Dacă credeți că singura versiune corectă a parolei este scrierea cu majuscule și secvența exactă de litere/simbol pe care o utilizați, este posibil să fiți în stare de șoc. Facebook va accepta mici variații ale parolei dvs., pentru confortul dvs. Și este perfect sigur.
Cuprins
Parolele sunt ușor de scris greșit
Facebook și alte site-uri similare au o problemă. Ei ar dori să utilizați parole lungi și complicate, dar acestea sunt greu de tastat. Ar trebui să utilizați un manager de parole pentru a vă ocupa de asta, dar majoritatea oamenilor nu o fac. Și din cauza acelor doi factori, este obișnuit să introduceți greșit parola.
În acel moment, ce ar trebui să facă Facebook?
Ar trebui să-ți refuze intrarea doar pentru că parola ta a fost ușor dezactivată și să te frustreze cu o a doua încercare? Sau ar trebui să recunoască că parola furnizată a fost probabil corectă, dar cu o greșeală de tipar și să vă ușureze călătoria către gif-uri pentru pisici și imagini pentru copii ignorând greșeala?
Facebook evaluează greșelile din parole
La fel de Alec Muffet, explică un fost inginer software pentru echipa de infrastructură de securitate de la Facebook Engineering din Londra, Facebook a ales-o pe cea din urmă. Dacă parola dvs. este foarte aproape de corectă, este posibil să o considere corectă. Regulile pentru aceasta sunt simple. Facebook va accepta o parolă incorectă dacă îndeplinește oricare dintre aceste condiții:
Aveți activată blocarea majusculelor, iar majusculele sunt inversate.
Introduceți un caracter suplimentar la începutul sau la sfârșitul unei parole
Primul caracter al parolei ar trebui să fie litere mici, dar ați introdus-o cu majuscule
După cum puteți vedea, toate aceste variații sunt centrate în jurul conceptului de bază de a vă lipsi ușor parola când introduceți text. În unele cazuri, aceasta poate fi o problemă de corectare automată, cum ar fi prima literă a unui cuvânt scrisă cu majuscule. Dacă parola introdusă greșit îndeplinește aceste reguli specifice, nu veți ști că a existat o problemă – doar vă veți găsi autentificat.
De exemplu, să presupunem că parola dvs. este „letMeIn”. Facebook va accepta, de asemenea, „LETmEiN” (pentru că aceasta este o inversare directă a majusculelor) și „LetMeIn” (pentru că aceasta este majusculă incorectă pentru prima literă). De asemenea, va accepta variații precum „1letMeIn” și „letMeIn2”, deoarece acestea sunt corecte, cu excepția unui caracter suplimentar la început sau la sfârșit. Cu toate acestea, nu va accepta deloc „LETMEIN”, „letmein” sau „12LetMeIn”.
Acest proces este încă sigur
La prima vedere, clemența pentru parola Facebook sună nesigură. Dar în acest caz, adevărul este mai complicat. Deși este ușor să ne gândim la vechile drame criminale ale hackerilor care au arătat că forța brută ghicește rapid o parolă în doar câteva minute, hacking-ul nu funcționează deloc așa. Forțarea brută a parolelor necunoscute există, dar este foarte diferită de ceea ce presupune TV. La fel de xkcd demonstrează celebru, pe măsură ce lungimea unei parole crește, timpul de spargere crește și el exponențial. Adăugarea de complexitate ajută, dar nu atât de mult pe cât ați putea crede.
Deci unul dintre scenariile pe care le permite Facebook, un caracter în plus la începutul sau la sfârșitul parolei, ar fi și mai greu de brute force. Hackerii ar trebui să aibă deja parola corectă înainte de a ajunge la parola plus un caracter suplimentar.
Un interes deosebit este scenariul cu majuscule. Am testat acest lucru introducând mai întâi parola mea în notepad, inversând cazul, apoi lipind rezultatul în Facebook. A respins acea parolă. Am activat apoi blocarea cu majuscule și mi-am tastat parola ca și cum blocarea majusculelor era dezactivată, inversând astfel cazul. Acea încercare a avut succes și am fost autentificat. Facebook nu verifică doar care este parola, ci și cum o introduci. Brute Force nu va ajuta în acest scenariu, fără a simula blocarea majusculelor, ceea ce ar fi mai dificil decât doar să țintim spre parola reală.
Actualizare: După cum subliniază consultantul pentru securitatea informațiilor Paul Moore Stare de nervozitate, cel mai probabil Facebook stochează doar parola inițială (hașată și sărată corect) și nu variațiile parolei. Când trimiteți o parolă pentru a vă conecta, aceasta este verificată cu parola dvs. inițială. Dacă nu se potrivește, Facebook rulează parola trimisă prin aceste variante. De exemplu, dacă Blocarea majusculelor este activată, Facebook preia parola trimisă, inversează scrierea cu majuscule a literelor și încearcă din nou. Dacă asta nu funcționează, Facebook încearcă din nou cu următorul scenariu. În esență, Facebook face ceea ce ați fi făcut atunci când primiți un mesaj de „parolă greșită” – verificând o eroare accidentală în parola introdusă și corectând-o. Asta face ca întregul proces să fie mai puțin frustrant pentru tine. Acest lucru nu scade securitatea, deoarece este încă necesară o idee despre parola corectă, iar variațiile acceptate sunt înguste.
Mai important, metodele de forță brută nu sunt metoda principală de a obține acces la rețelele sociale și la alte conturi. Ingineria socială și depozitele de parole sunt mult mai simplu de utilizat. Dacă aveți întrebări despre resetarea parolei, există o șansă decentă că cel puțin unele dintre răspunsuri sunt informații accesibile publicului. Dacă întrebarea dvs. de resetare este despre locul de naștere, numele de fată al mamei sau mascota din liceu, atunci este posibil să găsiți răspunsul. În acel moment, un actor rău vă poate reseta parola, făcând orice nevoie de a ghici sau de a determina parola în sine.
Din păcate, mulți oameni încă folosesc aceeași combinație de e-mail și parolă pe fiecare site care necesită acreditări de conectare. Nu trebuie să căutați departe pentru a găsi exemplu după caz de încălcare a datelor. Dacă folosești aceeași combinație de e-mail și parolă în mai multe locuri și ai fost de ani de zile, atunci parolele tale sunt vulnerabilitatea, nu politicile Facebook.
Dacă nu sunteți sigur dacă ați fost victima unei încălcări, accesați haveibeenpwned.com și verificați dacă parola v-a fost furată. Sunt șanse să fi avut cel puțin un cont compromis undeva.
Ar trebui să vă asigurați întotdeauna conturile
Dacă încă ești îngrijorat că această politică te lasă vulnerabil, există pași pe care îi poți lua. Primul pas este să nu mai folosiți aceeași parolă pentru fiecare site. În schimb, obțineți un manager de parole și lăsați-l să genereze parole lungi unice pentru fiecare site pe care îl utilizați. Apoi, data viitoare când vezi că un site web pe care l-ai folosit a fost compromis, poți să schimbi doar acea parolă și să te simți în siguranță știind că această parolă cunoscută nu le va ajuta la nimic hackerilor.
După ce vă întăriți parolele, activați autentificarea cu doi factori pe orice site care o oferă. Facebook oferă autentificare cu doi factori, așa că ar trebui să o configurați și acolo. Cea mai bună autentificare cu doi factori se bazează pe o aplicație cu smartphone-ul dvs. care generează frecvent un nou cod sau o cheie fizică pe care o păstrați cu dvs. În timp ce autentificarea cu doi factori bazată pe SMS este mai bună decât nimic, este totuși vulnerabilă la tehnicile de inginerie socială. Deci, dacă vă puteți baza pe o aplicație de autentificare sau pe o cheie fizică, ar trebui. Și aveți o copie de rezervă în cazul în care se întâmplă ceva cu telefonul sau cheia dvs.
Cu această combinație, contul tău este mult mai sigur, indiferent de politicile Facebook privind parolele. Ar trebui să utilizați cel puțin un manager de parole și parole unice, dar este mai bine să le folosiți în combinație cu autentificarea cu doi factori.
Nu intrați în panică; Bucurați-vă de comoditate
În ceea ce privește politica de parole a Facebook, este ușor să vă faceți griji că este mai puțin sigură, dar realitatea este că beneficiile depășesc riscurile. Securitatea este un act de echilibru. Cu cât blocați mai mult un sistem, cu atât este mai puțin convenabil accesul. Dar pe măsură ce adăugați un acces mai convenabil, pierdeți securitatea. Trucul este să obțineți cantitățile potrivite din ambele pentru a vă proteja utilizatorii fără a-i frustra. Facebook a greșit în privința ușurinței utilizatorilor aici și aceasta este probabil o decizie acceptabilă.