Pokud si myslíte, že jedinou správnou verzí vašeho hesla je přesná velká písmena a posloupnost písmen / symbolů, které používáte, můžete být v šoku. Facebook pro vaše pohodlí přijme drobné variace vašeho hesla. A je to naprosto bezpečné.
Hesla se snadno mýlí
Facebook a další podobné stránky mají problém. Chtěli by, abyste používali dlouhá a komplikovaná hesla, ale ta se těžko zadávají. Měli byste být pomocí správce hesel postarat se o to za vás, ale většina lidí ne. A kvůli těmto dvěma faktorům je běžné zadávat nesprávné heslo.
V tu chvíli by měl Facebook dělat?
Měli by vám odepřít vstup jen proto, že vaše heslo bylo mírně vypnuté a frustrovat vás druhým pokusem? Nebo by měli uznat, že poskytnuté heslo bylo pravděpodobně správné, ale s překlepem a hladkou cestu k kočičím gifům a dětským obrázkům ignorováním chyby?
Facebook vyhodnocuje chyby v heslech
Tak jako Alec Muffet , vysvětluje bývalý softwarový inženýr týmu bezpečnostní infrastruktury ve společnosti Facebook Engineering v Londýně, Facebook si vybral druhého. Pokud je vaše heslo velmi blízko ke správě, mohou jej považovat za přesné. Pravidla jsou přímá. Facebook přijme nesprávné heslo, pokud splňuje některou z těchto podmínek:
- Máte zapnutou funkci Caps Lock a velká písmena jsou obrácena.
- Na začátek nebo konec hesla zadáte další znak
- První znak hesla by měl být malý, ale zadali jste ho velkým písmem
Jak vidíte, všechny tyto varianty jsou soustředěny kolem základního konceptu mírného chybějícího hesla při psaní. V některých případech se může jednat o problém automatické opravy, například o první písmeno slova, které je psáno velkými písmeny. Pokud vaše nesprávně zadané heslo splňuje tato konkrétní pravidla, nebudete vědět, že nastal problém - pouze se přihlásíte.
Řekněme například, že vaše heslo je „letMeIn“. Facebook také přijme „LETmEiN“ (protože se jedná o obrácení funkce Caps Lock) a „LetMeIn“ (protože se jedná o nesprávný kapitál pro první písmeno). Přijme také varianty jako „1letMeIn“ a „letMeIn2“, protože jsou správné, kromě dalšího znaku na začátku nebo na konci. Neakceptuje však „LETMEIN“, „letmein“ nebo „12LetMeIn“ vůbec.
Tento proces je stále bezpečný
Na první pohled zní shovívavost hesla Facebooku na Facebooku nejistě. Ale v tomto případě je pravda komplikovanější. I když je snadné myslet na stará hackerská kriminální dramata, která ukázala rychlé hádání hrubou silou na heslo během pouhých několika minut, hackování tímto způsobem vůbec nefunguje. Brute vynucení neznámých hesel existuje, ale je to velmi odlišné, než naznačuje TV. Tak jako xkcd skvěle demonstruje , jak se délka hesla zvyšuje, zvyšuje se také čas jeho prolomení exponenciálně. Přidání složitosti pomáhá, ale ne tolik, jak si myslíte.
Takže jeden ze scénářů, které Facebook umožňuje, zvláštní znak na začátku nebo na konci hesla, by bylo ještě těžší hrubou silou. Hackeři by již potřebovali mít správné heslo, než se k heslu dostali, plus další znak.
Zvláště zajímavý je scénář Caps Lock. Testoval jsem to tak, že jsem nejprve ručně zadal své heslo do poznámkového bloku, obrátil případ a potom vložil tento výsledek na Facebook. Odepřelo to heslo. Poté jsem zapnul zámek uzávěrů a zadal své heslo, jako by zámek uzávěru byl vypnutý, čímž jsem případ obrátil. Tento pokus byl úspěšný a byl jsem přihlášen. Facebook nejen kontroluje, jaké je heslo, ale také to, jak je zadáváte. Brute Force v tomto scénáři nepomůže, kromě simulace zámku čepic, což by bylo obtížnější, než jen namířit na skutečné heslo.
Aktualizace : Jak zdůrazňuje poradce pro informační bezpečnost Paul Moore Cvrlikání „Facebook většinou ukládá pouze vaše původní heslo (správně hashované a solené), nikoli jeho varianty. Když pro přihlášení zadáte heslo, zkontroluje se oproti původnímu heslu. Pokud se neshoduje, spustí Facebook vaše zadané heslo prostřednictvím těchto variant. Například pokud je váš Caps Lock zapnutý, Facebook převezme vaše zadané heslo, převrátí velká a malá písmena a zkusí to znovu. Pokud to nefunguje, Facebook to zkusí znovu s dalším scénářem. Facebook v zásadě dělá to, co byste udělali, když obdržíte zprávu „špatné heslo“ - zkontroluje náhodnou chybu zadaného hesla a opraví ji. Díky tomu je pro vás celý proces méně frustrující. To nesnižuje zabezpečení, protože stále je potřeba určitá představa o správném hesle a přijatelné varianty jsou úzké.
Ještě důležitější je, že metody hrubé síly nejsou primární metodou pro získání přístupu k sociálním sítím a dalším účtům. Sociální inženýrství a skládky hesel jsou mnohem jednodušší. Pokud máte otázky týkající se obnovení hesla, existuje slušná šance, že alespoň některé z odpovědí jsou veřejně dostupné informace. Pokud se vaše resetovací otázka týká vašeho rodiště, rodného jména matky nebo maskota střední školy, je možné odpověď vystopovat. V tomto okamžiku může špatný herec resetovat vaše heslo, takže je třeba uhodnout nebo určit samotné heslo jako zcela diskutabilní.
Mnoho lidí bohužel stále používá stejnou kombinaci e-mailu a hesla na každém webu, který vyžaduje přihlašovací údaje. Nemusíte hledat daleko, abyste je našli instance po instance z narušení dat . Pokud používáte stejnou kombinaci e-mailů a hesel na více než jednom místě a používáte je již léta, pak vaše hesla představují chybu zabezpečení, nikoli zásady Facebooku.
Pokud si nejste jisti, zda jste se stali obětí porušení, přejděte na haveibeenpwned.com a zkontrolujte, zda váš heslo bylo odcizeno . Je pravděpodobné, že jste někde prolomili alespoň nějaký účet.
Vždy byste měli zabezpečit své účty
Pokud se stále obáváte, že vás tato zásada nechává zranitelnou, můžete podniknout kroky. Prvním krokem je přestat používat stejné heslo pro každý web. Místo toho si a správce hesel a nechte jej generovat jedinečná dlouhá hesla pro každý jiný web, který používáte. Až příště zjistíte, že web, který jste použili, byl prolomen, můžete změnit pouze toto jedno heslo a cítit se v bezpečí s vědomím, že toto jedno známé heslo hackerům neprospěje.
Až hesla ztuhnete, zapněte je dvoufaktorové ověřování na libovolném webu, který jej nabízí. Facebook nabízí dvoufaktorové ověřování, takže byste je měli nastavit také tam. Nejlepší dvoufaktorové ověřování se spoléhá na aplikaci s vaším smartphonem, která často generuje nový kód nebo fyzický klíč, který máte u sebe. Zatímco dvoufaktorové ověřování založené na SMS je lepší než nic , je stále zranitelný vůči technikám sociálního inženýrství. Pokud se tedy můžete spolehnout na aplikaci ověřovatele nebo fyzický klíč, měli byste. A mít zálohu na místě pro případ, že by se něco stalo s vaším telefonem nebo klíčem.
Díky této kombinaci je váš účet mnohem bezpečnější bez ohledu na zásady hesel Facebooku. Měli byste použít přinejmenším správce hesel a jedinečná hesla, ale jejich použití v kombinaci s dvoufaktorovým ověřováním je lepší.
Nepanikařte; Užijte si pohodlí
Pokud jde o zásady hesel Facebooku, je snadné se obávat, že jsou méně bezpečné, ale realita je taková, že výhody převažují nad riziky. Zabezpečení je vyrovnávací akt. Čím více systém zamknete, tím méně pohodlný je přístup. Ale jak přidáte pohodlnější přístup, ztratíte zabezpečení. Trik spočívá v získávání správného množství obou k ochraně vašich uživatelů, aniž byste je frustrovali. Facebook zde chyboval na straně uživatelské jednoduchosti, což je pravděpodobně přijatelné rozhodnutí.
