防止社交工程攻击我的Facebook应用程序的策略

Question

背景：

我发现不可能为我的Facebook应用程序创建一个假的Facebook帐号来做管理员。或者让一个商业账户成为Facebook应用程序的管理员。这里有三个堆栈溢出问题，为了创建一个应用程序，我必须使用一个链接到真实用户的个人Facebook帐户：

• https://stackoverflow.com/questions/10805745/creating-and-managing-a-facebook-app-from-a-business-account
• https://stackoverflow.com/questions/7525556/create-facebook-applications-for-a-company-without-a-personal-profile
• https://stackoverflow.com/questions/7829679/how-do-i-can-i-create-a-facebook-app-for-my-company-without-using-my-personal-fa

我听说过人们的个人Facebook通过社会工程被黑客攻击的故事。如果我的帐户被破坏，它也会损害我的应用程序。

问题：

既然这个问题已经到了主观的地步，我会尽力问一些具体的问题。

• 为了减少一个成功的社会工程攻击的可能性，我想让它很难弄清楚哪个帐户是链接到应用程序。是否违反了Facebook的条款和条件，创建一个以我的名字和生日为主题的账户，但却显示了我不居住的地点？
• 我可以添加两个因素认证来访问我的Facebook应用程序的管理面板吗？
• Facebook或任何其他网站是否有统计数据，显示Facebook应用程序被社会工程破坏的频率？
• Facebook是否提供了一个我的公司可以注册的程序，允许我们通过一个非个人的Facebook页面来管理我们的应用程序？
• 是否有保护我的Facebook应用程序不受社会工程影响的有文件记载的策略？通过文档化的策略，我询问的是许多公司已经写过并正在使用的策略；我不打算让这是一个自以为是的头脑风暴会议或讨论。

非常感谢你的帮助！

Answer 1

你没有说明你的公司有多大，有多少人可以访问Facebook账户，所以我会根据你提供的相当广泛的信息来回答。

首先，社会工程在一般情况下并不是很难阻止，这一切归结于你给你的员工提供的培训。告诉他们，他们不应该在没有得到你的许可的情况下向任何人提供任何秘密信息--账户名、密码、安全问题等等。这是一篇讨论此主题的文章。

第二，正如评论中提到的，不要使用日常账户。创建一个纯粹用于管理页面的帐户，并且只有负责管理Facebook应用程序的工作人员才知道。

最后，您需要启用尽可能多的安全性。使用一个复杂的密码(如果有多个人员可以访问，我实际上不会推荐密码管理器，因为这增加了其中一个人成为社会工程受害者的可能性)，用大写和小写字母、数字和特殊字符(参见Computerphile最近的视频，他们对这个主题做得很好)。此外，在登录到帐户时启用两个因素身份验证。