Facebook quiere proporcionarle su licencia de conducir de Internet

Aunque para muchos no es evidente, Facebook está en proceso de transformarse del sitio web de medios sociales más popular del mundo en una parte fundamental de la infraestructura de identidad de Internet. Si tiene éxito, Facebook y las cuentas de Facebook se convertirán en un objetivo aún mayor para los piratas informáticos.





Mientras los profesionales de la seguridad debaten si Internet necesita una capa de identidad (un protocolo uniforme para autenticar las identidades de los usuarios), un número creciente de sitios web vota con su código, adoptando Facebook Connect como una forma para que cualquier persona con una cuenta de Facebook inicie sesión en el sitio en el clic de un botón.

Facebook introdujo Connect en julio de 2008, ofreciendo herramientas de sitios web de terceros para coordinar con la información del usuario que tiene Facebook, incluidos los inicios de sesión. Por lo tanto, los sitios web tenían la opción de permitir que los usuarios de Facebook se identificaran con sus identidades de Facebook.

Entonces, por ejemplo, el proveedor de estadísticas web Alexa ofrece a los nuevos usuarios la opción de crear una cuenta ingresando un nombre de usuario y una contraseña o simplemente haciendo clic en el botón Conectarse con Facebook. Los sitios web conocidos que también utilizan Connect incluyen Internet Movie Database, Ask.com y ESPN. Es casi seguro que otros se suban al tren en 2011.



El sistema de identidad de Facebook muy bien podría proporcionar algo que VeriSign, Microsoft, Yahoo y Google han tenido dificultades para ofrecer: una única licencia de conducir para Internet. (Esto deja de lado la cuestión de si es bueno que una empresa ocupe una posición de poder así).

Una combinación única de factores hace que Facebook sea muy adecuado para ser el repositorio de las identidades de las personas en Internet. A diferencia de muchos sitios web populares, requiere que los usuarios se registren e inicien sesión. Y Facebook términos de servicio requieren que los usuarios proporcionen sus nombres e información reales; de hecho, Facebook ha cancelado cuentas que fueron creadas con nombres aparentemente falsos o para personajes ficticios. Dado que los usuarios de Facebook invierten sus cuentas en una enorme cantidad de contenido personal duradero, incluidas fotografías, información de contacto y conexiones a su red social, es probable que mantengan una relación a largo plazo con el sitio.

Esta persistencia de la identidad real coloca a Facebook en condiciones de resolver uno de los problemas más urgentes en Internet en la actualidad: la proliferación de nombres de usuario y contraseñas.



Contrariamente a la práctica actual, la mayoría de los sitios web no tienen por qué obligar a sus usuarios a crear nombres de usuario y contraseñas. La mayoría de los sitios web no necesitan ni quieren ni necesitan administrar las identidades de sus usuarios; simplemente quieren una forma de identificar a sus usuarios de manera confiable a lo largo del tiempo. Los sitios web de medios, por ejemplo, quieren poder atribuir comentarios y limitar el spam. Los sitios web de finanzas personales quieren brindar a los usuarios una forma de monitorear información altamente personal de manera segura, por ejemplo, una cartera de acciones que el usuario podría ingresar.

Es más, mantener una infraestructura de identidad de usuario tiene sus riesgos, como quedó dolorosamente claro el mes pasado cuando los piratas informáticos irrumpieron en servidores operados por Gawker Media y descargaron los nombres de usuario y contraseñas de más de un millón de cuentas de Gawker. Aunque las contraseñas estaban encriptadas, muchas eran fáciles de adivinar, por lo que las cuentas se podían descifrar fácilmente, según un análisis del ataque por investigadores de seguridad de la Universidad de Cambridge. Tras el ataque, varios sitios web no relacionados, incluidos LinkedIn y Woot, enviaron un correo electrónico a sus usuarios advirtiéndoles que cambiaran sus contraseñas si eran las mismas que usaban para Gawker.

El inicio de sesión de Facebook permite que cualquier sitio web del planeta utilice su infraestructura de identidad y las salvaguardias de seguridad subyacentes. Es fácil implementar el inicio de sesión de Facebook, simplemente agregando algunas líneas de código a un servidor web. Una vez realizado ese cambio, los usuarios del sitio verán un botón Conectarse con Facebook. Si ya han iniciado sesión en Facebook (después de haber visitado el sitio recientemente), pueden simplemente hacer clic en él y están conectados. Si no han iniciado sesión recientemente, se les pedirá su nombre de usuario y contraseña de Facebook.



Un beneficio adicional interesante para los operadores de sitios web es que el inicio de sesión de Facebook proporciona al sitio los nombres reales de los usuarios (en la mayoría de los casos) y, opcionalmente, una variedad de otra información, como los amigos y los me gusta de los usuarios. Actualmente, Facebook no cobra a los sitios web por usar su infraestructura de identidad o acceder a esta información adicional, aunque Facebook ciertamente podría hacerlo en el futuro.

Facebook ya está familiarizado con los problemas de seguridad de Internet, simplemente porque tiene datos personales de más de 500 millones de personas. El mayor uso de la plataforma Facebook para cosas más allá de las redes sociales —un banco en Nueva Zelanda, por ejemplo, anunció en noviembre que permitiría a los clientes acceder a información bancaria en Facebook— obviamente genera nuevas preocupaciones. Y si la empresa amplía su alcance para ofrecer un inicio de sesión universal en la Web, los desafíos que probablemente enfrentará serán aún mayores.

De hecho, en los últimos años, Facebook ha tomado medidas para mejorar la seguridad de su plataforma de varias formas.



Por ejemplo, el año pasado Facebook introdujo un sistema que permite a los usuarios solicitar una contraseña de un solo uso para iniciar sesión desde una terminal pública que podría tener instalado un software espía de registro de pulsaciones de teclas. Los usuarios envían un mensaje de texto SMS con las letras otp al 32665 (FBOOK) desde un teléfono celular registrado, y los servidores de Facebook envían una contraseña que se puede usar una sola vez para iniciar sesión en la cuenta del usuario. La teoría es que no importa si un pirata informático está ejecutando un rastreador de contraseñas, ya que la contraseña no funcionará por segunda vez.

Otra innovación es la forma en que Facebook permite a los usuarios monitorear los distintos navegadores web y dispositivos desde los que inician sesión en Facebook. Al hacer clic en el Configuraciones de la cuenta menú desplegable y seleccionando la sección Seguridad de la cuenta, los usuarios de Facebook pueden ver todos los dispositivos actualmente autenticados, cualquiera de los cuales puede desconectarse de forma remota, lo que resulta útil si deja usted mismo conectado en la computadora de sus padres. También puede hacer que Facebook envíe una notificación por SMS a su teléfono celular cada vez que un nuevo dispositivo acceda a su cuenta de Facebook. Por supuesto, si ve una conexión de una máquina que no reconoce, es hora de cambiar su contraseña.

Desafortunadamente, Facebook todavía tiene dos vulnerabilidades importantes que hacen que su sitio web sea significativamente menos seguro que los de la mayoría de los bancos estadounidenses: su dependencia de un único nombre de usuario y contraseña para obtener acceso a una cuenta, y el uso de una cookie no cifrada para rastrear qué navegadores web. están conectados.

La combinación de nombre de usuario y contraseña proporciona un punto débil. Las cuentas de Facebook pueden verse comprometidas por un atacante que podría robar esta información de otro sitio, o adivinarla probando muchas combinaciones en sucesión (el llamado ataque de fuerza bruta).

Hemos construido sistemas para protegernos contra este tipo de ataques de fuerza bruta, dice Simon Axten, portavoz de Facebook. Por ejemplo, si detectamos varios intentos de inicio de sesión sospechosos para una cuenta determinada, solicitaremos un CAPTCHA y es posible que incluso suspendamos temporalmente el acceso a la cuenta.

Facebook monitorea una serie de señales, incluida la ubicación y el dispositivo, dice Axten, para determinar cuándo una cuenta está siendo sometida a un ataque sostenido. Una vez que hayamos marcado un intento, incluso si se han ingresado las credenciales de inicio de sesión correctas, solicitaremos a la persona que inicie sesión que brinde autenticación adicional, por ejemplo, respondiendo una pregunta de seguridad, ingresando un código enviado por SMS o identificando amigos. etiquetado en fotos a las que tiene acceso el propietario de la cuenta.

No obstante, existen formas de obtener acceso a la cuenta de Facebook de una persona incluso sin conocer la contraseña. Esto se debe a que Facebook utiliza algo llamado cookie de autenticación para realizar un seguimiento de un navegador web cuando está conectado. A diferencia de las contraseñas de Facebook, que se cifran cuando se envían a través de Internet, las cookies se envían a los servidores web no cifrados de Facebook cada vez una computadora se comunica con el sitio. Esto no representa un gran riesgo si está utilizando una conexión a Internet por cable o una conexión inalámbrica encriptada en el trabajo o en casa. Pero si está utilizando Facebook a través de un punto de acceso inalámbrico no cifrado en una cafetería o aeropuerto, alguien que ejecute un rastreador de paquetes en una computadora portátil podría robar su cookie de autenticación y luego iniciar sesión en Facebook como usted.

Este tipo de rastreo se volvió más fácil que nunca de perpetrar el otoño pasado, cuando Eric Butler, un desarrollador de software y aplicaciones web independiente en Seattle, lanzó un complemento de Firefox llamado Firesheep que automatiza el proceso. Con Firesheep ejecutándose dentro de Firefox, obtienes una lista de todas las cookies de autenticación que se han detectado: simplemente haz clic en el nombre de la cuenta y ... listo : Accede a la cuenta del usuario sin siquiera tener que iniciar sesión.

En este momento, la única forma de protegerse contra el rastreo de cookies es accediendo a Facebook utilizando la conexión cifrada en https://ssl.facebook.com/ . Según Axten, el servidor aún se está probando y se promoverá más ampliamente como una opción en los próximos meses. Agrega: Como siempre, recomendamos a las personas que tengan cuidado al enviar o recibir información a través de redes Wi-Fi no seguras.

Axten dice que Facebook se enfrenta a un desafío de seguridad que pocas, si es que hay, otras empresas, o incluso gobiernos, han enfrentado: proteger a más de 500 millones de personas en un servicio que está bajo constante ataque. El hecho de que menos del uno por ciento de los usuarios de Facebook hayan encontrado alguna vez un problema de seguridad en el sitio es un logro significativo del cual estamos muy orgullosos.

esconder