Facebook besloot eerder al om in te grijpen, na de diefstal van privégegevens van zijn leden. Zo heeft Facebook een nieuwe, optionele, verificatiestap ingevoerd voor het verbindingsproces. Deze beveiligingsfunctie, Login Approvals genoemd, werkt op twee niveaus en controleert de naam van de gebruiker en zijn paswoord. Met Login Approvals ontvangen Facebook-gebruikers per sms een bericht met een unieke code als zij proberen in te loggen vanaf een apparaat waarvan ze nog niet eerder hebben ingelogd. De code kan de computer waarop je probeert in te loggen authenticeren. De goedkeuring hoeft maar één maal te worden uitgevoerd, want daarna zal Facebook het apparaat herkennen. Inloggen met je gebruikersnaam en wachtwoord is vanaf dan het enige wat je nog hoeft te doen.

Facebook geeft aan dat op deze manier de accounts beveiligd zijn tegen elke inbraakpoging. Van zodra iemand probeert de toegang te verkrijgen tot je account, zal de rechtvaardige gebruiker daarvan op de hoogte worden gebracht en zal hij gevraagd worden zijn paswoord te veranderen. Indien iemand de functie Login Approvals activeert, en vanaf een niet-erkend apparaat toegang wil verkrijgen tot zijn account zonder zijn telefoon bij de hand, zal de toegang vergrendeld blijven totdat hij inlogt vanaf een erkende terminal.

Deze procedure verreist dus dat de leden hun persoonlijk mobiel telefoonnummer ingeven, wat dus voor betekent dat je je eigen persoonlijke informatie ter beschikking van Facebook stelt.

Facebook zou kunnen overwegen om, naast deze SMS-technologie, een technologie te gebruiken. Maar Facebook opteert toch voor SMS, totdat deze authentificatiefunctie op twee niveaus ingeburgerd is. 

“Wij willen dat deze verbindingsauthorisatie gebouwd is volgens een model dat veiligheid en bruikbaarheid combineert,” onderlijnt Andrew Song, Facebook-ingenieur, in een blogbericht. “Andere sites maken reeds van dergelijke functionaliteiten gebruik. Gebruikers kunnen bijvoorbeeld authentificatie-applicaties of “tokens” downloaden. Dit is een goede aanpak, maar vergt veel inspanning van de gebruiker.”

Song verklaarde ook dat mensen gebruikersnamen en hun paswoorden op verschillende manieren stelen, zoals via phishing, door het onderscheppen van niet-beveiligde wifi-verbindingen of door het gebruik van malware. Om de functie Login Approvals te activeren, volstaat het om naar het Account Security-gedeelte te gaan in de accountinstellingen-pagina.

Véronique Arène
Meer informatie op http://www.lemondeinformatique.fr