S-ar putea să fii surprins să afli că Facebook nu este atât de strict cu parolele tale precum credeai. Nu trebuie să introduci exact aceeași combinație de litere mari și mici, simboluri și cifre pe care le-ai setat inițial. Facebook este mai permisiv, acceptând mici abateri de la parola ta, oferindu-ți o experiență mai ușoară și, surprinzător, sigură.
Greșelile de scriere în parole sunt frecvente
Atât Facebook, cât și alte platforme online se confruntă cu o problemă: deși ne îndeamnă să folosim parole lungi și complexe, acestea sunt greu de introdus corect. Ideal ar fi să folosim un manager de parole, însă mulți utilizatori preferă să nu facă acest lucru. Din această cauză, introducerea greșită a parolei este un eveniment des întâlnit.
Așadar, ce ar trebui să facă Facebook în aceste situații?
Ar trebui să blocheze accesul utilizatorului la platformă pentru o mică greșeală de tastare, frustrându-l cu o a doua încercare? Sau ar trebui să admită că parola introdusă este foarte probabil corectă, dar cu o mică eroare, și să faciliteze accesul la conținutul preferat, trecând cu vederea micile erori?
Algoritmul Facebook înțelege greșelile de tastare
Conform declarațiilor lui Alec Muffet, fost inginer software la departamentul de infrastructură de securitate al Facebook din Londra, platforma a ales a doua variantă. Dacă parola introdusă este similară cu cea corectă, Facebook o poate considera valabilă. Regulile sunt simple: Facebook acceptă o parolă greșită dacă aceasta îndeplinește una dintre următoarele condiții:
Blocarea majusculelor este activată, dar scrierea cu majuscule este inversată.
Un caracter suplimentar este introdus la începutul sau la sfârșitul parolei.
Primul caracter al parolei, care ar trebui să fie o literă mică, este introdus ca literă mare.
După cum se poate observa, toate aceste variații se bazează pe eroarea umană de a tasta greșit o parolă. Uneori, poate fi o problemă de autocorecție, cum ar fi capitalizarea primei litere a unui cuvânt. Dacă parola introdusă greșit respectă aceste reguli, utilizatorul nu va observa problema – pur și simplu va fi autentificat în cont.
De exemplu, dacă parola este „ParolaMea”, Facebook va accepta și „pAROLAmEA” (o inversare a scrierii cu majuscule) și „ParolaMea” (prima literă este cu majusculă greșită). De asemenea, va accepta variații precum „1ParolaMea” și „ParolaMea2”, deoarece sunt corecte, cu excepția unui caracter suplimentar adăugat la început sau la sfârșit. Totuși, nu va accepta „PAROLAMEA”, „parolamea” sau „12ParolaMea”.
Siguranța nu este compromisă
La prima vedere, această politică laxă a Facebook privind parolele poate părea nesigură. Totuși, realitatea este mai complexă. Deși ne putem imagina scenele din filme cu hackeri care sparg parole în doar câteva minute prin forță brută, lucrurile nu funcționează chiar așa. Atacurile prin forță brută există, dar nu sunt atât de simple pe cât sunt prezentate. După cum ilustrează celebrul xkcd, cu cât o parolă este mai lungă, cu atât timpul necesar pentru a o sparge crește exponențial. Complexitatea ajută, dar nu atât de mult pe cât am crede.
Astfel, unul dintre scenariile acceptate de Facebook, un caracter suplimentar la începutul sau la sfârșitul parolei, este și mai greu de spart prin forță brută. Hackerii ar trebui să aibă deja parola corectă pentru a încerca variante cu un caracter suplimentar.
Interesant este și scenariul cu scrierea cu majuscule. Am testat acest lucru introducând mai întâi parola într-un editor text, inversând scrierea cu majuscule și lipind-o apoi în Facebook. Acea parolă a fost respinsă. Apoi, am activat blocarea majusculelor și am tastat parola ca și cum aceasta ar fi dezactivată, inversând scrierea. Această încercare a avut succes și am fost autentificat. Facebook nu verifică doar parola, ci și modul în care este introdusă. Atacurile prin forță brută nu vor funcționa în acest caz, fără a simula blocarea majusculelor, ceea ce ar fi mai dificil decât atacarea parolei reale.
Actualizare: Așa cum subliniază consultantul în securitatea informațiilor, Paul Moore, pe Twitter, cel mai probabil Facebook stochează doar parola inițială (criptată și cu salt), nu și variantele sale. Când se trimite o parolă pentru conectare, aceasta este verificată cu parola inițială. Dacă nu se potrivesc, Facebook încearcă variantele parolei trimise. De exemplu, dacă blocarea majusculelor este activată, Facebook inversează scrierea cu majuscule a parolei trimise și încearcă din nou. Dacă nici așa nu funcționează, Facebook încearcă următorul scenariu. Practic, Facebook face ceea ce am face și noi în cazul unei erori de parolă – verifică o greșeală de tastare și o corectează. Acest lucru face procesul mai puțin frustrant pentru utilizator. Această abordare nu scade securitatea, deoarece este totuși nevoie de cunoașterea parolei reale, iar variațiile acceptate sunt limitate.
Important de reținut este că atacurile prin forță brută nu sunt principala metodă prin care se obține accesul la rețelele sociale și alte conturi. Ingineria socială și bazele de date cu parole scurse sunt metode mai simple. Dacă ai întrebări legate de resetarea parolei, este foarte posibil ca o parte dintre răspunsuri să fie informații publice. Dacă întrebările de resetare sunt despre locul nașterii, numele de fată al mamei sau mascota liceului, este posibil să găsești răspunsul. În acest caz, un hacker poate reseta parola, fără a mai fi nevoie să o ghicească.
Din păcate, mulți utilizatori folosesc aceeași combinație de e-mail și parolă pe mai multe site-uri. Nu este greu să găsim exemple de breșe de securitate. Dacă folosești aceeași combinație de e-mail și parolă peste tot și o faci de ani de zile, atunci parolele tale sunt vulnerabile, nu politicile Facebook.
Dacă te îngrijorează posibilitatea de a fi victima unei breșe de securitate, accesează haveibeenpwned.com și verifică dacă parola ta a fost furată. Sunt șanse mari să fi avut cel puțin un cont compromis.
Protejează-ți conturile
Dacă încă te îngrijorează această politică, iată câțiva pași pe care îi poți urma: nu mai folosi aceeași parolă pe fiecare site. În schimb, folosește un manager de parole care să genereze parole lungi și unice pentru fiecare cont. Apoi, data viitoare când afli că un site a fost compromis, poți schimba doar acea parolă, știind că vechea parolă nu îi va ajuta pe hackeri.
După ce îți consolidezi parolele, activează autentificarea cu doi factori pe fiecare site care oferă această opțiune. Facebook oferă autentificarea cu doi factori, așa că ar trebui să o configurezi. Cea mai sigură autentificare cu doi factori este cea bazată pe o aplicație de pe smartphone care generează coduri noi frecvent sau o cheie fizică. Autentificarea cu doi factori prin SMS este mai bună decât nimic, dar este vulnerabilă la ingineria socială. Deci, dacă poți folosi o aplicație de autentificare sau o cheie fizică, ar trebui să faci acest lucru. Și asigură-te că ai o copie de rezervă în caz că telefonul sau cheia se strică.
Cu această combinație, contul tău este mult mai sigur, indiferent de politica Facebook privind parolele. Ar trebui să folosești măcar un manager de parole și parole unice, dar cel mai bine este să le combini cu autentificarea cu doi factori.
Nu te panica; bucură-te de comoditate
Deși politica Facebook privind parolele poate părea mai puțin sigură, beneficiile depășesc riscurile. Securitatea este un echilibru. Cu cât un sistem este mai bine blocat, cu atât accesul este mai dificil. Cu cât accesul este mai convenabil, cu atât este mai puțin sigur. Scopul este de a găsi un echilibru care să protejeze utilizatorii fără a-i frustra. Facebook a ales să acorde prioritate ușurinței în utilizare, și aceasta este probabil o decizie corectă.