Facebook slog rubrikerna igen i helgen. Även om det, som alltid i år, inte av de skäl som det skulle vilja. Redan mitt i USA: s senatgranskning har företaget nu avslöjat att miljontals användare nyligen drabbats av ett betydande säkerhetsbrott.
Upp till 50 miljoner konton påverkades potentiellt. För sammanhanget är det fler människor än som bor i hela Kalifornien. Även om det kan vara en droppe i havet när det gäller Facebooks kundbas på 1,47 miljarder, är det fortfarande ett stort antal och en enorm förlägenhet.
Brottet väcker också frågor om visdomen att använda Facebooks Single Sign On-funktion för att logga in på flera webbplatser och tjänster. Om Facebook i sig äventyras, riskerar alla dina konton?
Vad hände i Facebook-dataintrånget?
Med detta senaste Facebook-intrång har frågan spårats tillbaka till ett läge som heter ‘Visa som’. Detta är ett läge som vi alla har på våra Facebook-konton. Det replikerar effektivt vyn på din sida som andra användare har. Det låter dig till exempel förhandsgranska hur din Facebook-sida ser ut för din chef, din mamma eller en helt främling, beroende på dina sekretessinställningar.
Men tack vare ett nyligen upptäckt bugg verkar det som om det var teoretiskt möjligt att använda detta läge för att logga in på en annan användares Facebook-konto.
Denna fråga introducerades enligt uppgift med en uppdatering redan i juli 2017. I teorin kan en hacker som är medveten om bristen potentiellt ha tillgång till andras profiler i över ett år. Den “goda” nyheten är att Facebook säger att ingen betalningsinformation togs i brottet.
Vid användning av detta fel tilldelas dock en hacker också en åtkomsttoken. Detta är den praktiska lilla widgeten som innebär att du automatiskt kan logga in på andra webbplatser och tjänster med hjälp av Facebook-information. Med detta kan en hacker komma åt webbplatser och tjänster som du använder i ditt namn utan att behöva ange ett lösenord.
I ett uttalande på sin nyhetswebbplats insisterar Facebook på att de har vidtagit åtgärder för att skydda drabbade användare:
”Först har vi fixat sårbarheten och informerat brottsbekämpning. För det andra har vi återställt åtkomsttoken för de nästan 50 miljoner konton som vi vet var påverkade för att skydda deras säkerhet. Vi tar också det försiktiga steget att återställa åtkomsttoken för ytterligare 40 miljoner konton som har varit föremål för en “Visa som” -sökning under det senaste året. Som ett resultat måste cirka 90 miljoner människor nu logga in på Facebook eller någon av deras appar som använder Facebook-inloggning. Efter att de har loggat in igen kommer folk att få ett meddelande högst upp i sitt nyhetsflöde som förklarar vad som hände. ”
Facebook bekräftade också att tills problemet noggrant undersöktes och förstods skulle det stänga av funktionen “Visa som” för alla Facebook-användare.
Är det säkert att logga in med Facebook?
Facebook har nu åtgärdat problemet. På vissa sätt är det faktum att vi först har lärt oss om det nu, över ett år efter det att det introducerades, uppmuntrande. Det betyder att det är osannolikt att det har utnyttjats i stor utsträckning och gått under radaren från hackinggemenskapen.
Frågan kvarstår dock om du ska lita på Facebook med dina uppgifter om enkel inloggning?
Det råder ingen tvekan om bekvämligheten – det eliminerar behovet av att komma ihåg flera lösenord. Det är ju lättare att använda ett enda klick snarare än att skriva in ytterligare en e-postadress och lösenord.
Å andra sidan, som Facebooks senaste intrång har visat, om någon annan får tag i din åtkomsttoken kan dina andra konton vara sårbara.
Fråga dig själv hur mycket du litar på Facebook med dina data. Inte bara de data du delar på Facebook, utan potentiellt den data du har på andra webbplatser som kan nås med Single Sign On.
Allt kan vara på gång om det finns en annan liknande överträdelse i framtiden.
Vad sägs om enkel inloggning med Google?
Naturligtvis finns det många bra skäl att använda Single Sign On. Förutom att effektivisera inloggningsprocessen betyder det också att du inte ger dina uppgifter till varje webbplats du loggar in på.
Genom att behandla dina Google- eller Facebook-detaljer som en huvudnyckel kan du logga in på många andra webbplatser utan att någonsin ge dem dina uppgifter.
Låt oss säga att du registrerar dig på en webbplats, skapar ett nytt lösenord och lägger till personuppgifter i din profil. Om den här webbplatsen hackas kan dina uppgifter utnyttjas. Logga in med Single Sign On dock, och ingen av dina uppgifter är tillgängliga för den aktuella webbplatsen och kan därför inte äventyras. De är lika säkra som protokollen från “huvudsidan” – men i Facebooks fall är det inte en bra rekommendation.
Många webbplatser låter dig använda dina Google-kontouppgifter för att komma åt webbplatser och tjänster för Single Sign On. Är det något säkrare än att använda Facebook? För det första har Google inte haft några liknande intrång i sitt system i den utsträckning som Facebook har upplevt i helgen.
Återigen kommer det dock till förtroende. Litar du på Google att ha ryggen när det gäller dina personuppgifter? Det råder ingen tvekan om att det har strömmat miljoner i säkerhet och med tanke på dess storlek har det varit ganska mindre mottagligt för överträdelser än andra tekniska varumärken.
Lösningen – Använd en lösenordshanterare
Ett sätt att sidostegra farorna med åtkomsttoken som fångas upp av tredje part är med en lösenordshanterare. En lösenordshanterare är programvara som lever på din dator och låter dig komma åt dina webbplatser med ett klick på en knapp. Det tar bort behovet av att komma ihåg och ange lösenord upprepade gånger.
Till skillnad från Single Sign On är lösenordshanterare inte beroende av åtkomsttoken, så de kan inte utnyttjas lika enkelt. Det finns också en mängd andra funktioner som kommer med lösenordshanterare, till exempel robusta lösenordsgeneratorer för att skapa nya lösenord åt dig, plus automatiska varningar, om en webbplats du använder skulle hackas.
Lösenordshanterare är prenumerationsbaserade och tar vanligtvis några dollar per månad för att använda sina tjänster. Det är ett litet pris att betala för den lugnande känslan av att vara skyddad online, medan andra oroar sig för den senaste överträdelsen.
Det finns mycket att välja mellan, men vi har sparat dig lite forskning genom att lista de tre bästa nedan, enligt vår noggranna undersökning: