มีเอฟเฟกต์โฟลว์ออนหลายอย่างจากการแฮ็ค Facebook ล่าสุด Shutterstock

Facebook ประกาศ เมื่อวันศุกร์ที่ทีมวิศวกรได้ค้นพบปัญหาด้านความปลอดภัยที่ส่งผลกระทบต่อบัญชีเกือบ 50 ล้านบัญชี เนื่องจากข้อบกพร่องในรหัสของ Facebook แฮกเกอร์จึงสามารถเข้าควบคุมบัญชีและใช้งานได้ในลักษณะเดียวกับที่คุณทำหากคุณลงชื่อเข้าใช้บัญชีด้วยรหัสผ่าน

บริษัทกล่าวว่าขณะนี้ได้แก้ไขปัญหาในรหัสและรีเซ็ตโทเค็นการเข้าถึงสำหรับบัญชีเหล่านั้นแล้ว พร้อมกับบัญชีอื่นๆ อีก 40 ล้านบัญชีที่เสี่ยงต่อข้อบกพร่อง หากคุณพบว่าตัวเองออกจากระบบบัญชี Facebook เมื่อสัปดาห์ที่แล้ว เป็นไปได้ว่าคุณได้รับผลกระทบ

นอกจากนั้น ยังไม่ค่อยมีใครทราบเกี่ยวกับขอบเขตของการละเมิดความปลอดภัย ในการอัปเดตความปลอดภัย Facebook กล่าวว่า:

“ตั้งแต่เราเพิ่งเริ่มการสอบสวน เรายังไม่ได้ตรวจสอบว่าบัญชีเหล่านี้ถูกใช้ในทางที่ผิดหรือมีการเข้าถึงข้อมูลใด ๆ เรายังไม่ทราบว่าใครอยู่เบื้องหลังการโจมตีเหล่านี้หรืออยู่ที่ไหน”

มันหมายถึงอะไร

นี่ไม่ใช่การละเมิดข้อมูลที่เลวร้ายที่สุดในปัจจุบัน รางวัลนั้นเป็นของสำนักเครดิต Equifax ซึ่งมีข้อมูลส่วนบุคคลที่ถูกขโมยจากบัญชีของ 147 ล้านคน. แต่น่าเสียดายสำหรับ Facebook ที่มีผลกระทบหลายอย่างจากการแฮ็กล่าสุด

ประการแรก การละเมิดอาจดำเนินการตามระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (GDPR) ซึ่งเปิดตัวในเดือนพฤษภาคม แม้ว่า GDPR จะใช้กับพลเมืองยุโรปเท่านั้น แต่บทลงโทษสำหรับการละเมิดข้อมูลนั้นรุนแรง – มากถึง 4% ของมูลค่าการซื้อขายทั่วโลกต่อการละเมิด

ประการที่สอง บัญชีใด ๆ บนแพลตฟอร์มอื่นที่ใช้การยืนยันด้วย Facebook ก็มีความเสี่ยงเช่นกัน นั่นเป็นเพราะว่าตอนนี้เป็นเรื่องปกติที่จะใช้บัญชีหนึ่งเป็นการยืนยันอัตโนมัติเพื่อเชื่อมต่อกับแพลตฟอร์มอื่น ๆ เช่น การใช้บัญชี Facebook เพื่อลงชื่อเข้าใช้แพลตฟอร์มโซเชียลมีเดียอื่น เช่น Twitter, Spotify หรือ Instagram สิ่งนี้เรียกว่าการลงชื่อเพียงครั้งเดียว (SSO)

การลงชื่อเพียงครั้งเดียวทำงานอย่างไร

หากคุณเชื่อมต่อกับระบบใดๆ คุณต้องมีรูปแบบการรับรองความถูกต้อง ซึ่งโดยปกติแล้วจะเป็นข้อมูลรับรองการเข้าสู่ระบบ เช่น คู่ชื่อผู้ใช้และรหัสผ่าน เมื่อคุณมีระบบต่างๆ มากมายที่ต้องใช้ข้อมูลประจำตัวทั้งหมดก่อนที่คุณจะสามารถใช้งานได้ จู่ๆ คุณก็ต้องเผชิญกับการจำรหัสผ่านที่แตกต่างกันสิบแบบ (ซึ่งยาวมากในอุดมคติ)

บางคนสามารถทำได้ แต่หลายคนทำไม่ได้ และเรายังคงต้องการให้ระบบมีความปลอดภัย หากเราสามารถเชื่อมต่อกับระบบหนึ่งที่ระบบอื่นเชื่อถือ และใช้รหัสผ่านของระบบที่เชื่อถือ เราก็ไม่จำเป็นต้องใช้รหัสผ่านสิบรหัส – แค่รหัสผ่านเดียว นั่นคือหลักการเบื้องหลัง SSO

แต่จะใช้งานได้ตราบใดที่ระบบที่เชื่อถือได้นั้นปลอดภัย หากไม่เป็นเช่นนั้น อาชญากรไซเบอร์สามารถใช้บัญชีที่ถูกแฮ็กบนแพลตฟอร์มเดียว (ในกรณีนี้คือ Facebook) เพื่อเข้าถึงแพลตฟอร์มที่เชื่อมต่ออื่นๆ

สิ่งที่คุณควรทำ

การรับรองความถูกต้องมักจะทำงานได้เนื่องจากหนึ่งในสามปัจจัย:

* สิ่งที่คุณรู้ เช่น รหัสผ่าน

* สิ่งที่คุณมี เช่น บัตรเข้าใช้งาน

* สิ่งที่คุณเป็น เช่น ลายนิ้วมือ

เห็นได้ชัดว่าการใช้มากกว่าหนึ่งปัจจัยช่วยเพิ่มความปลอดภัย ในบัญชี Facebook ของคุณ คุณสามารถเลือกใช้การตรวจสอบสิทธิ์แบบสองปัจจัยได้ ซึ่งหมายความว่าคุณจะต้องป้อนรหัสผ่านพร้อมรหัสที่ส่งถึงคุณทางข้อความ SMS เมื่อคุณเข้าสู่ระบบครั้งถัดไป

อนาคตของการตรวจสอบ

มีความตึงเครียดระหว่างการใช้งานและความปลอดภัยอยู่เสมอ ผู้คนต้องการให้ระบบมีความปลอดภัยเพื่อไม่ให้ตัวตนของพวกเขาถูกขโมย และพวกเขาต้องการให้ระบบเดียวกันสามารถเข้าถึงได้ง่าย SSO เป็นความพยายามในการสร้างสมดุลระหว่างการใช้งานและความปลอดภัย แต่การแฮ็กของ Facebook เผยให้เห็นข้อจำกัด

หลายคนไม่ชอบรหัสผ่าน ดังนั้นพวกเขาจึงเลือกรหัสผ่านที่จำง่าย และรหัสผ่านที่แตกง่าย อาชญากรไซเบอร์สามารถเข้าถึงรายการรหัสผ่านทั่วไปหลายล้านรายการ (คำใบ้: “แกนดัล์ฟ” ไม่ได้มีเอกลักษณ์เฉพาะอย่างที่คุณคิด)

โทเค็นการเข้าถึง เช่น การ์ดหรืออุปกรณ์ทางกายภาพอื่นๆ (เช่น บางธนาคาร เป็นต้น) เป็นวิธีแก้ปัญหา ตราบใดที่คุณไม่ทำหาย อาจเป็นได้ว่าการใช้แอตทริบิวต์ทางกายภาพเฉพาะเป็นวิธีที่ดีที่สุด เพราะคุณพกลายนิ้วมือ ม่านตา หรือเสียงติดตัวไปด้วยเสมอ

เกี่ยวกับผู้เขียน

ไมค์ จอห์นสโตน, นักวิจัยด้านความปลอดภัย, รองศาสตราจารย์ด้านระบบยืดหยุ่น, มหาวิทยาลัย Edith Cowan

บทความนี้ตีพิมพ์ซ้ำจาก สนทนา ภายใต้ใบอนุญาตครีเอทีฟคอมมอนส์ อ่าน บทความต้นฉบับ.

หนังสือที่เกี่ยวข้อง

at ตลาดภายในและอเมซอน