Как стало известно, Facebook покупает пароли пользователей в темной сети, чтобы защитить их от киберпреступников.
Компания покупала украденные учетные данные, а затем сопоставляла их с пользователями в своей системе. советуя тем, кто использует скомпрометированный пароль для входа в систему, в целях их собственной безопасности не следует использовать дубликаты пароли.
«Повторное использование паролей является причиной вреда [номер один] в Интернете», — заявил директор по безопасности Facebook Алекс Стамос участникам веб-саммита в Лиссабоне. «Оказывается, мы можем создавать совершенно безопасное программное обеспечение, но люди все равно могут пострадать».
См. связанные
Он сказал, что поразительно видеть, как много людей используют один и тот же пароль для нескольких сервисов, несмотря на осознавая, что если их пароль украден из одного места, его можно использовать для входа в многочисленные услуги. Хотя вход в учетную запись Facebook с помощью украденного пароля, ситуация может быть более серьезной, если этот пароль используется для онлайн-банкинга или других конфиденциальных услуги.
Джаввад Малик, защитник безопасности AlienVault, сказал, что стратегия Facebook может быть рискованной и может фактически поощрять хакеров к осуществлению незаконной деятельности, вместо того, чтобы останавливать ее.
«Спорный аспект заключается в том, должен ли Facebook платить за свалку», — сказал он. «Этическая дилемма заключается в том, что, платя за сброс паролей, компании финансируют и поощряют преступников взламывать другие сайты, чтобы получить их пароли».
Существует еще один подход — динамический запрет паролей, который использует Microsoft. Такой подход не позволяет людям использовать легко угадываемые и часто используемые пароли, а также защищает от повторное использование паролей, поскольку те, которые были обнаружены в утечках, таких как взлом LinkedIn, затем добавляются в список запрещенных пароли.
Однако эта стратегия заметно отличается от стратегии Facebook тем, что она использует данные, свободно доступные в даркнете, а не покупает дампы паролей, что, по мнению Малика, является лучшим вариантом. «Необходим динамический запрет паролей», — сказал он. «В настоящее время при регистрации невозможно определить, использовался ли пароль повторно где-либо еще», что означает запрет паролей на регистрация, если они существуют в этих утекших списках, даже если они превышают требования провайдера к длине и мощности, более эффективен.
Джонатан Сандер, вице-президент по продуктовой стратегии Lieberman Software, тем временем считает, что решение Facebook скупить дампы данных может нанести ущерб его росту.
«Facebook во многом измеряет успех количеством пользователей на сайте. Если они усложняют людям начало работы, заставляя их использовать сложные пароли, они создают барьер для присоединения людей и помогают повысить этот ключевой показатель», — сказал он.
«Это классическая борьба между безопасностью и удобством использования. Все знают, что вам нужна хорошая безопасность, но какое бремя вы возлагаете на пользователя, чтобы ее получить?»
