Facebook ber om lösenord.
Foto: montage (Pixabay)

Vansinnig uppmaning från Facebook

Facebook är i blåsväder igen. Den här gången handlar det inte om något misstag som gjort att användares lösenord råkat loggas i klartext (likt incidenten i mars). Nu har Facebook i stället bett användare att göra något som vi i IT-säkerhetsbranschen ständigt påminner alla om att aldrig någonsin göra.

Verifiering av e-postadresser

När en användare skapar ett nytt konto på valfri webbtjänst får han eller hon oftast uppge sin e-postadress. Den e-postadressen ber webbtjänsten sedan om att få verifierad för att inte råka skicka meddelanden till fel person. Verifieringen görs generellt genom att användaren får en länk som han eller hon måste klicka på.

(Verifieringslänken är säkerhetsmässigt okej att klicka på i och med att den är ”beställd” av användaren i fråga. Det är för övrigt så verifieringen går till på Nikka Systems Academy.)

Facebooks absurda lösning

Personen bakom Twitter-kontot @originalesushi uppmärksammade att Facebook hade hittat på ett alternativt sätt att verifiera e-postadresser. I stället för att låta användaren klicka på en verifieringslänk bad Facebook helt enkelt om att få lösenordet till e-postkontot, så att de kunde verifiera kontot per automatik.

Som vi nämnt många gånger tidigare är e-postkontot det viktigaste kontot att skydda (på grund av rollen som det fyller för återställning av lösenord). Att Facebook ber om att få lösenordet dit är därför helt absurt! Ingen användare bör under några som helst omständigheter dela med sig av sitt e-postlösenord.

Facebook hade troligtvis inga onda avsikter när de begärde åtkomst till användarnas e-postkonton. Det spelar dock ingen roll. Facebooks agerande påminner om rena rama nätfiskeattacken. Det är högst beklagligt att ett så stort företag låter sina användare tro att nämnd verifieringsprocess är acceptabel.

Lämna aldrig ut ditt e-postlösenord

Lyckligtvis var det inte alla nya användare som uppmanades att begå denna säkerhetsmässigt vanvettiga handling. Facebook har också, i en kommentar till The Daily Beast, meddelat att de kommer sluta använda verifieringsmetoden.

Frågan kvarstår kring hur uppfinnandet av verifieringsmetoden kunde gå till. I brist på andra uttryck kan metoden inte beskrivas som annat än ”hål i huvudet”. Det är därför på sin plats att påminna om att webbtjänster aldrig ska ha tillgång till andra webbtjänsters lösenord. Facebook ska aldrig få reda på ditt e-postlösenord. Twitter ska aldrig få reda på ditt Microsoft-lösenord. Mer information om detta kommer i veckans avsnitt av Bli säker-podden som släpps på fredag.

Dela på facebook
Dela på Facebook
Dela på twitter
Dela på Twitter
Dela på linkedin
Dela på Linkedin
Dela på email
Tipsa via e-post

Lämna en kommentar

Fler Bli säker-nyheter

Hand som håller sociala medier.

Skydda företagets sociala medier

I veckans poddavsnitt berättar Tess och Nikka hur du ser till att ingen kan kapa företagets sociala medier. Fem enkla tips håller företaget säkert.

Twitter-klistermärken

Skydda företagets Twitter-konto

De svenska Socialdemokraterna har fått sitt Twitter-konto kapat. Så skyddar du ditt och ditt företags Twitter-konto för att aldrig hamna i samma situation.