in Mei bekendgestel is. Alhoewel die GDPR slegs op Europese burgers van toepassing is, is die boetes vir data-oortredings streng - tot 4% van die globale omset per oortreding.

Tweedens, enige rekeninge op ander platforms wat Facebook-verifikasie gebruik, is ook in gevaar. Dit is omdat dit nou 'n algemene praktyk is om een ​​rekening as 'n outomatiese verifikasie te gebruik om met ander platforms te koppel, byvoorbeeld deur 'n Facebook-rekening te gebruik om by 'n ander sosiale media-platform soos Twitter, Spotify of Instagram aan te meld. Dit staan ​​bekend as single sign-on (SSO).

Hoe eenmalige aanmelding werk

As jy aan enige stelsel koppel, benodig jy 'n vorm van verifikasie - gewoonlik 'n inskrywingskennisgewing soos 'n gebruikersnaam en wagwoordpaar. As jy baie verskillende stelsels het, wat almal benodig geloofwaardighede voordat jy dit kan gebruik, word jy skielik in die gesig gestaar om tien verskillende (ideaal baie lang) wagwoorde te onthou.

Party mense kan dit doen, maar baie kan nie. En ons wil steeds hê dat die stelsels veilig moet wees. As ons kon koppel aan een stelsel wat deur die ander vertrou is, en gebruik die wagwoord van die vertroude stelsel, sou ons nie tien wagwoorde nodig hê nie - net een. Dit is die beginsel agter SSO.

Maar dit werk net so lank as wat die betroubare stelsel veilig is. As dit nie die geval is nie, kan 'n cybercriminal die gehackte rekening op een platform gebruik (in hierdie geval, Facebook) om toegang tot enige ander gekoppelde platform te verkry.

Wat jy moet doen

Verifikasie werk gewoonlik as gevolg van een van drie faktore:

* iets wat jy ken, soos 'n wagwoord

* iets wat jy het, soos 'n toegangskaart

* iets wat jy is, soos 'n vingerafdruk

Dit is duidelik dat die gebruik van meer as een faktor sekuriteit verhoog. In jou Facebook-rekening kan jy kies om twee-faktor-verifikasie te gebruik. Dit beteken dat jy jou wagwoord moet insleutel plus 'n kode wat aan jou gestuur word deur middel van 'n SMS-boodskap wanneer jy die volgende aanmeld.

Die toekoms van verifikasie

Daar is altyd 'n spanning tussen bruikbaarheid en sekuriteit. Mense wil hê stelsels moet veilig wees sodat hul identiteit nie gesteel word nie, en hulle wil ook hê dat dieselfde stelsels maklik toeganklik moet wees. SSO is 'n poging om bruikbaarheid en sekuriteit te balanseer, maar die Facebook-hack openbaar sy beperkings.

Baie mense hou nie van wagwoorde nie, so hulle kies maklik onthou, en dus maklik breekbaar, wagwoorde. Kriminele misdadigers het toegang tot lyste van miljoene gewone wagwoorde (wenk: "Gandalf" is nie so uniek as wat jy dalk dink nie).

Toegang tokens, soos kaarte of ander fisiese toestelle (soos byvoorbeeld deur sommige banke gebruik word) is 'n oplossing - solank jy dit nie verloor nie. Dit kan wees dat die gebruik van 'n unieke fisiese kenmerk die beste pad vorentoe is. Na alles, dra jy altyd jou vingerafdruk, iris of stem saam met jou.

Oor die skrywerDie gesprek

Mike Johnstone, Sekuriteitsnavorser, Medeprofessor in Resilient Systems, Edith Cowan Universiteit

Hierdie artikel is gepubliseer vanaf Die gesprek onder 'n Creative Commons lisensie. Lees die oorspronklike artikel.

verwante Boeke

{amazonWS: search index = Boeke; sleutelwoorde = internet sekuriteit; maxresults = 3}

enafarzh-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

volg InnerSelf op

Facebook-ikoonTwitter-ikoonrss-ikoon

Kry die nuutste per e-pos

Emailcloak = {af}