最近のことと言っても過言ではないFacebookアクセストークンハッキングこれは完全に混乱しています。デバイスで Facebook アカウントに再度ログインしなければならないような単純な不便さをはるかに超えています。同社はまだ詳細を整理し、開発者が攻撃の影響を軽減する方法に取り組んでいますが、デジタル ライフをもう少しコントロールできるようにするためにできることが 3 つあります。
まず、Facebook によるハッキングに関する最新の分析を確認しましょう。
Facebookは大きな弾丸を回避するかもしれない
Facebookは攻撃の後遺症についてバラ色の絵を描く最新のブログ投稿。同社は「攻撃者がFacebookログインを使用してアプリにアクセスしたという証拠は見つかっていない」とし、「開発者が影響を受けた可能性のあるアプリのユーザーを手動で特定し、ログアウトできるようにするツールを構築している」としている。
確かに、Facebook のハッキングの結果、アカウントのセキュリティがかなり広範囲に崩壊することを (当然のことながら) 想定していたセキュリティ研究者らから、ここ数日間に渡って発表された悲観的な話よりは、耳が楽です。イリノイ大学シカゴ校のコンピューターサイエンス助教授であるジェイソン・ポラキス氏は、包括的な(そして今では頻繁に参照されている)本の中でいくつかの潜在的な問題を列挙しました。ツイッタースレッド:
このツイートは現在利用できません。読み込み中か削除された可能性があります。
このツイートは現在利用できません。読み込み中か削除された可能性があります。
しかし、ハッキングによって直接影響を受けた 5,000 万のアカウントについて、アクセスされたのであれば、どのようなデータがアクセスされたのかについては、依然として多くの疑問が残っています。そしてニューヨーク・タイムズ紙のようにファルハド・マンジューFacebook の大規模なセキュリティ侵害は、デジタル ツールベルトから Facebook を失格にするのに十分なはずであり、このサービスを使用したシングル サインオンはもう必要ないと主張します。
「これは典型的な、仕事が 1 つしかない状況です。ブルックリンのウォークアップで信頼できる監視員のように、Facebook はオンラインのすべての鍵の鍵を持ち歩くことを提案しました。この仕組みは便利でした。ボタンを押すだけで、いつでもスーパーマーケットがそこにありました。また、さまざまなサイト用に何十ものパスワードを作成して記憶するよりも安全でした。 Facebook には、キーを保護するために最高のセキュリティ担当者を雇用するという財政的および評判上のインセンティブがありました。オンライン上の小規模なサイトの多くはそうではありません。そして、それらがハッキングされたり、パスワードを他の場所で再利用したりすると、大きな被害を受けることになります。
しかし、大規模なハッキングはそれらの議論を蒸発させます。鍵を信頼していた企業が鍵を紛失した場合、鍵を別の場所に持ち出すことになります。そして、オンラインでサインオンするための、より安全で便利な方法がたくさんあります。」
これは素晴らしいアドバイスだと思いますし、さらに一歩進めることもできます。
Facebook のシングルサインオンを無効にする方法...など
まずはヒットアップFacebookの設定「アクティブなアプリとウェブサイト」の下にあるすべてのアプリを削除します。はい、それぞれです。きっと見逃せないでしょう。
さらに大きくすることもできます。 「環境設定」見出しの下の「アプリ、ウェブサイト、ゲーム」セクションで、「編集」をクリックし、「オフにする」をクリックします。 Facebook アカウントを使用して新しいサービスにサインインしようとする誘惑に駆られることはもうありません。それは機能しないからです。た、だ。
私は 3 番目の、もう少し極端な手段をお勧めします。 Gmail アカウントをまだお持ちでない場合は、アカウントにサインアップします。次に、新しいサービス (Twitter など) にサインアップするときに、そのサービスに変更した電子メール アドレスを指定します。[メールで保護されています]、 例えば。 Google はメール アドレスのプラス記号とその後に続くものをすべて無視しますが、Twitter のようなサービスはこれを完全な一意のメール アドレスと見なす必要があります。
その間に、Facebook のメール アドレスも独自のものに切り替えるか、単に[メールで保護されています]。理論上は、これは私がここで反論しているのですが、これにより、攻撃者が、あるサービスのアクセス トークンを使用して、別のサービスのアカウント (またはこれから作成されるアカウント) を操作することが、後者を設定したことがない場合には、より困難になるはずです。シングル サインオンでは、この 2 つの間に共通のリンクが存在しないためです。
少なくとも私は、考えるこれは、ジェイソン・ポラキスが以前にツイートした内容に対処するのに役立つはずです。ガーディアンここ:
「状況はさらに悪化します。アプリや Web サイトで Facebook のサインインを使用したことがない場合でも、両方のサービスで同じ電子メール アドレスを使用していれば、攻撃者はトークンを使用してユーザーとしてログインする可能性があるとポラキス氏は述べています。
また、これらのサービスのアカウントをまだ持っていない場合、攻撃者はトークンを使用してあなたの名前でアカウントを作成し、最終的にログインするまで待機して個人情報を盗むことができます。」
のようなツールを使用すると、LastPass または 1Passwordアカウントを追跡するために、どのサービスでどの変更メールを使用したかを思い出すのは難しくありません。 (パスワード マネージャーにも 2 要素認証を設定し、Facebook が対処しているようなとんでもないセキュリティ侵害に遭わないことを祈ってください。そうしないと、私たちは全員めちゃくちゃになってしまいます。)
