最近の Facebook ハッキングによる影響はいくつかあります。 シャッターストック
Facebook 発表の 同社のエンジニアリングチームは金曜日、約50万のアカウントに影響を与えるセキュリティ問題を発見したと発表した。 Facebook のコードの欠陥により、ハッカーがアカウントを乗っ取り、パスワードを使用してアカウントにログインした場合と同じ方法でそのアカウントを使用することができました。
同社は現在、コードの問題を修正し、これらのアカウントと、この欠陥の影響を受けやすい他の 40 万のアカウントのアクセス トークンをリセットしたと述べています。 先週、Facebook アカウントからログアウトしたことに気付いた場合は、影響を受けている可能性があります。
それ以上、セキュリティ侵害の範囲についてはほとんどわかっていません。 Facebookはセキュリティアップデートで次のように述べた。
「調査を始めたばかりなので、これらのアカウントが悪用されたのか、情報がアクセスされたのかはまだ判明していません。また、これらの攻撃の背後に誰がいるのか、どこに拠点を置いているのかもわかりません。」
その意味
これはこれまでで最悪のデータ侵害ではありません。 この栄誉は信用調査会社エクイファックスのもので、エクイファックスは個人情報をアカウントから盗んだ。 147万人。 しかし、Facebook にとって残念なことに、最近のハッキングによる影響がいくつか波及しています。
まず、この違反は欧州連合の一般データ保護規則に違反する可能性があります (GDPR)4月に導入されました。 GDPR は欧州国民にのみ適用されますが、データ侵害に対する罰則は厳しく、侵害ごとに世界売上高の最大 XNUMX% となります。
次に、Facebook 認証を使用する他のプラットフォーム上のアカウントも危険にさらされます。 これは、現在では、Facebook アカウントを使用して Twitter、Spotify、Instagram などの別のソーシャル メディア プラットフォームにログインするなど、他のプラットフォームに接続するための自動認証として XNUMX つのアカウントを使用することが一般的になっているためです。 これはシングル サインオン (SSO) と呼ばれます。
シングル サインオンの仕組み
システムに接続する場合は、何らかの認証形式が必要です。通常は、ユーザー名とパスワードのペアなどのログイン資格情報が必要です。 さまざまなシステムがあり、それらを使用する前に資格情報が必要な場合、突然、XNUMX 個の異なる (理想的には非常に長い) パスワードを覚えなければならないという事態に直面します。
これができる人もいますが、多くの人はそれができません。 そして私たちは依然としてシステムが安全であることを望んでいます。 他のシステムから信頼されている XNUMX つのシステムに接続し、その信頼されたシステムのパスワードを使用できれば、XNUMX 個のパスワードは必要なく、XNUMX つだけで済みます。 これが SSO の背後にある原則です。
ただし、これは信頼できるシステムが安全である場合にのみ機能します。 そうでない場合、サイバー犯罪者は、あるプラットフォーム (この場合は Facebook) 上のハッキングされたアカウントを使用して、接続されている他のプラットフォームにアクセスする可能性があります。
何をすべきか
通常、認証は次の XNUMX つの要因のいずれかによって機能します。
* パスワードなど、知っているもの
* アクセスカードなど、お持ちのもの
* 指紋など、あなた自身に関するもの。
明らかに、複数の要素を使用するとセキュリティが向上します。 Facebook アカウントでは、XNUMX 要素認証の使用を選択できます。 つまり、次回ログインするときに、パスワードと SMS メッセージで送信されたコードを入力する必要があります。
検証の未来
ユーザビリティとセキュリティの間には常に緊張関係があります。 人々は、自分のアイデンティティが盗まれないようにシステムが安全であることを望んでいます。また、同じシステムに簡単にアクセスできることも望んでいます。 SSO は使いやすさとセキュリティのバランスをとる試みですが、Facebook のハッキングによってその限界が明らかになりました。
多くの人はパスワードが好きではないため、覚えやすく、したがって簡単に破られやすいパスワードを選択します。 サイバー犯罪者は、何百万もの一般的なパスワードのリストにアクセスできます (ヒント: 「ガンダルフ」は、あなたが思っているほどユニークではありません)。
カードやその他の物理デバイス (一部の銀行で使用されているものなど) などのアクセス トークンは、紛失しない限り解決策となります。 固有の物理的属性を使用することが最善の方法である可能性があります。 結局のところ、指紋、虹彩、または声は常に持ち歩きます。
著者について
マイクジョンストン、セキュリティ研究者、レジリエントシステム准教授、 エディスコーワン大学
この記事はから再公開されます 会話 クリエイティブコモンズライセンスの下で 読む 原著.
関連書籍
at InnerSelfMarketとAmazon