Facebook从黑市购买用户账户?雅虎前任首席信息安全官出面解释

有报道称,Facebook为保护用户账户安全,正着手从地下黑市的黑客手中购买被其窃取的密码。这是什么情况?

Facebook与Yahoo的做法不同

据最近透露的消息,雅虎在2014年遭到严重攻击(该事件致5亿用户账户数据被黑)后,虽然知情,却并未通知用户。

与此成鲜明对比的是,Facebook在近期其他大公司安全丑闻缠身,遭遇数据泄露或窃取事件之时,却安然无恙,并且仍然不遗余力地保护用户安全。

在葡萄牙举行的2016全球网络峰会技术大会上,Facebook首席安全官Alex Stamos说,每天有超过13亿的人口在使用Facebook,相关的安全防护措施无非是构建防攻击软件,拒黑客于门外,但切实保障用户的安全却是一项艰巨的任务。

Stamos表示,

“安全防护”与“安全”不是一回事。他认为自己的团队能够“开发非常安全的软件,然而用户还是难免‘受伤’”。

Stamos是谁?

Stamos是雅虎的前任首席信息安全官,在2015年发现公司首席执行官玛丽莎·梅耶尔(Marissa Mayer)授权政府监控项目后离开了雅虎。

Stamos于2015年夏加入Facebook,现为这家社交网络公司安全团队的主要领导人。他说,在Facebook要处理的最头痛的问题是用户用来保护账户的密码。

复用密码是造成互联网安全问题的首要原因

“复用密码是造成互联网安全问题的首要原因,”这位安全主管说。用户名和密码系统最早可追溯至上世纪70年代。根据他的观点,这个系统到2016年已经失去其保护作用。

据CNET报道,当密码被大规模窃取并在黑市上交易后,说明有大量用户选择使用如“12345”和“password”这样的弱密码来保护他们的在线账户,这样他们的账户自然就更容易受攻击。

Facebook作为社交网络巨头,一直竭力帮助用户避免这个问题。

Facebook购买黑市用户账户是为了主动检测用户密码安全性

Stamos透露,为检查用户是否使用了常用密码登录其Facebook账户,公司从黑市购买密码,然后用网站上使用的加密密码与其做交叉检查。

在发现数千万用户密码安全强度不够,不能保护其账户安全后,Facebook提醒这些用户修改密码。

Facebook有一整套工具可用于加强账户安全,包括传统的双重认证、好友人脸识别以及机器学习算法,以判断账户操作是否为本人所做,若不是,则会通知用户。

系统始终会提醒用户启用双重认证,这个方法非常有效,即使在黑客窃取凭证后,对账户的控制权仍牢牢掌握在用户手中。

针对账户恢复,Facebook提供了一个新方法。使用这个方法后,即使黑客黑入用户的邮箱,通过重置密码控制了用户的Facebook账户,用户也可以通过好友进行账户恢复。

发表评论