尽管对很多人来说这并非显而易见，但是Facebook确实正处于一个转型过程中，即从世界最流行的社交媒体网站转向互联网身份识别基础设施的关键部分。如果它能取得成功，Facebook及其用户账号将成为黑客的更大目标。

　　Facebook可能会为整个互联网提供统一身份识别

　　正如安全专业人士所争论的那样，是否互联网需要一个“身份识别层”，即一个统一的认证用户身份的协议？越来越多的网站正用他们的程序代码做出投票。他们采用“Facebook连接”（Facebook Connect）作为所有拥有Facebook账号的人的登录方式，点击该按钮即可。

　　Facebook于2008年7月引入“连接返回”功能，给第三方网站提供工具以使用Facebook持有的用户信息，其中包括登录信息。因而这些网站可以选择允许Facebook用户使用他们Facebook账号作为身份识别（参看《社交媒体时代专属浏览器》）。

　　例如，网站统计数据公司Alexa可以让新用户选择，是通过输入用户名和密码创建一个账号，还是简单的点击“连接Facebook”（Connect with Facebook）按钮进行登录。使用这一功能的知名网站还包括互联网电影数据库（Internet Movie Database），Ask.com和娱乐体育节目电视网（ESPN）。其他的网站在2011年几乎会一窝蜂地倒向这一方式。Facebook的身份系统没准可以很好地提供那些威瑞信（VeriSign）、微软、雅虎和谷歌一直拼命想提供的东西：单一的互联网“驾驶执照”（不考虑由一家公司拥有如此权利是否是一件好事的问题）。

　　特有的一些因素的组合使得Facebook很适合做互联网用户身份识别库。不像其他流行的网站，Facebook是要求用户注册并登录的，其条款要求“用户必须提供真实姓名和信息”——事实上，Facebook会终止那些看起来由伪造的姓名或虚构的信息创建的账号。既然Facebook的用户在自己的账号上投入了巨量和持久的个人内容——包括图片、联系人信息和他们社交网络的连接关系，这些内容很可能会同这个网站保持长久的关系。

　　真实身份的持久性使Facebook在解决当今互联网最紧迫问题——用户姓名和密码的激增时，处于有利位置。

　　与当今实践相反，大多数的网站没有理由强制他们的用户创建用户名和密码。不过，多数网站不需要也不想去管理他们用户的身份——他们只是想有一种能长久使用的可信方法来识别用户。例如，媒体网站希望能够归纳评论和限制垃圾信息。个人财务网站想给用户提供一种方法能安全地监控高度个人化的信息，比如用户可能想持有的证券投资组合。

　　再有，维护一套用户身份基础设施存在风险——例如上个月发生的黑客侵入高客传媒（Gawker Media）系统并下载了超过100万高客用户的账号和密码的事件使得这一种风险愈发明显（参看《黑客揭露50个最常用密码》）。根据剑桥大学的安全研究者的攻击分析报告，即使密码已经加密，但很多都容易被猜到，因此账号随时可能被攻破。紧跟攻击之后，几个无关的网站包括LinkedIn和Woot，给他们的用户发送电子邮件警告：如果他们使用和高客账户相同的密码，则需对密码做变更。

　　Facebook登录可以让地球上任何网站使用它的身份基础设施，并提供安全保护措施。实施Facebook登录也很简单，只需在网站上增加几行代码。一旦完成，网站的用户将看到“连接Facebook”按钮。如果他们已经登录到Facebook（最近访问过Facebook网站），他们只要点一下按钮即可进入网站。如果他们最近没有登录过Facebook，则会提示输入他们的Facebook用户名和密码。

　　网站运营者可得到的一个有意思的益处是，Facebook登录方式能给网站提供用户的真实姓名（大多数情况下）和其他一些任选信息，如用户的“好友”和“喜好”。当前，Facebook对使用身份识别基础设施或获取附加用户信息的网站不收取费用，不过将来Facebook很可能会收。

　　Facebook对安全功能进行创新，但仍任重而道远

　　Facebook已经对互联网安全问题相当熟悉了，只因为它拥有超过5亿人的个人数据。更多对Facebook平台的使用已超出了社交媒体的范围，这显然增加了新的关注。例如，新西兰的一家银行9月份宣布允许客户在Facebook上访问银行信息。如果Facebook公司扩展范围为全球网络提供登录，则他们可能面临的挑战将更为巨大。

　　实际上，在过去的几年中，Facebook已经采取措施用几种方法改进其平台的安全性。

　　例如，去年Facebook引入一套系统，让用户在可能有敲键跟踪软件（keystroke-logging spy software）的公共终端上登录时请求一个单次有效的密码。用户从注册手机上发送包含字母“otp”的短消息到32665（“FBOOK”），Facebook服务器返回一个只能登录账号一次的密码。其中的原理是，就算黑客使用了密码嗅探器也没关系，因为密码下次已经不起作用了。

　　另一创新是，Facebook允许用户监控他们登录到Facebook的不同的浏览器和设备。点击“账号设置”下拉菜单并选择“账号安全”，Facebook用户能看到当前已经通过认证的所有连接上的设备，你可以对任一设备做远程登出操作——当你已在父母电脑上登录了Facebook而恰巧又离开时，这个功能很有用。你可以要求Facebook在每次一个新设备登录到你的Facebook账号时给你发送短信提醒。当然，如果你看见一个从你不认识的机器上来的连接，你就需要更换密码了。

　　不幸的是，Facebook仍然有两个重要的弱点，使它和多数美国银行网站相比安全性大大降低：它依赖单一的用户名和密码获得账号的访问，以及它使用非加密的cookie跟踪登录的浏览器。

　　用户名和密码的组合是一个弱点。Facebook账号可能遭到从其他网站窃取了信息的黑客的威胁，或通过不断尝试很多用户名和密码组合的猜测方式的威胁（即所谓的暴力攻击）。

　　“我们已经构建了应对这类暴力攻击的系统”，Facebook的发言人西蒙·阿克斯顿（Simon Axten）说，“例如，如果我们发现有对某一账号的可疑登录尝试，我们将要求其做一个人类验证（CAPTCHA），我们甚至会暂时禁止对这个账号的访问”。

　　Facebook监控一些“信号”，包括登录的位置和设备，以决定什么时候认定一个账号正在受到持续攻击，阿克斯顿说。“一旦我们标记了某次攻击，即使输入了正确的登录凭证，我们也会要求登录人提供额外的认证信息，如回答安全问题、通过短信息发送一段代码，或识别账号主人访问过的照片上标记的朋友。”

　　虽然如此，仍存在甚至不需要知道密码就能访问一个人的Facebook账号的方法。这是因为当一个网络浏览器有账号登录时，Facebook使用认证cookie来对它做跟踪。不像Facebook密码在互联网上传送的时候是经过加密的，每次登录Facebook的电脑与服务器端通信的时候，cookie都被发送到Facebook的非加密网络服务器上。当你在工作或家里使用硬连线（hard-wired）或加密无线的互联网连接时，这样没有太大风险。但是当你在咖啡馆或机场使用非加密的无线接入点时，某个在笔记本上运行网络数据包嗅探器的人可以在空中窃取你的认证cookie，然后以你的账号登录Facebook。

　　自从去年秋天以来，这种窃取行为变得更加容易了。埃里克·巴特勒（Eric Butler），一个西雅图的互联网应用及软件的自由开发者，发布了一个称为Firesheep的火狐浏览器插件，使用这个插件能自动完成窃取过程（参看《Firesheep攻击Wi-Fi易如反掌》）。利用运行在火狐浏览器的Firesheep，你截获了一张被窃取到的认证cookie的列表：瞧！只要点击账号名，你就能访问这些用户账号，连登录都不用。

　　阿克斯顿说，“Facebook正面临着其他公司不曾面临的安全挑战：为超过5亿的人在受到持续攻击的服务上提供保护——如果真的有的话数量也绝少，甚至政府都不曾面临。曾经遭遇安全问题的Facebook用户不超过1%，这一事实是我们引以为豪的巨大成就。”

　　现在，唯一保护你自己不被cookie窃取的方法是使用加密连接https://ssl.facebook.com/访问Facebook。据阿克斯顿说，服务器仍在测试过程中，“未来几个月”将会更广泛地作为一个选项推出。他补充道：“正如以往那样，我们建议人们在非安全的Wi-Fi网络上发送或接收信息时要多加小心。”