Facebook wil uw internetrijbewijs leveren

Hoewel het voor velen niet duidelijk is, is Facebook bezig zichzelf te transformeren van 's werelds populairste sociale-mediawebsite naar een cruciaal onderdeel van de identiteitsinfrastructuur van internet. Als het lukt, worden Facebook en Facebook-accounts een nog groter doelwit voor hackers.





Terwijl beveiligingsprofessionals debatteren over de vraag of internet een identiteitslaag nodig heeft - een uniform protocol voor het verifiëren van de identiteit van gebruikers - stemmen steeds meer websites met hun code en gebruiken Facebook Connect als een manier voor iedereen met een Facebook-account om in te loggen op de site op een klik op de knop.

Facebook introduceerde Connect in juli 2008 en bood websites van derden tools aan om te coördineren met de gebruikersinformatie die Facebook bezit, inclusief logins. Zo hadden websites de mogelijkheid om Facebook-gebruikers toe te staan ​​zich te identificeren met hun Facebook-identiteit.

Zo geeft Alexa, leverancier van webstatistieken, nieuwe gebruikers de keuze om een ​​account aan te maken door een gebruikersnaam en wachtwoord in te voeren of door simpelweg op de knop Verbinden met Facebook te klikken. Bekende websites die ook gebruikmaken van Connect zijn de Internet Movie Database, Ask.com en ESPN. Anderen zullen in 2011 vrijwel zeker op de kar springen.



Het identiteitssysteem van Facebook kan heel goed iets bieden waar VeriSign, Microsoft, Yahoo en Google allemaal moeite mee hebben gehad: een enkel rijbewijs voor internet. (Dit laat de vraag buiten beschouwing of het een goede zaak is dat één bedrijf zo'n machtspositie bekleedt.)

Een unieke combinatie van factoren maakt Facebook zeer geschikt om de repository te zijn voor de identiteit van mensen op internet. In tegenstelling tot veel populaire websites, moeten gebruikers zich registreren en inloggen. En Facebook's servicevoorwaarden vereisen dat gebruikers hun echte namen en informatie verstrekken - inderdaad, Facebook heeft accounts beëindigd die zijn gemaakt met schijnbaar valse namen of voor fictieve personages. Omdat Facebook-gebruikers hun accounts voorzien van een enorme hoeveelheid duurzame persoonlijke inhoud, waaronder foto's, contactgegevens en verbindingen met hun sociale netwerk, zullen ze waarschijnlijk een langdurige relatie met de site behouden.

Deze hardnekkigheid van echte identiteit stelt Facebook in staat om een ​​van de meest urgente problemen op het internet van vandaag op te lossen: de wildgroei aan gebruikersnamen en wachtwoorden.



In tegenstelling tot wat tegenwoordig gebruikelijk is, is er voor de meeste websites geen reden om hun gebruikers te dwingen gebruikersnamen en wachtwoorden aan te maken. De meeste websites hebben de identiteit van hun gebruikers niet nodig of willen deze zelfs niet beheren - ze willen gewoon een manier om hun gebruikers in de loop van de tijd betrouwbaar te identificeren. Mediawebsites willen bijvoorbeeld reacties kunnen toekennen en spam kunnen beperken. Personal-finance-websites willen gebruikers een manier bieden om zeer persoonlijke informatie veilig te controleren, bijvoorbeeld een portefeuille met aandelen die de gebruiker kan invoeren.

Bovendien brengt het onderhouden van een gebruikersidentiteitsinfrastructuur risico's met zich mee, zoals vorige maand pijnlijk duidelijk werd toen hackers inbraken in servers van Gawker Media en de gebruikersnamen en wachtwoorden downloadden voor meer dan een miljoen Gawker-accounts. Hoewel de wachtwoorden gecodeerd waren, waren veel ervan gemakkelijk te raden, zodat de accounts gemakkelijk konden worden gekraakt, aldus een analyse van de aanval door beveiligingsonderzoekers van de Universiteit van Cambridge. Na de aanval stuurden verschillende niet-gerelateerde websites, waaronder LinkedIn en Woot, een e-mail naar hun gebruikers om hen te waarschuwen hun wachtwoord te wijzigen als dit dezelfde was als die voor Gawker.

Met Facebook Login kan elke website ter wereld zijn identiteitsinfrastructuur en onderliggende beveiligingsmaatregelen gebruiken. Het is eenvoudig om Facebook Login te implementeren, simpelweg door een paar regels code toe te voegen aan een webserver. Zodra die wijziging is aangebracht, zien de gebruikers van de site een knop Verbinden met Facebook. Als ze al zijn ingelogd op Facebook (nadat ze onlangs de site hebben bezocht), kunnen ze er gewoon op klikken en zijn ze binnen. Als ze niet recentelijk zijn ingelogd, wordt ze gevraagd om hun Facebook-gebruikersnaam en -wachtwoord.



Een interessant bijkomend voordeel voor website-exploitanten is dat Facebook Login de site de echte namen van gebruikers (in de meeste gevallen) en optioneel een verscheidenheid aan andere informatie biedt, zoals de vrienden en vind-ik-leuks van de gebruikers. Momenteel brengt Facebook geen kosten in rekening voor websites om zijn identiteitsinfrastructuur te gebruiken of toegang te krijgen tot deze aanvullende informatie, hoewel Facebook dat in de toekomst zeker zou kunnen doen.

Facebook is al goed bekend met internetbeveiligingsproblemen, simpelweg omdat het persoonlijke gegevens van meer dan 500 miljoen mensen bewaart. Het toegenomen gebruik van het Facebook-platform voor andere zaken dan sociale media – een bank in Nieuw-Zeeland bijvoorbeeld kondigde in november aan dat het klanten toegang zou geven tot bankgegevens op Facebook – roept duidelijk nieuwe zorgen op. En als het bedrijf zijn bereik uitbreidt om een ​​universele login op het web aan te bieden, zullen de uitdagingen waarmee het waarschijnlijk wordt geconfronteerd nog groter worden.

De afgelopen jaren heeft Facebook inderdaad stappen ondernomen om de beveiliging van zijn platform op verschillende manieren te verbeteren.



Vorig jaar introduceerde Facebook bijvoorbeeld een systeem waarmee gebruikers een eenmalig wachtwoord kunnen aanvragen om in te loggen vanaf een openbare terminal waarop mogelijk spionagesoftware voor het registreren van toetsaanslagen is geïnstalleerd. Gebruikers sturen een sms-bericht met de letters otp naar 32665 (FBOOK) vanaf een geregistreerde mobiele telefoon, en de servers van Facebook sturen een wachtwoord terug dat slechts één keer kan worden gebruikt om in te loggen op het account van de gebruiker. De theorie is dat het niet uitmaakt of een hacker een wachtwoordsniffer uitvoert, omdat het wachtwoord geen tweede keer werkt.

Een andere innovatie is de manier waarop Facebook gebruikers in staat stelt om de verschillende webbrowsers en apparaten te volgen van waaruit ze inloggen op Facebook. Door op de te klikken Account instellingen vervolgkeuzemenu en door het gedeelte Accountbeveiliging te selecteren, kunnen Facebook-gebruikers alle apparaten zien die momenteel zijn geverifieerd, waarvan elk op afstand kan worden uitgelogd - handig als je jezelf ingelogd laat op de computer van je ouders. Je kunt Facebook ook een sms-melding naar je mobiele telefoon laten sturen wanneer een nieuw apparaat toegang krijgt tot je Facebook-account. Als u een verbinding ziet van een machine die u niet herkent, is het natuurlijk tijd om uw wachtwoord te wijzigen.

Helaas heeft Facebook nog steeds twee belangrijke kwetsbaarheden die zijn website aanzienlijk minder veilig maken dan die van de meeste Amerikaanse banken: de afhankelijkheid van één gebruikersnaam en wachtwoord om toegang te krijgen tot een account, en het gebruik van een niet-versleutelde cookie om bij te houden welke webbrowsers zijn ingelogd.

De combinatie van gebruikersnaam en wachtwoord is een zwak punt. Facebook-accounts kunnen worden gecompromitteerd door een aanvaller die deze informatie van een andere site kan stelen - of het kan raden door veel combinaties achter elkaar te proberen (een zogenaamde brute-force-aanval).

We hebben systemen gebouwd om te beschermen tegen dit soort brute-force-aanvallen, zegt Simon Axten, een woordvoerder van Facebook. Als we bijvoorbeeld een aantal verdachte inlogpogingen voor een bepaald account detecteren, vragen we een CAPTCHA en kunnen we zelfs tijdelijk de toegang tot het account opschorten.

Facebook bewaakt een aantal signalen, waaronder locatie en apparaat, zegt Axten, om te bepalen wanneer een account wordt blootgesteld aan een aanhoudende aanval. Zodra we een poging hebben gemarkeerd, zelfs als de juiste inloggegevens zijn ingevoerd, vragen we de persoon die inlogt om aanvullende authenticatie te verstrekken door bijvoorbeeld een beveiligingsvraag te beantwoorden, een code in te voeren die via sms is verzonden of vrienden te identificeren getagd in foto's waartoe de accounteigenaar toegang heeft.

Desalniettemin zijn er manieren om toegang te krijgen tot iemands Facebook-account, zelfs zonder het wachtwoord te kennen. Dat komt omdat Facebook een authenticatiecookie gebruikt om een ​​webbrowser bij te houden wanneer deze is ingelogd. In tegenstelling tot Facebook-wachtwoorden, die worden gecodeerd wanneer ze via internet worden verzonden, worden de cookies elke keer naar de niet-gecodeerde webservers van Facebook een computer communiceert met de site. Dit is geen groot risico als u een bedrade internetverbinding of een gecodeerde draadloze verbinding op het werk of thuis gebruikt. Maar als u Facebook gebruikt via een niet-versleuteld draadloos toegangspunt in een coffeeshop of op een luchthaven, kan iemand die een pakketsniffer op een laptop uitvoert uw authenticatiecookie uit de lucht stelen en vervolgens inloggen op Facebook als u.

Dergelijk snuiven werd afgelopen herfst gemakkelijker dan ooit, toen Eric Butler, een freelance webapplicatie- en softwareontwikkelaar in Seattle, een Firefox-plug-in uitbracht met de naam Vuurschaap dat het proces automatiseert. Als Firesheep in Firefox wordt uitgevoerd, krijgt u een lijst met alle authenticatiecookies die zijn gesnoven: klik gewoon op de accountnaam en— alstublieft -u hebt toegang tot het account van de gebruiker zonder zelfs maar in te loggen.

Op dit moment is de enige manier om jezelf te beschermen tegen het snuiven van cookies, door toegang te krijgen tot Facebook via de versleutelde verbinding op https://ssl.facebook.com/ . Volgens Axten wordt de server nog steeds getest en zal deze de komende maanden op grotere schaal als optie worden gepromoot. Hij voegt eraan toe: Zoals altijd raden we mensen aan voorzichtig te zijn bij het verzenden of ontvangen van informatie via onbeveiligde wifi-netwerken.

Axten zegt dat Facebook wordt geconfronteerd met een beveiligingsuitdaging waar maar weinig of geen andere bedrijven of zelfs regeringen mee te maken hebben gehad: het beschermen van meer dan 500 miljoen mensen op een service die constant wordt aangevallen. Het feit dat minder dan één procent van de Facebook-gebruikers ooit een beveiligingsprobleem op de site is tegengekomen, is een belangrijke prestatie waar we erg trots op zijn.

zich verstoppen