隨著駭客攻擊的增加，facebook connect成為安全解決方案

上週，Formspring伺服器遭到破壞，超過42萬雜湊使用者密碼被盜。Formspring創始人兼執行長阿德•奧洛諾（Ade Olonoh）在部落格中就資料洩露事件致歉，並建議使用者立即建立新密碼。這篇500字博文的最後一行寫道：“如果你已經將Facebook連結到你的帳戶，你可以安全地使用Facebook Connect登入。”Olonoh博文中的細節是事後才想到的，但他的感想也是許多網站轉向Facebook處理身份驗證的部分原因。你很難找到一家更認真保護使用者資料的公司。”Facebook安全團隊成員弗雷德·沃倫斯（Fred Wolens）告訴我說：“我們的登入資訊從未遭到侵犯。

“沒有太多我們不用的技巧。”

實現Facebook Connect（也稱為Facebook登入）有點像為每個使用者**一個安全細節，並免費獲得這項服務。”沃倫斯說：“沒有太多我們不用的竅門，”他之前向我詳細介紹了Facebook保護使用者的各種方式，比如掃描資料轉儲網站，如Pastebin weekly，以獲取使用者憑據。如果任何會員的使用者名稱或密碼出現，Facebook會提醒你。該公司最近還與領先的反病毒公司合作，將其URL黑名單擴大了數億個連結。

這並不是Facebook Connect第一次因為給使用者省事而被叫來。在幾年前的Gawker資料洩露事件中，該公司承認使用Facebook登入的使用者可以忽略所有的密碼盜竊事件。當然，使用Facebook登入有一些明顯的侷限性，比如你必須是Facebook的會員才能使用它，如果Facebook癱瘓了，你就完蛋了。此外，大多數網站不允許透過Facebook登入的使用者在評論時使用假名。最後，Facebook的“授權此網站訪問您的資訊”對話方塊對您網站上的新使用者是一種威脅，部分原因是網站經常利用這個機會要求更多的許可權。對話方塊中的語言（“我與所有人共享的任何其他資訊”）也不是完全透明的。

但是，總的來說，Facebook Connect幾乎已經成為了初創公司的一個入門工具，它比“登入Google”等其他選項獲得了更多的關註轉盤.fm提供獨特的只邀請方案，但也可以避免麻煩，要求使用者建立新帳戶，同時限制接觸駭客-所有的程式碼都少於50行。”對於我們的使用者來說，這意味著不必再建立另一個帳戶，當你註冊時，就可以立即在Songza上顯示你的社交圖，”Songza執行長Elias Roman告訴我。然而，對於大公司來說，在Facebook上建立一個登入平臺可能是有風險的。如果你90%的使用者都使用Facebook登入過，那麼改變社交網路的服務條款或開放式圖表可能代價高昂。

這些公司中有許多選擇將其他Facebook工具與Connect整合在一起，比如一個開放圖形外掛，它可以將您收聽的所有歌曲傳送到朋友的新聞源中。”由於我們的開放圖形整合，在給定的一個月內，每個連線到Facebook的使用者至少會生成一個額外的連線到Facebook的使用者，這真是太棒了對於任何一個習慣於使用api的人來說，這很容易建立起來。不幸的是，有時惱人或欺騙性的開放圖實現掩蓋了Connect的有用性，Connect本質上只是一個身份驗證工具。

“開發人員不需要不斷迭代和改進帳戶恢復，因為我們有整個團隊的人都在關註這個問題。”

也許更重要的是，安裝Connect使站點所有者不必建立深度密碼恢復系統。Facebook已經有了各種各樣的解決方案來恢復密碼，比如讓你識別幾個朋友的臉。”開發人員不需要不斷迭代和改進帳戶恢復，因為我們有整個團隊的人在關註這個問題。很少有網站有資源或時間來設計“社交驗證碼”演算法，以確定某人實際上就是他們所說的人的可能性。”沃倫斯說：“如果你每天都使用同一臺電腦，並試圖從那臺電腦上恢復密碼，這與你在半個地球上的情況大不相同。”我們知道Ellis在過去30天內使用了這臺計算機登入，因此我們可以減少讓您重新登入帳戶的摩擦。”

在這樣一個時代，許多人（或者可能大多數人）登入的每個網站都使用相同的密碼，Facebook Connect已經扮演了身份守護者的角色。整合Facebook Connect聽起來像是讓Big Brother為你的站點處理“無摩擦”的安全檢查點，但是隨著伺服器被入侵和站點崩潰，它被證明是相當誘人的。

有關Facebook安全的更多資訊，請檢視我們的報告：Facebook內部安全：保護使用者免受垃圾郵件傳送者、駭客和“likejackers”的攻擊