페이스북이 사이버 범죄자로부터 사용자를 보호하기 위해 다크웹에서 사용자 비밀번호를 구매하고 있는 것으로 밝혀졌습니다.
회사는 훔친 자격 증명을 구매한 후 자체 시스템에서 사용자와 대조해 왔으며, 유출된 비밀번호를 사용하는 사람들에게 로그인 시 자신의 안전을 위해 중복된 비밀번호를 사용하지 말라고 조언합니다. 비밀번호.
Facebook의 최고 보안 책임자인 Alex Stamos는 리스본에서 열린 Web Summit 참석자들에게 “비밀번호 재사용은 인터넷에서 피해를 입히는 가장 큰 원인입니다.”라고 말했습니다. "우리는 완벽하게 안전한 소프트웨어를 구축할 수 있지만 여전히 사람들이 다칠 수 있다는 것이 밝혀졌습니다."
관련 보기
그는 그럼에도 불구하고 얼마나 많은 사람들이 여러 서비스에 동일한 비밀번호를 사용하는지 보는 것이 충격적이라고 말했습니다. 자신의 비밀번호가 한 곳에서 도난당하면 여러 곳에 로그인하는 데 사용될 수 있다는 점을 알고 있어야 합니다. 서비스. 누군가가 도난당한 계정을 사용하여 Facebook 계정에 로그인하는 것이 생명에 해를 끼치지는 않을 수도 있습니다. 비밀번호, 해당 비밀번호가 온라인 뱅킹이나 기타 기밀에 사용되는 경우 더욱 심각해질 수 있습니다. 서비스.
AlienVault의 보안 옹호자인 Javvad Malik은 Facebook의 전략이 위험할 수 있으며 실제로 해커들이 불법 활동을 막는 대신 불법 활동을 수행하도록 조장할 수 있다고 말했습니다.
그는 “논란의 여지가 있는 부분은 페이스북이 쓰레기 처리 비용을 지불했어야 했는지 여부”라고 말했습니다. "윤리적 딜레마는 기업이 비밀번호 덤프 비용을 지불함으로써 범죄자들이 비밀번호를 얻기 위해 다른 사이트를 해킹하도록 자금을 지원하고 더욱 장려한다는 것입니다."
Microsoft에서 사용하는 또 다른 접근 방식인 동적 비밀번호 금지가 있습니다. 이 접근 방식은 사람들이 추측하기 쉽고 일반적으로 사용되는 비밀번호를 사용하는 것을 방지하고 LinkedIn 위반과 같은 유출에서 발견된 비밀번호는 금지된 비밀번호 목록에 추가되므로 비밀번호 재사용이 가능합니다. 비밀번호.
하지만 이 전략은 Malik이 더 나은 선택이라고 생각하는 비밀번호 덤프를 구매하는 대신 다크 웹에서 무료로 사용할 수 있는 데이터를 사용한다는 점에서 Facebook의 전략과 눈에 띄게 다릅니다. “동적으로 비밀번호를 금지하는 것이 필요합니다.”라고 그는 말했습니다. "현재로서는 비밀번호가 다른 곳에서 재사용되었는지 여부를 가입 시 확인할 수 있는 방법이 없습니다." 유출된 목록에 존재하는 경우, 제공자의 길이 및 강도 요구 사항을 초과하더라도 가입이 더 좋습니다. 효과적인.
Lieberman Software의 제품 전략 부사장인 Jonathan Sander는 Facebook의 데이터 덤프 매입 결정이 성장에 해로울 수 있다고 생각합니다.
“Facebook은 주로 사이트 사용자 수를 통해 성공을 측정합니다. 복잡한 비밀번호를 강요해 사람들이 시작하는 것을 어렵게 만든다면 사람들이 참여하고 핵심 지표를 높이는 데 장벽을 추가하는 것입니다.”라고 그는 말했습니다.
“보안과 유용성 사이의 고전적인 투쟁입니다. 좋은 보안이 필요하다는 것은 누구나 알고 있지만 이를 확보하기 위해 사용자에게 얼마나 많은 부담을 주고 있습니까?”
