Facebook Hack rivela i pericoli dell'utilizzo di un singolo account per accedere ad altri servizi
Ci sono diversi effetti di flusso dal recente hack di Facebook.
Shutterstock

Facebook ha annunciato Venerdi che il suo team di ingegneri aveva scoperto un problema di sicurezza che riguardava quasi milioni di account 50. A causa di un difetto nel codice di Facebook, gli hacker sono stati in grado di rilevare un account e utilizzarlo nello stesso modo in cui lo si farebbe se si fosse connessi all'account con una password.

La società afferma di aver risolto il problema nel suo codice e reimpostare i token di accesso per tali account, insieme a 40 milioni di altri account vulnerabili alla vulnerabilità. Se ti sei trovato disconnesso dal tuo account Facebook la scorsa settimana, è probabile che tu ne sia stato colpito.

Oltre a ciò, si sa poco sull'entità della violazione della sicurezza. Nel suo aggiornamento sulla sicurezza, Facebook ha dichiarato:

"Dal momento che abbiamo appena iniziato le nostre indagini, non è ancora stato determinato se questi account sono stati utilizzati in modo improprio o se sono state accedute informazioni. Inoltre, non sappiamo chi si nasconda dietro questi attacchi o dove sono basati."


innerself iscriviti alla grafica


Cosa significa

Questa non è la peggiore violazione dei dati fino ad oggi. Quel riconoscimento spetta all'agenzia di credito Equifax, che ha rubato dati personali dai conti di 147 milione di persone. Ma, sfortunatamente per Facebook, ci sono diversi effetti di flusso dal recente hack.

In primo luogo, la violazione potrebbe incorrere nel regolamento generale sulla protezione dei dati dell'Unione europea (GDPR), che è stato introdotto a maggio. Sebbene il GDPR si applichi solo ai cittadini europei, le sanzioni per le violazioni dei dati sono severe - fino al 4% del fatturato globale per violazione.

Secondo, anche gli account su altre piattaforme che utilizzano la verifica di Facebook sono a rischio. Questo perché è ormai prassi comune utilizzare un account come verifica automatica per connettersi ad altre piattaforme, ad esempio utilizzando un account Facebook per accedere a un'altra piattaforma di social media come Twitter, Spotify o Instagram. Questo è noto come Single Sign-On (SSO).

Come funziona il single sign-on

Se ci si connette a qualsiasi sistema, è necessaria una qualche forma di autenticazione, solitamente una credenziale di accesso come una coppia di nomi utente e password. Quando hai molti sistemi diversi che richiedono tutte le credenziali prima di poterli utilizzare, all'improvviso ti troverai di fronte a dieci diverse password (idealmente molto lunghe).

Alcune persone possono farlo, ma molti non possono farlo. E vogliamo ancora che i sistemi siano sicuri. Se potessimo connetterci a un sistema che era considerato affidabile dagli altri e utilizzare la password del sistema fidato, non avremmo bisogno di dieci password, una sola. Questo è il principio alla base di SSO.

Ma funziona solo finché il sistema fidato è sicuro. In caso contrario, un criminale informatico potrebbe utilizzare l'account compromesso su una piattaforma (in questo caso, Facebook) per accedere a qualsiasi altra piattaforma connessa.

Cosa dovresti fare

L'autenticazione di solito funziona a causa di uno dei tre fattori:

* qualcosa che conosci, come una password

* qualcosa che hai, come una carta di accesso

* Qualcosa che sei, come un'impronta digitale.

Chiaramente, l'uso di più fattori aumenta la sicurezza. Nel tuo account Facebook, puoi scegliere di utilizzare l'autenticazione a due fattori. Ciò significa che dovrai inserire la tua password più un codice inviato tramite un messaggio SMS al prossimo accesso.

Il futuro della verifica

C'è sempre una tensione tra usabilità e sicurezza. Le persone vogliono che i sistemi siano sicuri in modo che le loro identità non vengano rubate e vogliono anche che gli stessi sistemi siano facilmente accessibili. SSO è un tentativo di bilanciare usabilità e sicurezza, ma l'hack di Facebook rivela i suoi limiti.

A molte persone non piacciono le password, quindi scelgono facilmente le password memorizzate e quindi facilmente infrangibili. I criminali informatici hanno accesso a elenchi di milioni di password comuni (suggerimento: "Gandalf" non è così unico come si potrebbe pensare).

I token di accesso, come le carte o altri dispositivi fisici (come quelli usati da alcune banche, ad esempio) sono una soluzione, a patto che non li perda. Potrebbe essere che usare un attributo fisico unico sia il modo migliore per andare avanti. Dopotutto, porti sempre con te le impronte digitali, l'iride o la voce.

L'autoreThe Conversation

Mike Johnstone, Ricercatore di sicurezza, professore associato in sistemi resilienti, Università di Edith Cowan

Questo articolo è ripubblicato da The Conversation sotto una licenza Creative Commons. Leggi il articolo originale.

libri correlati

at InnerSelf Market e Amazon