Hvis du tror, at den eneste korrekte version af dit kodeord er den nøjagtige brug af store og små bogstaver / symboler, kan du være i et chok. Facebook accepterer mindre variationer af din adgangskode for din bekvemmelighed. Og det er helt sikkert.
Adgangskoder er lette at fejle
Facebook og andre lignende sider har et problem. De vil gerne have, at du bruger lange og komplicerede adgangskoder, men det er svært at skrive. Du burde være ved hjælp af en adgangskodeadministrator at tage sig af det for dig, men de fleste mennesker gør det ikke. Og på grund af disse to faktorer er det almindeligt at forkert indtaste din adgangskode.
På det tidspunkt, hvad skal Facebook gøre?
Bør de nægte dig adgang, bare fordi din adgangskode var lidt slukket, og frustrere dig med et andet forsøg? Eller skulle de erkende, at den angivne adgangskode sandsynligvis var korrekt, men med en tastefejl og glatte din rejse til katte-gifs og babybilleder ved at ignorere fejlen?
Facebook evaluerer fejl i adgangskoder
Som Alec Muffet , en tidligere softwareingeniør for sikkerhedsinfrastrukturteamet hos Facebook Engineering i London forklarer, valgte Facebook den sidstnævnte. Hvis din adgangskode er meget tæt på at være korrekt, kan de tælle den som nøjagtig. Reglerne for dette er ligetil. Facebook accepterer en forkert adgangskode, hvis den opfylder en af disse betingelser:
- Du har aktiveret Caps Lock, og kapitaliseringen er vendt.
- Du indtaster et ekstra tegn i begyndelsen eller slutningen af en adgangskode
- Adgangskodets første tegn skal være med små bogstaver, men du skrev det med store bogstaver
Som du kan se, er disse variationer alle centreret omkring det grundlæggende koncept om, at du let mangler din adgangskode, når du skriver. I nogle tilfælde kan dette være et spørgsmål om autokorrektur, som det første bogstav i et ord, der er stort. Hvis din forkert indtastede adgangskode overholder disse specifikke regler, ved du ikke, at der var et problem - du vil bare finde dig selv logget ind.
Lad os f.eks. Sige, at din adgangskode er "letMeIn." Facebook accepterer også "LETmEiN" (fordi det er en retfærdig reversering af caps lock) og "LetMeIn" (fordi det er forkert kapital for det første bogstav). Det accepterer også variationer som “1letMeIn” og “letMeIn2”, fordi de er korrekte bortset fra et ekstra tegn i begyndelsen eller slutningen. Det accepterer dog slet ikke "LETMEIN", "letmein" eller "12LetMeIn".
Denne proces er stadig sikker
Ved første rødme lyder Facebooks adgangskodefremkaldelse usikker. Men i dette tilfælde er sandheden mere kompliceret. Mens det er let at tænke på gamle hacker-kriminaldramaer, der viste hurtig brutal kraft gætte på en adgangskode på få minutter, fungerer hacking slet ikke på den måde. Brute tvinger ukendte adgangskoder findes, men det er meget anderledes end tv antyder. Som xkcd demonstrerer berømt , når længden af en adgangskode øges, øges tiden til at knække den også eksponentielt. Tilføjelse af kompleksitet hjælper, men ikke så meget som du måske tror.
Så et af de scenarier, som Facebook tillader, en ekstra karakter i begyndelsen eller slutningen af adgangskoden, ville være endnu sværere at råbe. Hackere vil allerede have brug for den korrekte adgangskode, før de gjorde det til adgangskoden plus en ekstra karakter.
Af særlig interesse er Caps Lock-scenariet. Jeg testede dette ved først at indtaste mit kodeord manuelt i notesblok, vende sagen og derefter indsætte det resultat på Facebook. Det nægtede adgangskoden. Derefter tændte jeg caps lock og skrev min adgangskode, som om cap lock var slået fra og vendte således sagen om. Forsøget var vellykket, og jeg var logget ind. Facebook kontrollerer ikke kun, hvad adgangskoden er, men hvordan du indtaster den. Brute Force hjælper ikke i dette scenario, uden at simulere caps lock, hvilket ville være vanskeligere end bare at sigte mod den aktuelle adgangskode.
Opdatering : Som informationssikkerhedskonsulent Paul Moore påpeger Twitter , Facebook gemmer sandsynligvis kun din oprindelige adgangskode (korrekt hash og saltet) og ikke variationerne af din adgangskode. Når du indsender en adgangskode for at logge ind, kontrolleres den mod din oprindelige adgangskode. Hvis det ikke stemmer overens, kører Facebook din indsendte adgangskode gennem disse variationer. For eksempel, hvis din Caps Lock er tændt, tager Facebook din indsendte adgangskode, vender bogstaverne med store bogstaver og prøver igen. Hvis det ikke virker, prøver Facebook igen med det næste scenarie. I det væsentlige gør Facebook, hvad du ville have gjort, når du modtog en "forkert adgangskode" -meddelelse - kontrollerer for en utilsigtet fejl i den indtastede adgangskode og retter den. Det gør hele processen mindre frustrerende for dig. Dette mindsker ikke sikkerheden, fordi der stadig er behov for en ide om den korrekte adgangskode, og de accepterede variationer er smalle.
Endnu vigtigere er, at brute force-metoder ikke er den primære metode til at få adgang til sociale netværk og andre konti. Social engineering og adgangskodedumps er meget enklere at bruge. Hvis du har spørgsmål om nulstilling af adgangskode, er der en anstændig chance for, at i det mindste nogle af svarene er offentligt tilgængelige oplysninger. Hvis dit nulstillingsspørgsmål drejer sig om dit fødested, mors pigenavn eller high school-maskot, er det muligt at spore svaret. På det tidspunkt kan en dårlig aktør nulstille din adgangskode, hvilket gør ethvert behov for at gætte eller bestemme adgangskoden i sig selv.
Desværre bruger mange mennesker stadig den samme e-mail- og adgangskodekombination på hvert websted, der kræver loginoplysninger. Du behøver ikke kigge langt for at finde eksempel efter eksempel af databrud . Hvis du bruger den samme e-mail- og adgangskodekombination på mere end et sted og har været i årevis, er dine adgangskoder sårbarheden, ikke Facebooks politikker.
Hvis du ikke er sikker på, om du er blevet offer for en overtrædelse, skal du gå til haveibeenpwned.com og kontroller, om din adgangskoden er stjålet . Chancerne er, at du har haft mindst en konto kompromitteret et eller andet sted.
Du bør altid sikre dine konti
Hvis du stadig er bekymret for, at denne politik efterlader dig sårbar, er der skridt, du kan tage. Det første trin er at stoppe med at bruge den samme adgangskode til hvert websted. Få i stedet en adgangskodeadministrator og lad det generere unikke lange adgangskoder til hvert andet websted, du bruger. Næste gang du ser, at et websted, du har brugt, er kompromitteret, kan du bare ændre den ene adgangskode og føle dig sikker ved at vide, at denne kendte adgangskode ikke vil gøre hackerne noget godt.
Når du har hærdet dine adgangskoder, skal du tænde tofaktorautentificering på ethvert sted, der tilbyder det. Facebook tilbyder tofaktorautentificering, så du skal også sætte den op der. Den bedste tofaktorautentificering er afhængig af en app med din smartphone, der ofte genererer en ny kode eller en fysisk nøgle, du har med dig. Mens SMS-baseret tofaktorautentificering er bedre end ingenting , det er stadig sårbart over for socialtekniske teknikker. Så hvis du kan stole på en godkendelsesapp eller en fysisk nøgle, skal du. Og have en sikkerhedskopi på plads, hvis der sker noget med din telefon eller nøgle.
Med denne kombination er din konto langt mere sikker uanset Facebooks adgangskodepolitikker. Du skal i det mindste bruge en adgangskodeadministrator og unikke adgangskoder, men det er bedre at bruge dem i kombination med tofaktorautentificering.
Vær ikke panik; Nyd bekvemmeligheden
Med hensyn til Facebooks adgangskodepolitik er det let at bekymre sig om, at det er mindre sikkert, men virkeligheden er, at fordelene opvejer risiciene. Sikkerhed er en balancegang. Jo mere du låser et system ned, jo mindre praktisk er det at få adgang til det. Men når du tilføjer mere bekvem adgang, mister du sikkerheden. Tricket er at få de rigtige mængder af begge til at beskytte dine brugere uden at frustrere dem. Facebook fejler ved siden af brugervenlighed her, og det er sandsynligvis en acceptabel beslutning.
