(CS/Lissabon) Med 1,3 miljarder dagliga användare har Alex Stamos, cto på Facebook, en hel del data på hur man skyddar användarnas konton på bästa sätt. Och han tycker verkligen inte att lösenord hör till de bästa sätten.
– Användarnamn och lösenord kommer från 70-talets stordatorer. Det är inte anpassat för 2016 när vi går omkring med superdatorer i fickorna, säger Alex Stamos under sin keynote på Web Summit i Lissabon.
Han ser problemen på väldigt nära håll. Facebook arbetar aktivt med att få tag i alla data från olika lösenordsläckor som postas på nätet eller säljs på svarta marknaden. De läckta lösenorden testas sedan mot Facebooks hela användardatabas. Ett tekniskt krävande arbete, eftersom alla lösenord hos Facebook är hashsaltade, men värt besväret, enligt Alex Stamos.
– Vi har testat över en miljard lösenord och hjälpt tiotusentals användare att säkra sina konton.
Läs också: 117 miljoner lösenord stals från Linkedin – nu anklagas rysk hackare för intrånget
En väldigt tydligt problem är att lösenorden i läckorna ofta är återkommande. Det är samma lösenord om och om igen, 123456, QWERTY, fula ord, och så vidare. Internetanvändarnas lösenordshygien är minst sagt bristfällig. Och det är skadligare än alla malware som finns, menar Alex Stamos.
– Att återanvända lösenord är den största källan till skador på internet.
Facebook liksom andra företag försöker på olika sätt hantera att användarna trots allt verkar föredra användarnamn och lösenord. Att tvåfaktorautenticering erbjuds är en självklarhet, men Alex Stamos ser att det är lika viktigt att titta på andra delar, som vad som sker när en användare blir av med sin mobil eller glömt sitt lösenord. Där har Facebook infört ”pålitliga användare”, där du kan utse personer som kan vara mellanhand om du behöver byta lösenord.
Tanken är att komma bort från lösenordsåterställning via länkar i e-post, som Alex Stamos anser ger angripare en öppen dörr. Istället får din kompis eller familjemedlem en kod som hen sedan ger dig för att du ska kunna byta lösenord.
– Med e-postlänkar kan en angripare ta över hela din onlineperson på 15 minuter.
Samtidigt är han noga med, och uppmuntrar andra företag, att inte falla i fällan att skylla på användarna när de inte gör det aktiva valet att köra exempelvis tvåfaktorautenticering. Det gäller inte minst när Facebook jobbar med att få med nästa miljard internetanvändare på tåget, användare som inte ens har säkra telefoner utan ofta kör androidmobiler med gamla versioner av operativsystemet.
– Det är vårt ansvar att tänka även på de som inte använder funktionerna. Det är inte moraliskt och etiskt okej att göra på något annat sätt.
Läs också: Så här kommer bottar att förändra företagen totalt. Och ja, de tar massor av jobb.
För att hjälpa dessa till en säkrare nätvaro har Facebook en lösning som bygger på 80 olika datapunkter i en persons Facebookflöde, datapunkter som matas in i en maskininlärningsmodell. Modellen tittar på punkterna och bedömer om det är rimligt att anta att du är du. Liknar mönstret en angripares låses kontot ner och användaren behöver lösa någon form av problem för att få tillgång till kontot igen.
Alex Stamos ser gärna att startups och andra företag använder de lösningar som Facebook tar fram. Ett särskilt appkrypto anpassat för att säkra appar i osäkra operativsystem finns som öppen källkod, liksom Osquery, ett sql-liknande system för att ”hitta bovar”.
– Det viktiga är att du tänker på användarnas trygghet från dag ett. Det räcker inte att lansera en produkt och se vad som händer, säkerheten måste vara med från början.
