Hack Facebook Mendedahkan Peril Dari Menggunakan Akaun Tunggal Untuk Log In Untuk Perkhidmatan Lain

Hack Facebook Mendedahkan Peril Dari Menggunakan Akaun Tunggal Untuk Log In Untuk Perkhidmatan Lain
Terdapat beberapa kesan aliran dari hack Facebook baru-baru ini.
Shutterstock

Facebook mengumumkan pada hari Jumaat bahawa pasukan kejuruteraannya telah menemui isu keselamatan yang menjejaskan hampir akaun 50 juta. Disebabkan kecacatan dalam kod Facebook, penggodam dapat mengambil alih akaun dan menggunakannya dengan cara yang sama seperti jika anda telah login ke akaun dengan kata laluan.

Syarikat itu berkata ia kini telah membetulkan masalah dalam kodnya dan menetapkan semula token akses untuk akaun tersebut - bersama dengan 40 juta akaun lain yang terdedah kepada kecacatan. Sekiranya anda mendapati diri anda telah dilog keluar dari akaun Facebook anda minggu lalu, kemungkinan anda terjejas.

Di luar itu, sedikit diketahui tentang sejauh mana pelanggaran keselamatan. Dalam kemas kini keselamatan, Facebook berkata:

"Memandangkan kami baru sahaja memulakan siasatan kami, kami masih belum menentukan sama ada akaun-akaun ini disalahgunakan atau apa-apa maklumat yang diakses, kami juga tidak tahu siapa yang berada di belakang serangan ini atau di mana mereka berada."

Apa maksudnya

Ini bukan pelanggaran data terburuk sehingga kini. Penghargaan itu dimiliki oleh biro kredit Equifax, yang mempunyai data peribadi yang dicuri dari akaun 147 juta orang. Namun, sayangnya untuk Facebook, terdapat beberapa kesan aliran dari hack baru-baru ini.

Pertama, pelanggaran itu boleh mengatasi Peraturan Perlindungan Data Umum Kesatuan Eropah (GDPR), yang diperkenalkan pada bulan Mei. Walaupun GDPR hanya berlaku untuk warganegara Eropah, penalti untuk pelanggaran data adalah teruk - sehingga 4% daripada perolehan global setiap pelanggaran.

Kedua, apa-apa akaun di platform lain yang menggunakan pengesahan Facebook juga berisiko. Itulah sebabnya kini amalan biasa untuk menggunakan satu akaun sebagai pengesahan automatik untuk menyambung ke platform lain, contohnya dengan menggunakan akaun Facebook untuk log masuk ke platform media sosial lain seperti Twitter, Spotify atau Instagram. Ini dikenali sebagai tanda tunggal (SSO).

Bagaimana kerja log masuk tunggal

Jika anda menyambung ke mana-mana sistem, anda memerlukan beberapa bentuk pengesahan - biasanya kelayakan login seperti nama pengguna dan pasangan kata laluan. Apabila anda mempunyai banyak sistem yang berbeza yang memerlukan semua kelayakan sebelum anda boleh menggunakannya, tiba-tiba anda dihadapkan dengan mengingati kata laluan sepuluh kata kunci (sangat panjang).

Sesetengah orang boleh melakukan ini, tetapi ramai yang tidak boleh. Dan kita masih mahu sistem selamat. Jika kita boleh menyambung ke satu sistem yang dipercayai oleh yang lain, dan menggunakan kata laluan sistem yang dipercayai, maka kita tidak perlu sepuluh kata laluan - hanya satu. Itulah prinsip di sebalik SSO.

Tetapi ini hanya berfungsi selagi sistem yang dipercayai selamat. Jika tidak, seorang penjenayah siber boleh menggunakan akaun yang digodam pada satu platform (dalam kes ini, Facebook), untuk mengakses mana-mana platform lain yang berkaitan.

Apa yang perlu anda lakukan

Pengesahan biasanya berfungsi kerana salah satu daripada tiga faktor:

* sesuatu yang anda tahu, seperti kata laluan

* sesuatu yang anda ada, seperti kad akses

* sesuatu yang anda, seperti cap jari.

Jelas, menggunakan lebih daripada satu faktor meningkatkan keselamatan. Dalam akaun Facebook anda, anda boleh memilih untuk menggunakan pengesahan dua faktor. Ini bermakna anda perlu memasukkan kata laluan anda ditambah kod yang dihantar kepada anda melalui mesej SMS apabila anda log masuk seterusnya.

Masa depan pengesahan

Selalunya terdapat ketegangan antara kebolehgunaan dan keselamatan. Orang mahu sistem selamat supaya identiti mereka tidak dicuri, dan mereka juga mahu sistem yang sama mudah diakses. SSO adalah percubaan untuk mengimbangi kebolehgunaan dan keselamatan, tetapi hack Facebook mendedahkan batasannya.

Ramai orang tidak suka kata laluan, jadi mereka memilih dengan mudah diingat, dan oleh itu mudah dipecahkan, kata laluan. Penjenayah siber mempunyai akses kepada senarai berjuta-juta kata laluan yang biasa (petunjuk: "Gandalf" tidak unik seperti yang anda fikirkan).

Token akses, seperti kad atau peranti fizikal lain (seperti yang digunakan oleh sesetengah bank, sebagai contoh) adalah penyelesaian - selagi anda tidak kehilangannya. Ia mungkin menggunakan sifat fizikal yang unik adalah cara terbaik ke hadapan. Lagipun, anda selalu membawa cap jari, iris atau suara anda dengan anda.

Mengenai PenulisPerbualan

Mike Johnstone, Penyelidik Keselamatan, Profesor Madya dalam Sistem Berdaya Diri, Universiti Edith Cowan

Artikel ini diterbitkan semula daripada Perbualan di bawah lesen Creative Commons. Membaca artikel asal.

Buku-buku yang berkaitan

{amazonWS: searchindex = Books; keywords = security internet; maxresults = 3}

enafarzh-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

ikuti InnerSelf pada

icon-facebooktwitter-iconrss-icon

Dapatkan Yang Terbaru Dengan E-mel

{Emailcloak = mati}