Facebook chce dodat váš internetový řidičský průkaz

Ačkoli to mnohým není zřejmé, Facebook se v procesu transformace z celosvětově nejpopulárnějšího webu sociálních sítí na kritickou součást infrastruktury internetové identity. Pokud se to podaří, stanou se účty na Facebooku a Facebooku ještě větším terčem hackerů.

Zatímco bezpečnostní profesionálové diskutují o tom, zda internet potřebuje vrstvu identity – jednotný protokol pro ověřování identit uživatelů – stále větší počet webů hlasuje pomocí svého kódu a přijímá Facebook Connect jako způsob, jak se může kdokoli s účtem na Facebooku přihlásit na web na adrese kliknutím na tlačítko.

Facebook představil Connect již v červenci 2008 a nabízí webům třetích stran nástroje pro koordinaci s uživatelskými informacemi, které Facebook uchovává, včetně přihlašovacích údajů. Webové stránky tak měly možnost umožnit uživatelům Facebooku identifikovat se se svou identitou na Facebooku.

Například prodejce webových statistik Alexa dává novým uživatelům možnost vytvořit si účet zadáním uživatelského jména a hesla nebo jednoduše kliknutím na tlačítko Connect with Facebook. Mezi známé weby, které také používají Connect, patří Internet Movie Database, Ask.com a ESPN. V roce 2011 téměř jistě naskočí další.

Systém identity Facebooku může velmi dobře poskytovat něco, co se VeriSign, Microsoft, Yahoo a Google stěží nabízejí: jeden řidičský průkaz pro internet. (To ponechává stranou otázku, zda je dobré, aby jedna společnost zastávala takovou mocenskou pozici.)

Díky jedinečné kombinaci faktorů se Facebook dobře hodí k tomu, aby byl úložištěm identity lidí na internetu. Na rozdíl od mnoha populárních webových stránek vyžaduje od uživatelů registraci a přihlášení. A Facebook podmínky služby vyžadují, aby uživatelé poskytli svá skutečná jména a informace – ve skutečnosti Facebook zrušil účty, které byly vytvořeny se zdánlivě falešnými jmény nebo pro fiktivní postavy. Vzhledem k tomu, že uživatelé Facebooku investují do svých účtů obrovské množství trvalého osobního obsahu – včetně fotografií, kontaktních informací a připojení k jejich sociální síti – je pravděpodobné, že si s webem udrží dlouhodobý vztah.

Toto přetrvávání skutečné identity staví Facebook do pozice, kdy může vyřešit jeden z nejnaléhavějších problémů dnešního internetu – šíření uživatelských jmen a hesel.

Na rozdíl od dnešní praxe neexistuje žádný důvod, aby většina webů nutila své uživatele k vytváření uživatelských jmen a hesel. Většina webů nepotřebuje nebo dokonce nechce nebo nepotřebuje spravovat identity svých uživatelů – chtějí jednoduše způsob, jak spolehlivě identifikovat své uživatele v průběhu času. Mediální weby například chtějí mít možnost přiřadit komentáře a omezit spam. Weby zaměřené na osobní finance chtějí uživatelům poskytnout způsob, jak bezpečně sledovat vysoce osobní informace – například portfolio akcií, které uživatel může zadat.

A co víc, udržování infrastruktury uživatelské identity má svá rizika – jak se minulý měsíc bolestně ukázalo, když hackeři pronikli na servery provozované společností Gawker Media a stáhli si uživatelská jména a hesla pro více než milion Gawkerových účtů. I když byla hesla zašifrována, mnohá z nich bylo snadné uhodnout, takže účty bylo možné snadno prolomit. analýza útoku bezpečnostními výzkumníky z University of Cambridge. Po útoku několik nesouvisejících webů, včetně LinkedIn a Woot, rozeslalo svým uživatelům e-mail s varováním, aby si změnili svá hesla, pokud jsou stejná jako pro Gawker.

Facebook Login umožňuje libovolné webové stránce na planetě používat její infrastrukturu identity – a základní bezpečnostní záruky. Je snadné implementovat Facebook Login, jednoduše přidáním několika řádků kódu na webový server. Po provedení této změny se uživatelům webu zobrazí tlačítko Connect with Facebook. Pokud jsou již přihlášeni k Facebooku (když nedávno navštívili stránku), stačí na ni kliknout a jsou přihlášeni. Pokud se v poslední době nepřihlásili, jsou vyzváni k zadání uživatelského jména a hesla na Facebooku.

Zajímavou vedlejší výhodou pro provozovatele webových stránek je, že Facebook Login poskytuje stránce skutečná jména uživatelů (ve většině případů) a volitelně řadu dalších informací, jako jsou přátelé a lajky uživatelů. V současné době Facebook neúčtuje webovým stránkám poplatky za používání jeho infrastruktury identity nebo přístup k těmto dodatečným informacím, i když Facebook by v budoucnu určitě mohl.

Facebook je již dobře obeznámen s problematikou zabezpečení internetu, jednoduše proto, že uchovává osobní údaje více než 500 milionů lidí. Zvýšené využívání platformy Facebook pro věci mimo sociální média – například banka na Novém Zélandu v listopadu oznámila, že zákazníkům umožní přístup k bankovním informacím na Facebooku – zjevně vyvolává nové obavy. A pokud společnost rozšíří svůj dosah a nabídne univerzální přihlášení na webu, výzvy, kterým bude pravděpodobně čelit, budou ještě větší.

V posledních několika letech Facebook podnikl kroky ke zlepšení zabezpečení své platformy několika způsoby.

Například minulý rok Facebook představil systém, který uživatelům umožňuje požádat o jednorázové heslo pro přihlášení z veřejného terminálu, který může mít nainstalovaný špionážní software pro protokolování úhozů. Uživatelé odešlou SMS zprávu obsahující písmena otp až 32665 (FBOOK) z registrovaného mobilního telefonu a servery Facebooku pošlou zpět heslo, které lze použít pouze jednou pro přihlášení k uživatelskému účtu. Teorie je taková, že nezáleží na tom, jestli hacker spouští sniffer hesel, protože heslo nebude fungovat podruhé.

Další novinkou je způsob, jakým Facebook umožňuje uživatelům sledovat různé webové prohlížeče a zařízení, ze kterých se k Facebooku přihlašují. Kliknutím na Nastavení účtu z rozbalovací nabídky a výběrem sekce Zabezpečení účtu mohou uživatelé Facebooku vidět všechna aktuálně ověřená zařízení, z nichž každé lze vzdáleně odhlásit – užitečné, pokud náhodou zůstanete přihlášeni na počítači svých rodičů. Můžete také nechat Facebook poslat upozornění SMS na váš mobilní telefon, kdykoli nové zařízení přistoupí k vašemu účtu na Facebooku. Samozřejmě, pokud uvidíte připojení ze stroje, který nepoznáváte, je čas změnit heslo.

Bohužel má Facebook stále dvě důležité zranitelnosti, díky nimž jsou jeho webové stránky výrazně méně bezpečné než u většiny amerických bank: spoléhání se na jediné uživatelské jméno a heslo pro získání přístupu k účtu a používání nešifrovaného souboru cookie pro sledování toho, které webové prohlížeče. jsou přihlášeni.

Kombinace uživatelského jména a hesla představuje slabinu. Účty na Facebooku mohou být kompromitovány útočníkem, který by mohl tyto informace ukrást z jiného webu – nebo je uhodnout tak, že zkusí mnoho kombinací za sebou (takzvaný útok hrubou silou).

Vybudovali jsme systémy na ochranu před těmito typy útoků hrubou silou, říká Simon Axten, mluvčí Facebooku. Pokud například zjistíme řadu podezřelých pokusů o přihlášení k danému účtu, budeme vyžadovat CAPTCHA a můžeme dokonce dočasně pozastavit přístup k účtu.

Facebook podle Axtena monitoruje řadu signálů, včetně polohy a zařízení, aby zjistil, kdy je účet vystaven trvalému útoku. Jakmile označíme pokus – a to i v případě, že byly zadány správné přihlašovací údaje – budeme od přihlašující osoby vyžadovat dodatečné ověření, například zodpovězením bezpečnostní otázky, zadáním kódu odeslaného prostřednictvím SMS nebo identifikací přátel. označené na fotografiích, ke kterým má vlastník účtu přístup.

Existují však způsoby, jak získat přístup k účtu uživatele na Facebooku i bez znalosti hesla. Je to proto, že Facebook používá něco, čemu se říká ověřovací soubor cookie ke sledování webového prohlížeče, když je přihlášen. Na rozdíl od hesel Facebooku, která jsou při odesílání přes internet zašifrována, se soubory cookie odesílají na nešifrované webové servery Facebooku pokaždé. počítač komunikuje se stránkou. To není velké riziko, pokud používáte pevné připojení k internetu nebo šifrované bezdrátové připojení v práci nebo doma. Pokud ale používáte Facebook přes nešifrovaný bezdrátový přístupový bod v kavárně nebo na letišti, někdo, kdo spouští na notebooku sniffer paketů, by mohl ukrást váš ověřovací soubor cookie a pak se přihlásit k Facebooku jako vy.

Takové šňupání bylo snazší než kdy jindy loni na podzim, kdy Eric Butler, nezávislý vývojář webových aplikací a softwaru v Seattlu, vydal zásuvný modul pro Firefox s názvem Ohnivá ovce který proces automatizuje. S Firesheep spuštěným ve Firefoxu získáte seznam všech ověřovacích souborů cookie, které byly načteny: stačí kliknout na název účtu a – tady – přistupujete k uživatelskému účtu, aniž byste se museli přihlašovat.

Jediným způsobem, jak se v současnosti chránit před šňupáním souborů cookie, je přístup na Facebook pomocí šifrovaného připojení na adrese https://ssl.facebook.com/ . Podle Axtena server stále prochází testováním a v nadcházejících měsících bude více propagován jako volitelná možnost. Dodává: Jako vždy lidem doporučujeme, aby byli opatrní při odesílání nebo přijímání informací přes nezabezpečené sítě Wi-Fi.

Axten říká, že Facebook čelí bezpečnostní výzvě, které čelilo jen málo, pokud vůbec nějaká, jiných společností nebo dokonce vlád – chrání více než 500 milionů lidí pomocí služby, která je neustále napadána. Skutečnost, že méně než jedno procento uživatelů Facebooku se někdy setkalo s bezpečnostním problémem na webu, je významný úspěch, na který jsme velmi hrdí.

skrýt