10:01
17/5/2011

Facebook ogłosił kilka zmian dotyczących bezpieczeństwa korzystania z serwisu, m.in. dwuskładnikowe uwierzytelnienie i lepszą ochronę przed tzw. like-jackingiem. Poniżej opisujemy je w szczegółach.

Facebook Login Approvals

Od dawna w ustawieniach konta na Facebooku można było zaznaczyć opcję otrzymywania powiadomień o logowaniu na nasze konto z innego urządzenia. Facebook od jakiegoś czasu oferował także jednorazowe hasła (ang. OTP; one time passwords) — ale funkcja ta dostępna była tylko na terenie USA. Teraz, z dobrodziejstw dwuskładnikowego uwierzytelniania skorzystać może każdy
[Account -> Account Settings -> Account Security]

Facebook Login Approvals

Facebook Login Approvals

Jeśli zalogujesz się z nowego urządzenia do Facebooka, nie tylko otrzymasz e-maila lub/i SMS, a także będziesz mógł ustawić obowiązek podania kodu, który SMS-em Facebook przesle na Twoją komórkę. Dla Ciebie będzie to łatwe, dla włamywacza — zakładając, że nie ma dostępu do Twojego telefonu — bardzo trudne.

Facebook Login Approvals

Logowanie z nieznanego urządzenia. Ekran z prośbą o wprowadzenie kodu z SMS-a

SMS od Facebooka:

SMS Facebook

SMS z kodem od Facebooka

Oczywiście dostaniesz także e-maila:

Facebook Login

E-mail, który otrzyma właściciel konta po zalogowaniu się z nowego urządzenia

Warto upewnić się, że włączając powyższe zabezpieczenia włączymy także HTTPS — w przeciwnym razie, dalej będziemy podatni na ataki przejęcia sesji, czyli banalne w obsłudze programy FireSheep i FaceNiff.

Ochrona przed XSS-ami

Facebook zamierza chronić naiwnych, którzy przeklejają podsunięte im linki (zawierające JavaScript) do paska adresowego. Wygląda na to, że serwis wprowadził “wykrywanie” złośliwych wyrażeń:

Facebook XSS Detection

Facebook próbuje wykrywać XSS-y

Ochrona przed like-jackingiem

To tak naprawdę ochrona przed click-jackingiem często wykorzystywanym w atakach przez złośliwe Facebookowe aplikacje. Facebook nie precyzuje co dokładnie ulepszył w swoim mechanizmie detekcji, ale ma on lepiej wykrywać niepożądane zachowania i ostrzegać/pytać internautów, czy naprawdę chcą coś umieścić na swoim Wallu i NewsFeedach znajomych.

Przeczytaj także:

69 komentarzy

Dodaj komentarz
  1. :( usługa sms tylko dla posiadaczy telefonów w plusie :(

    • U mnie (co widać na zrzucie) zadziałało z ERĄ.

    • Dziala na Plus, Orange i Era. Ma problemy z 36i6. W ogole nie wspolpracuje z Play:) Reszty nie testowalem.

    • Od jakiegoś czasu (około miesiąc) zacząłem dostawać SMS-y. Posiadam Orange.

  2. Czy FB mobile działa w Polsce tylko w Plusie? Tylko tego operatora widzę w opcjach podłączania numeru telefonu do FB.

  3. A jaki ogromny wybór sieci, w których usługa działa! Dbałość pejsbooka o użytkowników mnie poraża :)

    http://img39.imageshack.us/img39/4461/46138911.png

    • Może spróbuj zmienić język na English? U mnie w ogóle nie pojawił się drop-down-list z wyborem kraju/operatora.

    • niestety in english jest to samo (tylko po angielsku ;)

    • @terrain: nie tu klikasz. To nie ma być Facebook Mobile, tylko w zakładce ‘Ustawienia’ sekcja ‘Zabezpieczenia konta’.

  4. Wszystko fajne ale jak zgubie telefon ?

    • Jak zgubisz telefon, to musisz ze zrozumieniem przeczytać komunikat i kliknąć na “Nie mam już dostępu do tego telefonu”.

  5. Dobra rada, zwłaszcza, jak się nie zalogujesz ….

  6. Mi zabanglało z telefonem w Orange.

    • Tyle tylko, że kodem potwierdza się nieautoryzowane urządzenie, a nie każde logowanie. Co z resztą jest napisanie w artykule :D

  7. Play, nie dostaję wiadomości.

    • Same here ;/

    • Niestety ale play wycina wszystkie wiadomości z bramek zagranicznych, także jeśli nie podpiszą z kimś umowy, smsy nie będą dochodzić.
      I tak jest w tym przypadku, sms na play nie przyszedł.

  8. Gdy próbowałem zalogować się na Fejsiunia z innego kraju poznałem szereg jego zabezpieczeń. Musiałem m.in. zagrać w super grę, która polegała na dopasowaniu imion i nazwisk do odpowiednich obrazków (Fejsiunio wykorzystał tu “pinezki” na zdjęciach). ;-)

    • To samo u mnie :)

    • Dobieranie nazwisk znajomych do zdjęć z nimi pojawia się też przy pobieraniu wszystkich swoich danych z FB w zipie, właśnie grzebałem w opcjach i sprawdzam jak wygląda.

    • Ja się do fejsa proksuję przez Kalifornię, żeby mi nie wmawiało, że muszę określić swoją tożsamość przy pomocy zawsze aktualnego miasta w kraju trzeciego świata. ;)

  9. To przecież co logowanie trzeba by wpisywać ten kod :? (przy zał. czyszczenia ciastek)

    • To źle?

    • Mnie męczy to nadawanie nazwy a co dopiero czekanie na hasło smsem. Dla paranoików może i dobre ale ja najchętniej bym zrezygnował.

    • To jest opcja, nie musisz z niej korzystać tak samo jak z podawania nazwy urządzenia.

  10. A na Firesheepa to zadziała ? Chyba nie… ;)

    • SSL jest doskonałym zabezpieczeniem na tego typu wynalazki.

    • sslstrip jest doskonałym obejsciem zabezpieczenia na tego typu wynalazki.

  11. Kiedyś próbowałem uruchomić na FB jakąś opcję, która wymagała podania kodu przysłanego SMSem (już nie pamiętam, co to było). Problem w tym, że SMS z tym kodem przyszedł po dwóch dniach. Ciut długawo, żeby czekać z otwartym okienkiem FB.

    • Taki czas dostarczania SMS w przypadku bramek internetowych akurat mnie nie dziwi. A zapewne z takiej korzysta FB bo jakoś nie chce mi się wierzyć aby mieli bezpośredni link z SS7. Ponadto z wielu tanich bramek nie dochodzą SMS na nr przeniesione bo ich operatorzy kierują ruch do niewłaściwych sieci (na podstawie prefiksu). Z kolei dostęp do odpowiednich baz danych MNP kosztuje!

  12. A jest jakieś zabezpieczenie chroniące nasze dane przed facebookiem?:)
    Wszystkie te zabezpieczenia chronią wyłącznie interes Zacka, odcinają zainteresowanych od darmowego dostępu do naszych danych. Ale jeśli ktoś zapłaci, to już jest ok. Dla użytkownika nie ma żadnego znaczenia w jaki sposób ktoś wszedł w jego dane, na przykład numer telefonu – zweryfikowany.

  13. W Play faktycznie nie działa, w reszcie sieci jest ok. Musiałem odblokować konto SMSem i musiałem szukać kogoś z telefonem w innej sieci. To raz, a dwa że w opisie jak bezpiecznie się logować zamiast facebook.com napisali faceboook.com ;) P.S. To normalne że na stronach pomocy nieraz wywala coś jakby print_r zamiast odpowiedzi na pytania? :)

  14. W jaki sposób można wykryć, że użytkownik wkleił w pasek adresu skrypt JS?

    • Skrypty są z reguły wklejane jako parametr, wtedy możesz robić inspekcje zmiennych

  15. Ja czekam aż wdrożą tokeny sprzętowe, nawet gdyby miała być za nie dodatkowa opłata. Dostępność konta FB staje się coraz bardziej zależna bo zależy ona od stanu technicznego infrastruktury GSM. Wystarczy, że zasięgu nie będzie, SMSC się zatka, wystąpią jakieś trudności na łączach międzyoperatorskich i logowanie weźmie w łeb.

  16. Nie mogę się doczekać chwili, gdy do zalogowania się na FB potrzebny będzie https, token, kod SMS, czytnik linii papilarnych, quiz, karta chipowa, captcha, maskowane hasło i obecność notariusza ;-)

    • na pewno sie nie doczekasz, bo fb juz nie bedzie. Znudzi sie jak wszystko.

  17. Jestem w Anglii i nic takiego mi dotąd nie zaoferowano, a właśnie spróbowałem na innej maszynie, zatem działa to dość wybiórczo.

    • Również przebywam w UK i posiadam taką opcję. Może dlatego, że kiedyś w zakładce mobile wpisałem swój numer telefonu (nawet nie wiem po co).
      Staż na facebook jakoś za długi nie mam.

  18. Może to nie zależy od kraju, sieci, czy stanu cywilnego, a od stażu na facebooku? Ja zauważyłem że dostaję nowości na fb sporo wcześniej przed moimi znajomymi, bo – jak przypuszczam – konto mam od dawna.

    • No i autoryzacja przez sms działa mi bez problemu w Erze, nawet nie pytało skąd jestem i w jakiej sieci mam numer.

    • Ja również mam konto od dawna, bo od ponad 3 lat, jeśli nie 4, a omawiana sugestia się nie pojawiła.

  19. Pardon moi, ale to kolejny przyklad wprowadzania pod plaszczykiem zabezpieczen kontroli i monitoringu urzadzen zewnetrznych [+geo]. Google sila wprowadzilo koniecznosc rejestracji numeru telefonu, rzekomo pod pozorem walki ze spamem [co sprawilo, ze zlikwidowalem i nie zalozylem juz ponownie konta, nie moge sie logowac na YT, ale przeboleje, bo generalnie nie zycze sobie, aby posiadali moj nr tel, to ja decyduje kiedy CHCE go podac, a podaje tylko bankowi. Ranga zwyklego portalu jest dla mnie mniejsza], choc w istocie moglo chodzic wlasnie o oplecenie uzytkownika jeszcze szersza siecia zaleznosci.

  20. No i mam problem… aktywowałem usługę kilka dni temu, SMS przyszedł od razu… ale po czyszczeniu kompa poszły też ciasteczka… no i kod w ogóle nie przychodzi, a mija drugi dzień, wysłałem ich chyba ze 20… Jak teraz odblokować dostęp do konta?

  21. Włączyłem sobie uwierzytelnianie przez SMS. Weryfikacja mojego numeru komórki przebiegła sprawnie, więc nie spodziewałem się problemów. Wczoraj, ku mojemu zdziwieniu, Facebook stwierdził, że nie zna komputera, z którego loguję się do Facebook od zawsze. Czekam już 10 godz. na SMS z kodem. Po ok. 6 godz. dostałem od Facebook pusty SMS. Ponownie spróbowałem się zalogować i ponownie czekam na kolejny SMS.

    Coś ta funkcja nie za bardzo działa w Polsce (Orange). :-(

  22. A mi przyszedl SMS na Play z kodem z numeru +18468468468: Codice di conferma Facebook Mobile. Pierwszy!? ;)

    • Szczęściarz, mi na Playa nie przychodzi.

  23. Wczoraj, po kilku tygodniach prób zalogowania i bezskutecznego czekania na SMS od Facebook zadzwoniłem do BOK w Orange z pytaniem, czy przypadkiem nie mam włączonego jakiegoś filtra, który blokuje SMSy z Facebook. Pani zapewniła mnie, że z ich strony nie ma niczego takiego włączonego. Zaraz po rozmowie spróbowałem się zalogować do Facebook i tym razem SMS przyszedł niemal natychmiast.

    Albo przypadek, albo pani w BOK dyskretnie coś jednak zresetowała.

  24. Słuchajcie mam problem.. Parę dni temu poszły mi wszystki ciasteczka no i co za tym idzie – facebook każe mi wpisać kod, który ma przyjść do mnie smsem. Czekam już ze 3 dni, ponawiałam próbę tyle razy, że nie zliczę. Co więcej – zadzwoniłam do Plusa, czy nie mam włączonego filtru, który blokuje mi wiadomości z internetu. Młody gość podał mi co mam zrobić (czyli wysłać sms na 8888) co i tak mi nie zadziałało. Bo kodu bezpieczeństwa jak nie było tak nie ma. Więc.. Co mam w takim układzie zrobić, jeżeli na jakiekolwiek sposoby nie mogę dostać się do konta?

    • Mam taki sam problem : / Format poleciał, ciastka też.
      mBank mobile (Plus), nie dostałem żadnego kodu od 2dni. Próbowałem dobre kilka razy o różnych porach.

  25. […] zeszłym miesiącu pojawił się na Niebezpieczniku news, w którym, ku mojej uciesze, została opisana metoda podwójnego logowania do Facebooka, która […]

  26. […] temu opisywaliśmy jak włączyć bezpieczniejsze logowanie do Facebooka, tak aby oprócz hasła, serwis prosił o podanie kodu przesłanego do nas SMS-em. Podwójne […]

  27. Na PLAY została zablokowana usługa smsów z FB. dzwoniłem przed chwilą do BOK!

  28. […] były one takie same, jak do waszego konta na Steam. Przypominamy także, że Steam, podobnie jak Facebook czy Google, umożliwia zabezpieczenie swojego konta poprzez dwuskładnikowe uwierzytelnienie […]

  29. Mam problem ustwilam sobie ta funkcje nadaj nazwe nowemu urzadzeniu, i uniemozliwia mi to wejscie na fb, gdyz kiedy staram nadac nazwe i zapisac to nic sie nie dzieje i nie moge wejsc na fb:/ co robic?

  30. okej ale jak zrobic to żeby przychodziły ci te sms ?

  31. […] próbie nieudanych logowań. Albo, żeby Twitter wprowadził dwuskładnikowe uwierzytelnienie, tak jak zrobił to Facebook i […]

  32. […] Jest kilka sposobów. Dokładnie opisywaliśmy je w w tym poście (powiadomienia o logowaniu) oraz tym poście (dwuskładnikowe uwierzytelnienie). […]

  33. […] zawsze musi oznaczać przejęcie jego konta. Jeśli ktoś korzysta z udostępnianego przez Facebook dwuskładnikowego uwierzytelnienia, atakujący musiałby jeszcze posiadać dostęp do telefonu ofiary aby przechwycić kod z SMS-a […]

  34. […] adrenaliny, możecie zaryzykować logowanie się z cudzego komputera na swoje konto na GMailu lub Facebooku, ale tylko i wyłącznie pod warunkiem że macie na nim ustawione dwuskładnikowe uwierzytelnienie […]

  35. […] PS. Ten przykład pięknie pokazuje, dlaczego warto włączyć sobie dwuskładnikowe uwierzytelnienie na swoim koncie na Facebooku. […]

  36. Ładniej by to wyglądało jak byś zamiast cenzurować na czarno “markerem” wpisał w miejscu nazwy ksywkę, a ip jakieś numerki z księżyca.

  37. Witam, a ja mam taki problem.otoz mialam ustwienie na te niesczesne kody dostepu, ktore przychodzily na numer telefonu…i tu jest problem, bo juz nie posiadam tego numeru telefonu i zapomnialam go zmienic na profilu, od 3 dni wyslalam juz dziesiatki e-maili do facebooka bez rezultatu jak do tej pory….i nie mam dostepu do swojego konta…ktos juz wie moze jak to rozwiazac?:)

  38. Witam ,może ktoś wie jak zablokować włamywacza na koncie FB .Logując się FB wchodzę na ustawienia i bezpieczeństwo tam wyświetla się aktywna sesja i okazuje się że nie z mojego miasta ,zmieniam hasło wylogowuję ale dalej to samo czasem uda mi się go wywalić po kilku razach zmiany hasła i wyłączeniu rutera ,a czasami to nie pomaga używałam już kodu na telefon ale nie pomaga (ja nie loguje się z telefonu ani z obcych komputerów )pisałam już do FB ale oczywiście nikt się nie odzywa.Wkurza mnie to,dodam jeszcze że ja loguje się przez stronę facebook.pl a to tak jakby mnie logowało podwójnie przez stronę http://www.facebook.com czyściłam już komputer więc nie mam wirusa może ktoś wie jak walczyć z tymi podglądaczami ?

  39. -kpiny z tego zabezpieczenia – od miesiąca nie dostaje kodu zabezpieczajączego na podany numer na facebooku mój — tylko komunikaty –,, i kara za częste proszenie — i tak w kółko teraz żałuję — czyli zabezpieczenie dobre ?tylko brak kodu na tel– tel ok– i reszta- ok — a gdzie kod — proste, niema :) marne to -pozdrawiam

  40. Ja musialam ciagle wpisywac kod bo cos sie nie chcialo połączyć i potem mi sie wyswietlilo ze musze poczekac bo za duzo razy wprowadzalam ten kod. Troche to dziwne bo robilam od początku tego wszystko ze wskazowkami. Wiecie moze ile sie czeka az bede mogla wprowadzic ten kod?

  41. Ja mam podobnie tylko ze moj tata sie loguje na moje konto i czyta prywatne wiadomosci. Nie wiem jak on to robi ale to jest bardzo nie mile

  42. […] każdemu z Was) polecamy włączenie dwuskładnikowego uwierzytelnienia — jest ono dostępne zarówno na Facebooku, jak i na Twitterze. Dzięki niemu, nawet jeśli wasze hasło wpadnie w niepowołane ręce, to […]

  43. Tak jest. Rozdawajcie NSA swoje numery komórkowe.

Odpowiadasz na komentarz Justyna

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: