17/5/2011
Facebook ogłosił kilka zmian dotyczących bezpieczeństwa korzystania z serwisu, m.in. dwuskładnikowe uwierzytelnienie i lepszą ochronę przed tzw. like-jackingiem. Poniżej opisujemy je w szczegółach.
Facebook Login Approvals
Od dawna w ustawieniach konta na Facebooku można było zaznaczyć opcję otrzymywania powiadomień o logowaniu na nasze konto z innego urządzenia. Facebook od jakiegoś czasu oferował także jednorazowe hasła (ang. OTP; one time passwords) — ale funkcja ta dostępna była tylko na terenie USA. Teraz, z dobrodziejstw dwuskładnikowego uwierzytelniania skorzystać może każdy
[Account -> Account Settings -> Account Security]
Facebook Login Approvals
Jeśli zalogujesz się z nowego urządzenia do Facebooka, nie tylko otrzymasz e-maila lub/i SMS, a także będziesz mógł ustawić obowiązek podania kodu, który SMS-em Facebook przesle na Twoją komórkę. Dla Ciebie będzie to łatwe, dla włamywacza — zakładając, że nie ma dostępu do Twojego telefonu — bardzo trudne.
Logowanie z nieznanego urządzenia. Ekran z prośbą o wprowadzenie kodu z SMS-a
SMS od Facebooka:
SMS z kodem od Facebooka
Oczywiście dostaniesz także e-maila:
E-mail, który otrzyma właściciel konta po zalogowaniu się z nowego urządzenia
Warto upewnić się, że włączając powyższe zabezpieczenia włączymy także HTTPS — w przeciwnym razie, dalej będziemy podatni na ataki przejęcia sesji, czyli banalne w obsłudze programy FireSheep i FaceNiff.
Ochrona przed XSS-ami
Facebook zamierza chronić naiwnych, którzy przeklejają podsunięte im linki (zawierające JavaScript) do paska adresowego. Wygląda na to, że serwis wprowadził “wykrywanie” złośliwych wyrażeń:
Facebook próbuje wykrywać XSS-y
Ochrona przed like-jackingiem
To tak naprawdę ochrona przed click-jackingiem często wykorzystywanym w atakach przez złośliwe Facebookowe aplikacje. Facebook nie precyzuje co dokładnie ulepszył w swoim mechanizmie detekcji, ale ma on lepiej wykrywać niepożądane zachowania i ostrzegać/pytać internautów, czy naprawdę chcą coś umieścić na swoim Wallu i NewsFeedach znajomych.
Przeczytaj także:
- Faceniff czyli Firesheep na telefon
- Facebook wprowadza “jednorazowe hasła” (OTP)
- Facebook włącza HTTPS dla Polaków
:( usługa sms tylko dla posiadaczy telefonów w plusie :(
U mnie (co widać na zrzucie) zadziałało z ERĄ.
Dziala na Plus, Orange i Era. Ma problemy z 36i6. W ogole nie wspolpracuje z Play:) Reszty nie testowalem.
Od jakiegoś czasu (około miesiąc) zacząłem dostawać SMS-y. Posiadam Orange.
Czy FB mobile działa w Polsce tylko w Plusie? Tylko tego operatora widzę w opcjach podłączania numeru telefonu do FB.
A jaki ogromny wybór sieci, w których usługa działa! Dbałość pejsbooka o użytkowników mnie poraża :)
http://img39.imageshack.us/img39/4461/46138911.png
Może spróbuj zmienić język na English? U mnie w ogóle nie pojawił się drop-down-list z wyborem kraju/operatora.
niestety in english jest to samo (tylko po angielsku ;)
@terrain: nie tu klikasz. To nie ma być Facebook Mobile, tylko w zakładce ‘Ustawienia’ sekcja ‘Zabezpieczenia konta’.
Wszystko fajne ale jak zgubie telefon ?
Jak zgubisz telefon, to musisz ze zrozumieniem przeczytać komunikat i kliknąć na “Nie mam już dostępu do tego telefonu”.
Dobra rada, zwłaszcza, jak się nie zalogujesz ….
Mi zabanglało z telefonem w Orange.
Tyle tylko, że kodem potwierdza się nieautoryzowane urządzenie, a nie każde logowanie. Co z resztą jest napisanie w artykule :D
Play, nie dostaję wiadomości.
Same here ;/
Niestety ale play wycina wszystkie wiadomości z bramek zagranicznych, także jeśli nie podpiszą z kimś umowy, smsy nie będą dochodzić.
I tak jest w tym przypadku, sms na play nie przyszedł.
Gdy próbowałem zalogować się na Fejsiunia z innego kraju poznałem szereg jego zabezpieczeń. Musiałem m.in. zagrać w super grę, która polegała na dopasowaniu imion i nazwisk do odpowiednich obrazków (Fejsiunio wykorzystał tu “pinezki” na zdjęciach). ;-)
To samo u mnie :)
Dobieranie nazwisk znajomych do zdjęć z nimi pojawia się też przy pobieraniu wszystkich swoich danych z FB w zipie, właśnie grzebałem w opcjach i sprawdzam jak wygląda.
Ja się do fejsa proksuję przez Kalifornię, żeby mi nie wmawiało, że muszę określić swoją tożsamość przy pomocy zawsze aktualnego miasta w kraju trzeciego świata. ;)
To przecież co logowanie trzeba by wpisywać ten kod :? (przy zał. czyszczenia ciastek)
To źle?
Mnie męczy to nadawanie nazwy a co dopiero czekanie na hasło smsem. Dla paranoików może i dobre ale ja najchętniej bym zrezygnował.
To jest opcja, nie musisz z niej korzystać tak samo jak z podawania nazwy urządzenia.
A na Firesheepa to zadziała ? Chyba nie… ;)
SSL jest doskonałym zabezpieczeniem na tego typu wynalazki.
sslstrip jest doskonałym obejsciem zabezpieczenia na tego typu wynalazki.
Kiedyś próbowałem uruchomić na FB jakąś opcję, która wymagała podania kodu przysłanego SMSem (już nie pamiętam, co to było). Problem w tym, że SMS z tym kodem przyszedł po dwóch dniach. Ciut długawo, żeby czekać z otwartym okienkiem FB.
Taki czas dostarczania SMS w przypadku bramek internetowych akurat mnie nie dziwi. A zapewne z takiej korzysta FB bo jakoś nie chce mi się wierzyć aby mieli bezpośredni link z SS7. Ponadto z wielu tanich bramek nie dochodzą SMS na nr przeniesione bo ich operatorzy kierują ruch do niewłaściwych sieci (na podstawie prefiksu). Z kolei dostęp do odpowiednich baz danych MNP kosztuje!
A jest jakieś zabezpieczenie chroniące nasze dane przed facebookiem?:)
Wszystkie te zabezpieczenia chronią wyłącznie interes Zacka, odcinają zainteresowanych od darmowego dostępu do naszych danych. Ale jeśli ktoś zapłaci, to już jest ok. Dla użytkownika nie ma żadnego znaczenia w jaki sposób ktoś wszedł w jego dane, na przykład numer telefonu – zweryfikowany.
W Play faktycznie nie działa, w reszcie sieci jest ok. Musiałem odblokować konto SMSem i musiałem szukać kogoś z telefonem w innej sieci. To raz, a dwa że w opisie jak bezpiecznie się logować zamiast facebook.com napisali faceboook.com ;) P.S. To normalne że na stronach pomocy nieraz wywala coś jakby print_r zamiast odpowiedzi na pytania? :)
W jaki sposób można wykryć, że użytkownik wkleił w pasek adresu skrypt JS?
Skrypty są z reguły wklejane jako parametr, wtedy możesz robić inspekcje zmiennych
Ja czekam aż wdrożą tokeny sprzętowe, nawet gdyby miała być za nie dodatkowa opłata. Dostępność konta FB staje się coraz bardziej zależna bo zależy ona od stanu technicznego infrastruktury GSM. Wystarczy, że zasięgu nie będzie, SMSC się zatka, wystąpią jakieś trudności na łączach międzyoperatorskich i logowanie weźmie w łeb.
Nie mogę się doczekać chwili, gdy do zalogowania się na FB potrzebny będzie https, token, kod SMS, czytnik linii papilarnych, quiz, karta chipowa, captcha, maskowane hasło i obecność notariusza ;-)
na pewno sie nie doczekasz, bo fb juz nie bedzie. Znudzi sie jak wszystko.
Jestem w Anglii i nic takiego mi dotąd nie zaoferowano, a właśnie spróbowałem na innej maszynie, zatem działa to dość wybiórczo.
Również przebywam w UK i posiadam taką opcję. Może dlatego, że kiedyś w zakładce mobile wpisałem swój numer telefonu (nawet nie wiem po co).
Staż na facebook jakoś za długi nie mam.
Może to nie zależy od kraju, sieci, czy stanu cywilnego, a od stażu na facebooku? Ja zauważyłem że dostaję nowości na fb sporo wcześniej przed moimi znajomymi, bo – jak przypuszczam – konto mam od dawna.
No i autoryzacja przez sms działa mi bez problemu w Erze, nawet nie pytało skąd jestem i w jakiej sieci mam numer.
Ja również mam konto od dawna, bo od ponad 3 lat, jeśli nie 4, a omawiana sugestia się nie pojawiła.
Pardon moi, ale to kolejny przyklad wprowadzania pod plaszczykiem zabezpieczen kontroli i monitoringu urzadzen zewnetrznych [+geo]. Google sila wprowadzilo koniecznosc rejestracji numeru telefonu, rzekomo pod pozorem walki ze spamem [co sprawilo, ze zlikwidowalem i nie zalozylem juz ponownie konta, nie moge sie logowac na YT, ale przeboleje, bo generalnie nie zycze sobie, aby posiadali moj nr tel, to ja decyduje kiedy CHCE go podac, a podaje tylko bankowi. Ranga zwyklego portalu jest dla mnie mniejsza], choc w istocie moglo chodzic wlasnie o oplecenie uzytkownika jeszcze szersza siecia zaleznosci.
No i mam problem… aktywowałem usługę kilka dni temu, SMS przyszedł od razu… ale po czyszczeniu kompa poszły też ciasteczka… no i kod w ogóle nie przychodzi, a mija drugi dzień, wysłałem ich chyba ze 20… Jak teraz odblokować dostęp do konta?
Włączyłem sobie uwierzytelnianie przez SMS. Weryfikacja mojego numeru komórki przebiegła sprawnie, więc nie spodziewałem się problemów. Wczoraj, ku mojemu zdziwieniu, Facebook stwierdził, że nie zna komputera, z którego loguję się do Facebook od zawsze. Czekam już 10 godz. na SMS z kodem. Po ok. 6 godz. dostałem od Facebook pusty SMS. Ponownie spróbowałem się zalogować i ponownie czekam na kolejny SMS.
Coś ta funkcja nie za bardzo działa w Polsce (Orange). :-(
A mi przyszedl SMS na Play z kodem z numeru +18468468468: Codice di conferma Facebook Mobile. Pierwszy!? ;)
Szczęściarz, mi na Playa nie przychodzi.
Wczoraj, po kilku tygodniach prób zalogowania i bezskutecznego czekania na SMS od Facebook zadzwoniłem do BOK w Orange z pytaniem, czy przypadkiem nie mam włączonego jakiegoś filtra, który blokuje SMSy z Facebook. Pani zapewniła mnie, że z ich strony nie ma niczego takiego włączonego. Zaraz po rozmowie spróbowałem się zalogować do Facebook i tym razem SMS przyszedł niemal natychmiast.
Albo przypadek, albo pani w BOK dyskretnie coś jednak zresetowała.
Słuchajcie mam problem.. Parę dni temu poszły mi wszystki ciasteczka no i co za tym idzie – facebook każe mi wpisać kod, który ma przyjść do mnie smsem. Czekam już ze 3 dni, ponawiałam próbę tyle razy, że nie zliczę. Co więcej – zadzwoniłam do Plusa, czy nie mam włączonego filtru, który blokuje mi wiadomości z internetu. Młody gość podał mi co mam zrobić (czyli wysłać sms na 8888) co i tak mi nie zadziałało. Bo kodu bezpieczeństwa jak nie było tak nie ma. Więc.. Co mam w takim układzie zrobić, jeżeli na jakiekolwiek sposoby nie mogę dostać się do konta?
Mam taki sam problem : / Format poleciał, ciastka też.
mBank mobile (Plus), nie dostałem żadnego kodu od 2dni. Próbowałem dobre kilka razy o różnych porach.
[...] zeszłym miesiącu pojawił się na Niebezpieczniku news, w którym, ku mojej uciesze, została opisana metoda podwójnego logowania do Facebooka, która [...]
[...] temu opisywaliśmy jak włączyć bezpieczniejsze logowanie do Facebooka, tak aby oprócz hasła, serwis prosił o podanie kodu przesłanego do nas SMS-em. Podwójne [...]
Na PLAY została zablokowana usługa smsów z FB. dzwoniłem przed chwilą do BOK!
[...] były one takie same, jak do waszego konta na Steam. Przypominamy także, że Steam, podobnie jak Facebook czy Google, umożliwia zabezpieczenie swojego konta poprzez dwuskładnikowe uwierzytelnienie [...]
Mam problem ustwilam sobie ta funkcje nadaj nazwe nowemu urzadzeniu, i uniemozliwia mi to wejscie na fb, gdyz kiedy staram nadac nazwe i zapisac to nic sie nie dzieje i nie moge wejsc na fb:/ co robic?
okej ale jak zrobic to żeby przychodziły ci te sms ?