Phishing voor gebruikers? De One Click Login Tool van Facebook gaat in tegen de beste beveiligingspraktijken.

Elke dag vergeten mensen op veel verschillende sites hun wachtwoord. En elke dag reageren deze sites op het vergeten wachtwoord van mensen? vragen, met behulp van functies zoals tweefactorauthenticatie om deze arme zielen weer in te loggen. Wat de meeste platforms What niet doen doen is koude e-mails sturen naar nietsvermoedende gebruikers met de vraag om opnieuw in te loggen. Maar Facebook is niet de meeste platforms.

Hoewel de One Click-functie van Facebook niet nieuw is, wordt er zelden over gesproken: bewaren voor verwarde gebruikers proberen omhoog te kijken of het een scam is. Het is een terechte vraag, vooral in het licht van de meest recente inbreuk op de beveiliging van Facebook, waarbij hackers een bug in de code van het platform gebruikten om toegang te krijgen tot miljoenen gebruikersaccounts. Experts zeggen dat de hack waarschijnlijk zal leiden tot: een toename van phishing-aanvallen . Terwijl One Click in feite echt is en niet een phishing-zwendel, het zit vol met onveilige beveiligingspraktijken - misschien allemaal in de naam van het genereren van Facebook-gebruikersaantallen. Ik nam contact op met Facebook om te vragen wanneer One Click werd gelanceerd en waarom. Ik kreeg geen antwoord op die specifieke vragen, maar nadat ik een voorbeeld van een One Click-e-mail naar het bedrijf had gestuurd, bevestigde een vertegenwoordiger dat deze afkomstig was van het sociale netwerk. De vertegenwoordiger wees me ook in de richting van de pagina Beveiligingsinstellingen van Facebook, waar: gebruikers kunnen bevestigen of Facebook hen een e-mail heeft gestuurd .



Die tool is handig, vooral omdat gebruikers die een e-mail met One Click-toegang van Facebook ontvangen, worden begroet door de nogal verdacht uitziende beveiliging@facebookmail.com adres. In de e-mail wordt uitgelegd dat Facebook heeft gemerkt dat de gebruiker problemen had met inloggen. De notitie gaat vergezeld van een knop met de tekst: Inloggen met één klik. Klik erop en de gebruiker wordt automatisch weer ingelogd op Facebook. (Facebook vraagt ​​gebruikers ook om het bedrijf te laten weten als de mislukte poging om in te loggen niet van hen afkomstig is.)



Alles over de One Click-methode lijkt oplichterij, van het e-mailachtervoegsel @facebookmail.com tot de wachtwoordloze invoer. Het verzenden van een inloglink met één klik via e-mail is al erg genoeg, maar ook het ongevraagd verzenden van die e-mail is een extreem slechte beveiligingspraktijk, Mark Burnett, een beveiligingsadviseur en auteur van Perfecte wachtwoorden: selectie, bescherming en authenticatie , vertelde me via e-mail. Ten eerste zou Facebook niet weten of het e-mailadres van de ontvanger nog steeds geldig is, of dat andere mensen behalve de gebruiker er toegang toe hebben. Ook, zegt Burnett, hoewel een link met één klik in sommige gevallen een minimaal acceptabele manier is om in te loggen, zou het venster waarvoor die link geldig is, erg klein moeten zijn, gemeten in minuten. [Facebook geeft niet] in de e-mails aan wanneer de link verloopt, maar het zou veel langer dan normaal moeten zijn - mogelijk meerdere dagen of meer - om gebruikers de kans te geven te reageren.

Burnett zegt dat het zeldzaam is dat technische platforms contact opnemen met gebruikers die niet inloggen, al dan niet omdat ze hun wachtwoord zijn vergeten. De meeste inlogsites werken in plaats daarvan als Tumblr, waar degenen die niet kunnen inloggen het e-mailadres invoeren dat aan het account is gekoppeld en een inloglink via e-mail aanvragen. Het is belangrijk, zegt Burnett, dat de gebruiker het verzoek heeft gestart en dat de link vrij snel verloopt. Facebook biedt deze optie aan uitgesloten gebruikers, maar het lijkt erop dat One Click een alternatief is voor het veiligere, door de gebruiker geïnitieerde model. Het opnieuw instellen van wachtwoorden zou een beproefd proces met meerdere stappen moeten omvatten dat een of andere vorm van zachte authenticatie omvat, zoals het beantwoorden van een vraag of het verstrekken van informatie, zegt Burnett. Met andere woorden, iets veiliger dan alleen op een knop klikken.



En het is niet alleen de boodschapper, maar ook de boodschap zelf die lastig is. Burnett zegt dat de One Click-e-mail overeenkomsten vertoont met phishing-zwendel. Deze e-mails druisen in tegen alle best practices die we in de beveiligingsindustrie al jaren proberen bij bedrijven in te voeren, zegt Burnett. Houd zaken als domeinnamen consistent, vermijd inloglinks en stel duidelijk vast wanneer u contact opneemt met gebruikers over hun account.

Het ontvangen van een ongevraagde e-mail van Facebook is ongebruikelijk: in feite zei het sociale netwerk dat in plaats van e-mailgebruikers die getroffen zijn door de meest recente inbreuk op de beveiliging, het in plaats daarvan een bericht boven op de nieuwsfeeds van gebruikers zou plaatsen. Burnett zegt over One Click: het is bijna alsof het is ontworpen door iemand zonder echte beveiligingstraining.

Het antwoord op Waarom één klik? lijkt duidelijk: Facebook wil gebruikers behouden, misschien nu meer dan ooit, in de nasleep van #VerwijderFacebook en een patroon van afnemend gebruikersnummers . NAAR Bloomberg-verhaal onderzocht vanaf begin dit jaar de vele manieren waarop het sociale netwerk gebruikers probeert te behouden of terug te lokken. Een man die voor het verhaal werd geïnterviewd, had Facebook van zijn telefoon verwijderd en logde zelden in; uiteindelijk kreeg hij een One Click-e-mail. Hij had echter niet geprobeerd in te loggen en hij betwijfelde of iemand anders dat had gedaan. De inhoud van de e-mail die ze sturen, probeert je in wezen te misleiden, zei [Rishi] Gorantala. Zoals iemand probeerde toegang te krijgen tot mijn account, dus ik zou moeten gaan inloggen.



Belsignaal schrijver Danny Heifetz had een soortgelijke ervaring en was op dezelfde manier achterdochtig. Ik vergat mijn wachtwoord, was geïrriteerd, besloot dat ik een pauze nam van Facebook en bleef uitgelogd, zegt hij. Pas na herhaalde agressieve e-mails van Facebook met updates over wat hij miste, ontving hij het One Click-bericht dat hij zijn wachtwoord toch niet nodig had. Dus na een paar weken me te hebben gesmeekt om in te loggen, negeerde [Facebook] in feite wachtwoorden helemaal. Het verbaasde me.

Emmanuel Schalit, de CEO van Dashlane, een wachtwoordbeheersysteem dat kan worden gebruikt in plaats van Facebook Connect (de tool voor eenmalige aanmelding van Facebook die op internet beschikbaar is) om in te loggen op verschillende accounts, zegt dat zijn bedrijf en Facebook in wezen proberen om hetzelfde probleem op verschillende manieren oplossen. Facebook heeft deze grote, gigantische kluis voor honderden miljoenen gebruikers waar ze ieders inloggegevens opslaan in één grote kluis, die ze controleren en beveiligen, zegt hij. En als ze dat eenmaal hebben gedaan, kunnen mensen, telkens wanneer een site of app compatibel is met de Facebook-inlogmethode, inloggen zonder iets in te voeren. Het is erg handig. Het probleem ermee is dat als die ene gigantische kluis wordt geschonden, zoals zojuist is gebeurd, de inloggegevens van iedereen worden gelekt, en zonder dat je het weet, kan iemand verbinding maken met Uber of met een andere app die de Facebook-inlogmethode gebruikt. Dashlane pakt het anders aan en decentraliseert gebruikersgegevens zodat alleen de gebruiker er toegang toe heeft. Het is moeilijker en vergt meer rekenkracht om een ​​gedecentraliseerd systeem te gebruiken (wat een reden is waarom Dashlane opties heeft betaald, terwijl Facebook gratis is), maar het is helemaal veiliger.

Weet je, we hebben ook gebruikers van Dashlane die niet meer betrokken zijn. Dat gebeurt met elk product, zegt Schalit. Maar Dashlane stuurt geen e-mail waarin gebruikers worden gevraagd om te klikken en weer in te loggen; door zijn aard kan het dat niet. Als iemand zijn wachtwoord is vergeten, kunnen we hem niet opnieuw aanmelden. We kunnen hem niet opnieuw inschakelen, zegt hij. Per definitie, met een echt identiteitsplatform, moet je, als je je wachtwoord verliest, helemaal opnieuw beginnen. We betalen daar elke dag de prijs voor, maar we accepteren die prijs omdat dat de prijs is van echt het vertrouwen van onze gebruikers.

Of Facebook's One Click nu een wanhopige poging is om het aantal actieve gebruikers te vergroten, een methode om gebruikers te waarschuwen voor inlogpogingen van buitenaf, of een combinatie van beide, het schuwt de beste beveiligingspraktijken om zijn doel te bereiken. Hun bedoeling is misschien niet slecht, want het is waar dat veel mensen hun wachtwoord vergeten, zegt Schalit. Maar de manier waarop ze het aanpakken, zeker na alles wat er met Facebook is gebeurd, kan de wenkbrauwen doen fronsen.

Interessante Artikelen

Populaire Berichten

De 25 beste films van 2020 (tot nu toe)

De 25 beste films van 2020 (tot nu toe)

Te oordelen naar de omslag: hoe de identiteitscrisis van de tijdschriftenindustrie zich afspeelt op de voorpagina

Te oordelen naar de omslag: hoe de identiteitscrisis van de tijdschriftenindustrie zich afspeelt op de voorpagina

Seizoen 2 van 'Fleabag' is een openbaring

Seizoen 2 van 'Fleabag' is een openbaring

New Music Fridays: Jay Rock en Rico Nasty Drop Albums en 2 Chainz Goes Bigger Than You

New Music Fridays: Jay Rock en Rico Nasty Drop Albums en 2 Chainz Goes Bigger Than You

De Everything Aaron Sorkin-ranglijst

De Everything Aaron Sorkin-ranglijst

Alles wat u moet weten over week 1 van het NFL-seizoen 2018

Alles wat u moet weten over week 1 van het NFL-seizoen 2018

The Rolling Stone Best 500 Albums List en de heiligverklaring van muziek. Plus, Katherine Waterston op 'The Third Day'.

The Rolling Stone Best 500 Albums List en de heiligverklaring van muziek. Plus, Katherine Waterston op 'The Third Day'.

'SNL' Seizoen 44 Check-in: de beste schetsen zijn degenen waar je nog niet over hebt gelezen op Twitter

'SNL' Seizoen 44 Check-in: de beste schetsen zijn degenen waar je nog niet over hebt gelezen op Twitter

Real Madrid heeft Barcelona op bijna alle manieren overtroffen

Real Madrid heeft Barcelona op bijna alle manieren overtroffen

Yus Your Illusion: Yusmeiro Petit en de goed verborgen kracht van Pitcher Deception

Yus Your Illusion: Yusmeiro Petit en de goed verborgen kracht van Pitcher Deception

De AAF is mislukt omdat alle voetbal in de Minor League dat doet

De AAF is mislukt omdat alle voetbal in de Minor League dat doet

Henrik Lundqvist gaat verder, maar hij zal altijd een koning zijn in New York

Henrik Lundqvist gaat verder, maar hij zal altijd een koning zijn in New York

Kendrick Lamar is terug en precies op tijd

Kendrick Lamar is terug en precies op tijd

Derrick Henry tart niet alleen de voetbalgeschiedenis. Hij maakt het.

Derrick Henry tart niet alleen de voetbalgeschiedenis. Hij maakt het.

De hoogtepunten van het NFL-schema voor 2018

De hoogtepunten van het NFL-schema voor 2018

King Clemson: hoe een Alabama-route door de eeuwen heen een nieuwe dag in het universiteitsvoetbal inluidde

King Clemson: hoe een Alabama-route door de eeuwen heen een nieuwe dag in het universiteitsvoetbal inluidde

Wat 'Black Widow' achterlaat - en wat het belooft voor de toekomst

Wat 'Black Widow' achterlaat - en wat het belooft voor de toekomst

Lonzo Ball is klaar voor zijn close-up

Lonzo Ball is klaar voor zijn close-up

De Kanye West-waan

De Kanye West-waan

Hoe verkiezingsdag dakloosheid in San Francisco veranderde in een referendum over Big Tech

Hoe verkiezingsdag dakloosheid in San Francisco veranderde in een referendum over Big Tech

Hoe zal tennis overleven zonder zijn supersterren?

Hoe zal tennis overleven zonder zijn supersterren?

Families en vrienden zijn de NBA-bubbel binnengegaan

Families en vrienden zijn de NBA-bubbel binnengegaan

'Lady Bird' en 'Get Out' ontvangen de hoogste eer bij de New York Film Critics Circle Awards

'Lady Bird' en 'Get Out' ontvangen de hoogste eer bij de New York Film Critics Circle Awards

Het echte muziekstadwonder van de Titans? Nashville winnen

Het echte muziekstadwonder van de Titans? Nashville winnen

Week 2 NFL Picks Against the Spread

Week 2 NFL Picks Against the Spread

Een Summer League MVP Award betekent niets

Een Summer League MVP Award betekent niets

Het voetbalteam dat weigert om Moneyball te spelen

Het voetbalteam dat weigert om Moneyball te spelen

Het genie van Bill Walsh

Het genie van Bill Walsh

Waarom is Joe Biden van Jim Carrey zo'n ramp geweest?

Waarom is Joe Biden van Jim Carrey zo'n ramp geweest?

Er was een dorp voor nodig om het geld naar de finale te krijgen

Er was een dorp voor nodig om het geld naar de finale te krijgen

'The Old Guard' is een oase in de zomerblockbusterwoestijn van 2020

'The Old Guard' is een oase in de zomerblockbusterwoestijn van 2020

Een opgeblazen oproep verpletterde de heiligen, stuurde de rammen naar de Super Bowl en legde de dienstdoende crisis van de NFL bloot

Een opgeblazen oproep verpletterde de heiligen, stuurde de rammen naar de Super Bowl en legde de dienstdoende crisis van de NFL bloot

Danny DeVito, Nooit met pensioen (Bitch)

Danny DeVito, Nooit met pensioen (Bitch)

Russische machine Alexander Ovechkin is nog steeds niet kapot

Russische machine Alexander Ovechkin is nog steeds niet kapot

Trump heeft CNN tot het breekpunt gepest

Trump heeft CNN tot het breekpunt gepest