Facebook fałszuje twoje hasło dla wygody
Jeśli uważasz, że jedyną poprawną wersją twojego hasła jest dokładna wielkość liter i sekwencja liter / symboli, których używasz, możesz być w szoku. Facebook zaakceptuje nieznaczne zmiany hasła, dla Twojej wygody. I jest całkowicie bezpieczny.
Hasła są łatwe do pomylenia
Facebook i inne podobne witryny mają problem. Chcieliby, abyś używał długich i skomplikowanych haseł, ale trudno je wpisać. Powinieneś używać menedżera haseł, aby zająć się tym dla ciebie, ale większość ludzi tego nie robi. A z powodu tych dwóch czynników często mylimy hasło.
W tym momencie co powinien zrobić Facebook?
Czy odmówią Ci wejścia tylko dlatego, że twoje hasło było nieznacznie wyłączone, i frustruje cię drugą próbą? A może uznają, że podane hasło było prawdopodobnie poprawne, ale z literówką i wygładzają twoją podróż do gifów dla kotów i zdjęć dla dzieci, ignorując błąd?
Facebook ocenia błędy w hasłach
Jak wyjaśnia Alec Muffet, były inżynier oprogramowania dla zespołu ds. Infrastruktury bezpieczeństwa w Facebooku Engineering w Londynie, Facebook wybrał to drugie. Jeśli twoje hasło jest bardzo zbliżone do poprawnego, może je uznać za prawidłowe. Zasady dotyczące tego są proste. Facebook zaakceptuje nieprawidłowe hasło, jeśli spełnia którekolwiek z poniższych warunków:
- Masz włączoną blokadę kapsli, a kapitalizacja jest odwrotna.
- Wpisujesz dodatkowy znak na początku lub na końcu hasła
- Pierwszy znak hasła powinien być pisany małymi literami, ale wpisałeś go wielkimi literami
Jak widać, wszystkie te warianty koncentrują się wokół podstawowej koncepcji nieznacznego braku hasła podczas pisania. W niektórych przypadkach może to być kwestia autokorekty, na przykład pierwsza litera słowa pisanego wielkimi literami. Jeśli twoje błędnie wpisane hasło spełnia te określone zasady, nie będziesz wiedział, że wystąpił problem - po prostu się zalogujesz.
Na przykład, powiedzmy, że twoje hasło to "letMeIn". Facebook zaakceptuje również "LETMEiN" (ponieważ jest to zwykłe odwrócenie blokady kapsla) i "LetMeIn" (ponieważ jest to niepoprawny kapitał dla pierwszej litery). Przyjmuje również odmiany takie jak "1letMeIn" i "letMeIn2", ponieważ są poprawne, z wyjątkiem dodatkowego znaku na początku lub na końcu. Jednak nie zaakceptuje w ogóle "LETMEIN", "letmein" lub "12LetMeIn".
Ten proces jest nadal bezpieczny
Seasontime / ShutterstockNa pierwszy rzut oka hasło do hasła na Facebooku brzmi niepewnie. Ale w tym przypadku prawda jest bardziej skomplikowana. Chociaż łatwo jest pomyśleć o starych dramatach zbrodni hakerskich, które wykazały szybkie brutalne zgadywanie hasła w zaledwie kilka minut, hackowanie w ogóle nie działa w ten sposób. Brut wymuszanie nieznanych haseł istnieje, ale jest zupełnie inny niż sugeruje telewizja. Jak dowodzi znakomicie Xkcd, wraz ze wzrostem długości hasła czas na jego złamanie również wzrasta wykładniczo. Dodanie złożoności pomaga, ale nie tak bardzo, jak mogłoby się wydawać.
Tak więc jeden ze scenariuszy, które pozwala Facebook, dodatkowy znak na początku lub na końcu hasła, byłby jeszcze trudniejszy do brutalnej przemocy. Hakerzy musieliby już mieć poprawne hasło, zanim dotarliby do hasła plus dodatkowy znak.
Szczególnie interesujący jest scenariusz caps lock. Testowałem to najpierw ręcznie wpisując hasło do notatnika, odwracając sprawę, a następnie wklejając ten wynik do Facebooka. Odrzuciło to hasło. Następnie włączyłem blokadę i wpisałem hasło tak, jakby blokada czapek była wyłączona, odwracając skrzynkę. Ta próba zakończyła się sukcesem i zostałem zalogowany. Facebook nie tylko sprawdza, jakie jest hasło, ale także, jak je wprowadzić. Brute Force nie pomoże w tym scenariuszu, w przeciwieństwie do symulowania blokad czapek, co byłoby trudniejsze niż samo celowanie w rzeczywiste hasło.
Aktualizacja: Jako, że konsultant bezpieczeństwa informacji Paul Moore wskazuje na Twitterze, Facebook najprawdopodobniej przechowuje jedynie twoje oryginalne hasło (prawidłowo zaszyfrowane i zasolone), a nie wariacje hasła. Po przesłaniu hasła do zalogowania jest ono sprawdzane pod kątem oryginalnego hasła. Jeśli się nie zgadza, Facebook przesyła przesłane hasło za pośrednictwem tych odmian. Na przykład, jeśli Twoja Caps Lock jest włączona, Facebook przyjmuje Twoje przesłane hasło, odwraca wielkość liter i próbuje ponownie. Jeśli to nie zadziała, Facebook spróbuje ponownie z kolejnym scenariuszem. Zasadniczo Facebook robi to, co zrobiłbyś po otrzymaniu "błędnego hasła" - sprawdzanie przypadkowego błędu w wpisywanym haśle i jego poprawianie. To sprawia, że cały proces jest mniej frustrujący dla ciebie. Nie zmniejsza to bezpieczeństwa, ponieważ niektóre pomysły prawidłowego hasła są nadal potrzebne, a zaakceptowane odmiany są wąskie.
Co ważniejsze, metody brutalnej siły nie są podstawową metodą uzyskania dostępu do sieci społecznościowych i innych kont. Inżynieria społeczna i zrzuty haseł są znacznie prostsze w użyciu. Jeśli masz pytania dotyczące resetowania hasła, istnieje spora szansa, że przynajmniej niektóre z nich są publicznie dostępne. Jeśli twoje pytanie resetujące dotyczy twojego miejsca urodzenia, panieńskiego nazwiska matki lub maskotki z liceum, wtedy możesz znaleźć odpowiedź w dół. W tym momencie zły aktor może zresetować hasło, sprawiając, że potrzeba odgadnięcia lub ustalenia samego hasła jest całkowicie dyskusyjna.
Niestety wiele osób wciąż używa tej samej kombinacji adresu e-mail i hasła w każdej witrynie, która wymaga danych logowania. Nie musisz szukać daleko, aby znaleźć instancję po wystąpieniu naruszenia danych. Jeśli używasz tej samej kombinacji adresu e-mail i hasła w więcej niż jednym miejscu i od lat, to Twoje luki są luką, a nie polityką Facebooka.
Jeśli nie masz pewności, czy padłeś ofiarą naruszenia, wejdź na stronę haveibeenpwned.com i sprawdź, czy hasło zostało skradzione. Istnieje szansa, że przynajmniej jakieś konto zostało gdzieś naruszone.
Powinieneś zawsze zabezpieczyć swoje rachunki
Nicescene / Shutterstock.comJeśli nadal obawiasz się, że ta zasada pozostawia Cię bezbronną, możesz podjąć kroki. Pierwszym krokiem jest zaprzestanie używania tego samego hasła dla każdej witryny. Zamiast tego uzyskaj menedżera haseł i pozwól mu generować unikalne długie hasła dla każdej innej używanej witryny. Następnym razem, gdy zobaczysz, że strona, której użyłeś, została naruszona, możesz zmienić tylko jedno hasło i poczuć się bezpiecznie wiedząc, że to znane hasło nie zrobi hakerom żadnego dobrego.
Po utwardzeniu haseł włącz uwierzytelnianie dwuskładnikowe w dowolnej witrynie, która je oferuje. Facebook oferuje uwierzytelnianie dwuskładnikowe, więc powinieneś go tam również skonfigurować. Najlepsze uwierzytelnianie dwuskładnikowe opiera się na aplikacji ze smartfonem, która często generuje nowy kod lub klucz fizyczny, który trzymasz przy sobie. Chociaż dwuetapowe uwierzytelnianie oparte na SMS-ach jest lepsze niż nic, wciąż jest podatne na techniki inżynierii społecznej. Jeśli więc możesz polegać na aplikacji uwierzytelniającej lub kluczu fizycznym, powinieneś. I przygotuj kopię zapasową na wypadek, gdyby coś stało się z twoim telefonem lub kluczem.
Dzięki tej kombinacji Twoje konto jest znacznie bezpieczniejsze, niezależnie od zasad haseł na Facebooku. Powinieneś przynajmniej użyć menedżera haseł i unikalnych haseł, ale używanie ich w połączeniu z uwierzytelnianiem dwuskładnikowym jest lepsze.
Nie panikuj; Ciesz się wygodą
Jeśli chodzi o politykę haseł Facebooka, łatwo się martwić, że jest mniej bezpieczna, ale w rzeczywistości korzyści przewyższają ryzyko. Bezpieczeństwo to działanie równoważące. Im bardziej blokujesz system, tym mniej wygodny jest dostęp. Ale gdy dodasz wygodniejszy dostęp, tracisz bezpieczeństwo. Sztuką jest uzyskanie odpowiedniej ilości obu, aby chronić swoich użytkowników, nie frustrując ich. Facebook popełnił błąd po stronie użytkownika, a to prawdopodobnie jest dopuszczalna decyzja.