Facebook melayani hampir 2 miliar pengguna, lebih dari satu miliar di antaranya setiap hari. Pengguna tersebut tersebar di seluruh dunia, dan masing-masing memiliki akun. Sebagian besar akun tersebut hanya dilindungi oleh kata sandi , yang berarti bahwa orang jahat yang mengetahui alamat email Anda hanya memerlukan satu informasi lagi untuk mencuri akun Anda. Facebook memiliki pekerjaan yang sulit untuk mencari tahu bagaimana mencegahnya tanpa merepotkan atau membingungkan semua pengguna tersebut, yang norma budaya dan literasi komputernya sangat bervariasi.
Salah satu fitur keamanan Facebook adalah otentikasi dua faktor, yang Anda mungkin pernah mendengar . 2FA (singkatan umum) dapat melindungi akun Anda bahkan jika seseorang mendapatkan kata sandi Anda. 2FA biasanya diimplementasikan melalui pesan SMS atau aplikasi aman seperti Google Authenticator, meskipun standar emasnya adalah a faktor kedua fisik . Detailnya berubah dari layanan ke layanan, tetapi proses 2FA umum bekerja seperti ini: 1) Anda memasukkan nama pengguna dan kata sandi Anda. 2) Situs web atau aplikasi membawa Anda ke layar lain, tempat Anda diminta memasukkan kode satu kali yang dihasilkan oleh faktor kedua Anda. Voila, Anda masuk!
Tapi ingat miliaran pengguna Facebook yang beragam? Tidak semua dari mereka cukup teliti untuk membaca cetakan kecil. Ternyata Anda dapat mengaktifkan 2FA tanpa benar-benar mengetahui apa yang Anda lakukan, dan akhirnya terkunci dari akun Anda. Facebook ingin mencegahnya sama seperti ingin mencegah peretas mengerumuni platform.
Jadi perusahaan menawarkan kepada pengguna yang mengaktifkan 2FA masa tenggang selama seminggu untuk memutuskan apakah mereka benar-benar menginginkannya. Ini opsional, tetapi dipilih secara default. Sebelum masa tenggang habis, pengguna dapat memilih untuk login seperti biasa. Melakukannya akan mematikan 2FA.
Tidak semua orang berpikir itu ide yang bagus.
kekayaan bersih cindi knight griffith
Ini adalah jenis kebijakan keamanan mati otak yang tidak bertanggung jawab yang merugikan orang, @Facebook . Hentikan omong kosong ini. cc. @alexstamos pic.twitter.com/tVX7fczw37
-- Nadim Kobeissi (@kaepora) 25 Mei 2017
Sampai batas tertentu, ini mengalahkan tujuan menyiapkan 2FA di tempat pertama. Penyerang masih bisa masuk ke akun Anda hanya dengan menggunakan kata sandi Anda jika mereka berhasil menyerang dalam masa tenggang.
dari mana orang tua blac chyna berasal?
Beberapa pakar di komunitas keamanan siber menganggap pilihan desain Facebook membuat frustrasi. Nadim Kobeissi?, yang menciptakan aplikasi pesan terenkripsi Cryptocat, menyebutnya 'jenis kebijakan keamanan mati otak yang tidak bertanggung jawab yang merugikan orang.' Dia menambahkan, 'Luar biasa. Saya menghabiskan sepanjang hari mencoba memahami mengapa Facebook seorang aktivis sosial *tetap* tidak aman bahkan setelah 2FA.' Ternyata masa tenggang adalah pelakunya.
Insinyur keamanan Facebook Brad Hill menimpali untuk mengatakan bahwa fitur tersebut 'di sana untuk melindungi orang yang tidak membaca instruksi saat melakukan hal-hal yang penting,' menunjukkan bahwa pengguna diberi pilihan tentang apakah mereka menginginkan masa tenggang:
Itu ada untuk melindungi orang-orang yang tidak membaca instruksi ketika melakukan hal-hal konsekuensial. pic.twitter.com/WHxoXSa4As
-- hillbrad (@hillbrad) 25 Mei 2017
Kobeissi ditembak kembali , 'Ini mungkin mengejutkan Anda, tetapi ketika berhadapan dengan beberapa orang wilayah MENA, implikasi dari cetakan kecil itu bukan bagian dari model mereka.' Ke Bukit mana menjawab , 'Saya sebenarnya sama sekali tidak terkejut bahwa ada model mental yang berbeda tentang cara kerja 2FA dalam populasi hampir 2 miliar orang. Saya benar-benar menghabiskan berjam-jam setiap hari memikirkan hal itu. Dan saya melihat data.' (Kobeissi lebih jauh menguraikan pemikirannya sini .)
apakah wesley snipes gay?
Kepala petugas keamanan Facebook Alex Stamos dijabarkan dalam tweetstorm : 'Seperti halnya sabuk pengaman, mode kegagalan #1 adalah 2FA tidak digunakan. Saya ragu ada penyedia besar yang lebih baik daripada penetrasi satu digit. Jadi, apakah kita menyalahkan orang-orang yang tidak memilih untuk menggunakan fungsionalitas yang ditujukan untuk puritan keamanan, atau apakah kita merancang sistem yang berfungsi untuk semua? Seperti [enkripsi ujung-ke-ujung], 2FA adalah teknologi menetes ke bawah, dituntut dan diterapkan oleh para ahli yang suka berdebat tentang kasus sudut dan mode kegagalan.'
Dia melanjutkan dengan mencatat, 'Ingatlah bahwa musuh juga mendapat suara. Mengizinkan akun dikunci permanen secara instan akan disalahgunakan juga dalam pengambilalihan akun.' Dengan kata lain, peretas yang menguasai akun akan mengaktifkan 2FA untuk memblokir pengguna yang sah dari memulihkan akun mereka. (Tentu saja, akan aneh bagi seorang peretas untuk memilih masa tenggang.)
Orang yang mengandalkan pengelola kata sandi untuk menghasilkan dan menyimpan kata sandi yang panjang dan unik secara efektif membatasi risikonya. Orang-orang yang menggunakan kredensial yang sama berulang kali untuk berbagai layanan yang berbeda, di sisi lain, jauh lebih mudah untuk ditargetkan, karena basis data akun dan kata sandi sering dilanggar dan dirilis di darknet.
Facebook menyadari hal ini, sehingga perusahaan mencoba membantu pengguna melindungi diri mereka sendiri. Jelas itu ingin meminimalkan jumlah akun yang diretas.
Jauh lebih sulit bagi orang jahat untuk membajak akun yang dilindungi oleh 2FA (walaupun rekayasa sosial yang cerdik, yang biasanya melibatkan menghubungi perwakilan dukungan perusahaan dan menipu mereka, terkadang dapat melakukan trik, dan SMS tidak sepenuhnya aman ). Kebanyakan peretas ingin 'pwn' (peretas berbicara sendiri) banyak akun dengan cepat dan tidak mau mencurahkan waktu dan upaya ekstra untuk satu pengguna.
Dengan kata lain, menjaga keamanan akun Facebook sama pentingnya dengan memahami perilaku manusia seperti halnya membangun alat teknologi. Seperti yang dikatakan insinyur Brad Hill, ketika Anda berurusan dengan miliaran pengguna, Anda harus mengakomodasi berbagai tingkat pengalaman dan konsepsi yang berbeda tentang cara kerja keamanan. Opsi 'satu ukuran cocok untuk semua' apa pun pasti akan mengecewakan beberapa orang.
