फेसबुक लगभग 2 बिलियन उपयोगकर्ताओं को सेवा प्रदान करता है, जिनमें से एक बिलियन से अधिक दैनिक आधार पर हैं। वे उपयोगकर्ता पूरी दुनिया में फैले हुए हैं, और उनमें से प्रत्येक का एक खाता है। उनमें से अधिकतर खाते केवल a . द्वारा संरक्षित हैं पासवर्ड , जिसका अर्थ है कि एक दुर्भावनापूर्ण व्यक्ति जो आपका ईमेल पता जानता है, को आपका खाता चुराने के लिए केवल एक और जानकारी की आवश्यकता है। फेसबुक के पास यह पता लगाने का कठिन काम है कि उन सभी उपयोगकर्ताओं को असुविधाजनक या भ्रमित किए बिना कैसे रोका जाए, जिनके सांस्कृतिक मानदंड और कंप्यूटर साक्षरता व्यापक रूप से भिन्न हैं
Facebook की सुरक्षा सुविधाओं में से एक दो-कारक प्रमाणीकरण है, जिसे आप के बारे में सुना होगा . 2FA (सामान्य संक्षिप्त नाम) उस स्थिति में भी आपके खाते की सुरक्षा कर सकता है जब कोई आपका पासवर्ड प्राप्त कर लेता है। 2FA आमतौर पर एसएमएस संदेश या Google प्रमाणक जैसे सुरक्षित ऐप के माध्यम से कार्यान्वित किया जाता है, हालांकि स्वर्ण मानक a भौतिक दूसरा कारक . विवरण सेवा से सेवा में बदलते हैं, लेकिन सामान्य 2FA प्रक्रिया इस तरह काम करती है: 1) आप अपना उपयोगकर्ता नाम और पासवर्ड दर्ज करें। 2) वेबसाइट या ऐप आपको दूसरी स्क्रीन पर ले जाता है, जहां आपसे आपके दूसरे कारक द्वारा उत्पन्न एक बार का कोड दर्ज करने के लिए कहा जाता है। वोइला, आप अंदर हैं!
लेकिन फेसबुक के अरबों विविध उपयोगकर्ताओं को याद रखें? उनमें से सभी ठीक प्रिंट को पढ़ने के लिए पर्याप्त ईमानदार नहीं हैं। यह पता चला है कि आप वास्तव में यह जाने बिना कि आप क्या कर रहे हैं, 2FA को सक्षम कर सकते हैं, और अंत में आपका खाता लॉक हो जाएगा। फेसबुक इसे लगभग उतना ही रोकना चाहता है, जितना कि वह हैकर्स को प्लेटफॉर्म पर आने से रोकना चाहता है।
इसलिए कंपनी उन उपयोगकर्ताओं की पेशकश करती है जो 2FA को सप्ताह भर की छूट अवधि में सक्षम करते हैं ताकि यह तय किया जा सके कि वे वास्तव में इसे चाहते हैं। यह वैकल्पिक है, लेकिन डिफ़ॉल्ट रूप से चयनित है। छूट की अवधि समाप्त होने से पहले, उपयोगकर्ता सामान्य की तरह लॉगिन करना चुन सकते हैं। ऐसा करने से 2FA बंद हो जाएगा।
हर कोई नहीं सोचता कि यह एक अच्छा विचार है।
यह उस तरह की गैर-जिम्मेदार, दिमागी सुरक्षा नीति है जो लोगों को परेशान करती है, @फेसबुक . इस बकवास को काट दो। सी.सी. @alexstamos pic.twitter.com/tVX7fczw37
-- Nadim Kobeissi (@kaepora) 25 मई, 2017
कुछ हद तक, यह पहली जगह में 2FA स्थापित करने के उद्देश्य को हरा देता है। एक हमलावर अभी भी आपके पासवर्ड का उपयोग करके आपके खाते में प्रवेश कर सकता है यदि वे अनुग्रह अवधि के भीतर हड़ताल करने का प्रबंधन करते हैं।
साइबर सुरक्षा समुदाय के कुछ विशेषज्ञ फेसबुक की डिज़ाइन पसंद को निराशाजनक पाते हैं। नदीम कोबेसी ?, जिन्होंने एन्क्रिप्टेड मैसेजिंग ऐप क्रिप्टोकैट बनाया, उसे बुलाया 'लोगों को नुकसान पहुंचाने वाली गैर-जिम्मेदार, दिमागी सुरक्षा नीति की तरह।' उन्होंने कहा, 'अविश्वसनीय। मैंने एक पूरा दिन इस बात की तह तक जाने की कोशिश में बिताया कि 2FA के बाद भी एक सामाजिक कार्यकर्ता का फेसबुक *असुरक्षित* क्यों रहा।' यह पता चला कि अनुग्रह अवधि अपराधी थी।
फेसबुक सुरक्षा इंजीनियर ब्रैड हिल सुर में सुर मिलाया यह कहने के लिए कि यह सुविधा 'उन लोगों की सुरक्षा के लिए है जो परिणामी चीजें करते समय निर्देशों को नहीं पढ़ते हैं,' यह इंगित करते हुए कि उपयोगकर्ताओं को इस बारे में एक विकल्प दिया जाता है कि क्या वे अनुग्रह अवधि चाहते हैं:
यह उन लोगों की सुरक्षा के लिए है जो परिणामी चीजें करते समय निर्देशों को नहीं पढ़ते हैं। pic.twitter.com/WHxoXSa4As
- हिलब्रैड (@हिलब्रैड) 25 मई, 2017
कोबीसी वापस मार दिया , 'यह आपको आश्चर्यचकित कर सकता है, लेकिन कुछ मेना-क्षेत्र के लोगों के साथ व्यवहार करते समय, उस बढ़िया प्रिंट के निहितार्थ उनके मॉडल का हिस्सा नहीं हैं।' किस पहाड़ी तक प्रतिक्रिया व्यक्त की , 'मैं वास्तव में आश्चर्यचकित नहीं हूं कि लगभग 2 अरब लोगों की आबादी में 2FA कैसे काम करता है, इसके लिए अलग-अलग मानसिक मॉडल हैं। मैं सचमुच हर दिन इसके बारे में सोचने में घंटों बिताता हूं। और मैं डेटा देखता हूं।' (कोबेसी ने अपनी सोच को और विस्तृत किया यहां ।)
फेसबुक के मुख्य सुरक्षा अधिकारी एलेक्स स्टामोस एक ट्वीटस्टॉर्म में विस्तृत : 'सीट बेल्ट के साथ, # 1 विफलता मोड 2FA का उपयोग नहीं किया जा रहा है। मुझे संदेह है कि किसी भी बड़े प्रदाता के पास एकल अंकों की पैठ से बेहतर है। तो क्या हम उन लोगों को दोष देते हैं जो सुरक्षा शुद्धतावादियों के उद्देश्य से कार्यक्षमता का उपयोग नहीं करना चुनते हैं, या क्या हम एक ऐसी प्रणाली तैयार करते हैं जो सभी के लिए काम करती है? [एंड-टू-एंड एन्क्रिप्शन] की तरह, 2FA एक ट्रिकल डाउन तकनीक है, जिसकी मांग और कार्यान्वयन विशेषज्ञों द्वारा किया जाता है, जो कोने के मामलों और विफलता मोड पर बहस करना पसंद करते हैं।'
उन्होंने आगे कहा, 'याद रखें कि विरोधी को भी वोट मिलता है। खातों को तुरंत पर्मा-लॉक करने की अनुमति देने से खाता अधिग्रहण में भी दुरुपयोग होगा।' दूसरे शब्दों में, हैकर्स जो किसी खाते का नियंत्रण जब्त करते हैं, वैध उपयोगकर्ताओं को उनके खातों को पुनर्प्राप्त करने से रोकने के लिए 2FA सक्षम करेंगे। (बेशक, हैकर के लिए ग्रेस पीरियड का चुनाव करना अजीब होगा।)
जो लोग पर भरोसा करते हैं पासवर्ड प्रबंधक लंबे, अद्वितीय पासवर्ड बनाने और संग्रहीत करने के लिए उनके जोखिम को प्रभावी ढंग से सीमित कर रहे हैं। दूसरी ओर, जो लोग विभिन्न विभिन्न सेवाओं के लिए एक ही क्रेडेंशियल का बार-बार उपयोग करते हैं, उन्हें लक्षित करना बहुत आसान होता है, क्योंकि खाता और पासवर्ड डेटाबेस अक्सर उल्लंघन किया जाता है और डार्कनेट पर रिलीज हो गई।
फेसबुक को इसका एहसास होता है, इसलिए कंपनी यूजर्स को खुद को सुरक्षित रखने में मदद करने की कोशिश करती है। जाहिर है कि यह हैक होने वाले खातों की संख्या को कम करना चाहता है।
दुर्भावनापूर्ण व्यक्ति के लिए 2FA द्वारा संरक्षित खाते को हाईजैक करना बहुत कठिन होता है (हालांकि चतुर सोशल इंजीनियरिंग, जिसमें आमतौर पर कंपनी के समर्थन प्रतिनिधि से संपर्क करना और उन्हें धोखा देना शामिल होता है, कभी-कभी चाल चल सकता है, और एसएमएस पूरी तरह सुरक्षित नहीं है ) अधिकांश हैकर बहुत सारे खातों को 'pwn' (खुद के लिए हैकर-बोलना) चाहते हैं और एक उपयोगकर्ता को अतिरिक्त समय और प्रयास समर्पित करने के इच्छुक नहीं हैं।
दूसरे शब्दों में, Facebook खातों को सुरक्षित रखना मानव व्यवहार को समझने के लिए उतना ही महत्वपूर्ण है जितना कि यह तकनीकी उपकरणों का निर्माण कर रहा है। जैसा कि इंजीनियर ब्रैड हिल ने कहा, जब आप अरबों उपयोगकर्ताओं के साथ काम कर रहे होते हैं, तो आपको अनुभव के कई अलग-अलग स्तरों और सुरक्षा को कैसे काम करना चाहिए, इसकी विभिन्न अवधारणाओं को समायोजित करना होगा। कोई भी 'एक आकार सभी फिट बैठता है' विकल्प कुछ लोगों को निराश करने के लिए बाध्य है।
