Manapság sokfelé olvasni vagy hallani hétköznapi emberek szájából, hogy feltörték a facebook fiókjukat. Valljuk be, hogy arra, hogy egy komoly hacker neki essen a facebooknak, nincs túl nagy valószínűsége, inkább az áldozat nem volt kellően figyelmes.
Érdemes facebook fiókot "feltörni"? Nem. Egyszerűen túl időigényes. Miért? Mert a facebook alapvetően egy jól működő rendszer. Ha a jelszavunkat nem adjuk ki a kezünkből, akkor az nem is fog eljutni másokhoz. Ha tehát valaki megtudja a jelszavunkat, akkor arról általában mi magunk tehetünk. Mi történik, ha valaki az email fiókunkba jut be, jelszóvisszaállító kódot kér, majd így módosítja a jelszót? Ugyanaz, mint minden egyéb gyanús belépéskor. A facebook biztonsági ellenőrzésével találjuk szembe magunkat.
Érdemes facebook fiókot "feltörni"? Nem. Egyszerűen túl időigényes. Miért? Mert a facebook alapvetően egy jól működő rendszer. Ha a jelszavunkat nem adjuk ki a kezünkből, akkor az nem is fog eljutni másokhoz. Ha tehát valaki megtudja a jelszavunkat, akkor arról általában mi magunk tehetünk. Mi történik, ha valaki az email fiókunkba jut be, jelszóvisszaállító kódot kér, majd így módosítja a jelszót? Ugyanaz, mint minden egyéb gyanús belépéskor. A facebook biztonsági ellenőrzésével találjuk szembe magunkat.
Biztonsági ellenőrzés
Nagyjából ilyen felirat fogad minket, amikor a facebook számára gyanús fióktevékenység történik. Ez előfordulhat lopáskor, vagy akkor, ha pl. elutaztunk. (tapasztalat, én is kaptam már ilyet a saját fiókomra) Ilyenkor lehetőséget kapunk egy nevünket, születési dátumunkat, valamint fényképünket tartalmazó okmányunk fényképének feltöltésére, vagy kapunk egy alternatívát. Ez lehet az, hogy fényképeket mutat a rendszer az ismerőseinkről, és ezen fel kell őket ismernünk, lehet az, hogy meg kell adnunk a születésnapunkat, vagy lehet, hogy csak annyit mond, hogy jelentkezz be egy olyan helyről, ahonnan már korábban beléptél, és igazold, hogy ez a bejelentkezés is hozzád tartozik. Az egyetlen lehetőség ami minden esetben adott, az csak az azonosító okmány feltöltése.
Miért lopnánk facebookot?
Miért éri meg, ha az emberek nagyja ennél sokkal alapvetőbb hibákat elkövet? Sok esetben a jelszó könnyedén kitalálható, vagy egyszerűen rávehetjük a másikat, hogy adja meg nekünk. Akkor minek lopnánk el? Nem éri meg. Ha rendelkezünk némi programozói ismeretekkel, akkor jöhet a következő lépés. Létrehozhatunk egy facebook alkalmazást. Sokan hajlamosak az engedélykérő ablakokban mindenre igent mondani, el sem olvassák. Az ilyen emberek vígan adnak majd jogosultságot a leveleik olvasásához, vagy éppen a profiljuk szerkesztéséhez, innentől pedig az alkalmazás tulajdonosa ezek közül az adatok közül ahhoz fér hozzá, amihez csak akar, a tulajdonos pedig még észre sem feltétlen veszi. Ha az alkalmazás működik, vagy jó a körítés, akkor sokakat így is csőbe lehet húzni, és az ilyen egyszerű trükkök miatt egyszerűen nem éri meg ténylegesen "feltörni" bármit is. Ez utóbbi módszernek előnye, hogy így még a biztonsági ellenőrzéstől sem kell tartanunk.
Mi a helyzet más honlapokkal?
Más oldalakon azért egészen más a helyzet. Ahol nincsenek ilyen biztonsági rendszerek, ott érdemes lehet egy illetéktelennek megpróbálni megszerezni egy fiókot, és számtalan ilyen honlap van. Persze azoknál az oldalaknál, ahol van alkalmazás készítési lehetőség, ott mindig fennáll a csaló-lopó alkalmazások megjelenésének a veszélye is, így erre is célszerű odafigyelni. (ahol még a bejelentkező felület iframebe történő beágyazása nincs letiltva, ott az ilyen alkalmazásokat akár clickjackinggel is kombinálhatják, ami még komolyabb veszélyforrás, ez ellen egy felhasználó nem nagyon tud mit tenni, csak óvatos)
Hogyan védekezhetünk?
Mint már leírtam, a fiókok megszerzésének vannak egyszerűbb és bonyolultabb módjai (számtalan megoldást persze még nem említettem, és nem is fogok - ez nem egy hacker tanfolyam), ilyenkor felmerül a kérdés: mit tehetek hogy biztonságban legyek? Ez nem is olyan bonyolult.
1. Ne a személyes adatunk legyen a jelszavunk.
2. Lehetőleg ne ugyanazt a jelszót használjuk mindenhol.
1. Ne a személyes adatunk legyen a jelszavunk.
2. Lehetőleg ne ugyanazt a jelszót használjuk mindenhol.
3. A jelszavunk ne 123456, password, stb. legyen, hanem valami viszonylag egyedi.
4. Nézzük meg, hogy melyik alkalmazásnak mit engedélyezünk. Ha gyanús, akkor inkább utasítsuk el.
5. Ne adjuk ki senkinek a jelszavunkat.
4. Nézzük meg, hogy melyik alkalmazásnak mit engedélyezünk. Ha gyanús, akkor inkább utasítsuk el.
5. Ne adjuk ki senkinek a jelszavunkat.
6. Ahol ez lehetséges, használjuk a telefonos megerősítést, így csak akkor tudnak bejelentkezni a profilunkba, ha már a telefonunkat is ellopták, ami pedig már eleve nem egy előnyös helyzet.
7. Legyünk észnél! - és ez a legfontosabb.
7. Legyünk észnél! - és ez a legfontosabb.
Nincsenek megjegyzések :
Megjegyzés küldése
A hozzászólásokra vonatkozó szabályzat itt olvasható.