פייסבוק מטשטשת את הסיסמה שלך לנוחותך

תוכן ללא הכנסה

אם אתה חושב שהגרסה הנכונה היחידה של הסיסמה שלך היא אותיות רישיות ורצף האותיות / סמלים שאתה משתמש בהן, אתה עלול להיות בהלם. לנוחותך, פייסבוק תקבל וריאציות קלות של הסיסמה שלך. וזה בטוח לחלוטין.

קל לטעות בסיסמאות

לפייסבוק ואתרים אחרים כמו זה יש בעיה. הם היו רוצים שתשתמש בסיסמאות ארוכות ומסובכות, אך קשה להקליד אותן. אתה צריך להיות באמצעות מנהל סיסמאות לדאוג לזה בשבילך, אבל רוב האנשים לא. ובגלל שני הגורמים הללו, מקובל להקליד את סיסמתך באופן שגוי.

באותה נקודה מה פייסבוק צריכה לעשות?

האם עליהם למנוע ממך כניסה רק בגלל שהסיסמה שלך מעט כבויה, ולסכל אותך בניסיון שני? או שהם צריכים להכיר בכך שהסיסמה שסופקה הייתה ככל הנראה נכונה, אך עם שגיאת הקלדה ולהקל על המסע אל גיפי חתולים ותמונות תינוקות על ידי התעלמות מהטעות?

פייסבוק מעריכה טעויות בסיסמאות

כפי ש אלק מופט , מהנדס תוכנה לשעבר של צוות תשתיות האבטחה ב- Facebook Engineering בלונדון מסביר, פייסבוק בחרה באחרונה. אם הסיסמה שלך קרובה מאוד לתיקון, הם עשויים להחשיב אותה כמדויקת. הכללים לכך הם פשוטים. פייסבוק תקבל סיסמה שגויה אם היא עומדת באחד מהתנאים הבאים:

• הפעלת נעילה מוגבלת, וההיוון באותיות הפוך.
• אתה מזין תו נוסף בתחילת או בסוף הסיסמה
• התו הראשון של הסיסמה צריך להיות באותיות קטנות, אך הקלדת אותו באותיות רישיות

כפי שאתה יכול לראות, וריאציות אלה מתרכזות סביב הרעיון הבסיסי של חסר מעט את הסיסמה שלך בעת ההקלדה. במקרים מסוימים, זה עשוי להיות נושא של תיקון אוטומטי, כמו האות הראשונה של מילה באותיות רישיות. אם הסיסמה שהקלדת לא נכון שלך עומדת בכללים הספציפיים האלה, לא תדע שיש בעיה - פשוט תמצא את עצמך מחובר.

לדוגמה, נניח שהסיסמה שלך היא "letMeIn". פייסבוק תקבל גם את "LETmEiN" (מכיוון שזה היפוך נעילת מכסה ישר) ו- "LetMeIn" (כי זה הון שגוי לאות הראשונה). הוא יקבל גם וריאציות כמו "1letMeIn" ו- "letMeIn2" מכיוון שאלה נכונים למעט תו נוסף בתחילתו או בסופו. עם זאת, הוא לא יקבל בכלל את "LETMEIN", "letmein" או "12LetMeIn".

תהליך זה עדיין מאובטח

בהתחלה מסמיקה, קלות הסיסמאות של פייסבוק נשמעת לא בטוחה. אך במקרה זה, האמת מורכבת יותר. אמנם קל לחשוב על דרמות פשע האקרים ישנות שהראו ניחוש מהיר של סיסמה תוך דקות ספורות, אך פריצה בכלל לא עובדת ככה. אכיפת סיסמאות לא ידועות אמנם קיימת, אך היא שונה מאוד ממה שמרמז הטלוויזיה. כפי ש מדגים מפורסם ב- xkcd , ככל שאורך הסיסמה גדל, הזמן לפצח אותה גם גדל באופן אקספוננציאלי. הוספת מורכבות עוזרת, אך לא ככל שתחשבו.

כך שאחד התרחישים שפייסבוק מאפשר, תו נוסף בתחילת הסיסמה או בסוף הסיסמה, יהיה קשה עוד יותר לאכזב. האקרים כבר יצטרכו לקבל את הסיסמה הנכונה לפני שיעברו לסיסמה בתוספת תו נוסף.

מעניין במיוחד הוא תרחיש הנעילה. בדקתי זאת על ידי הקלדה תחילה של הסיסמה שלי בפנקס הרשימות, הפיכת המקרה ואז הדבקתי את התוצאה בפייסבוק. זה הכחיש את הסיסמה הזו. לאחר מכן הפעלתי אותיות נעילה והקלדתי את הסיסמה שלי כאילו נעילת מכסה אינה פעילה ובכך הפכתי את המקרה. הניסיון הזה הצליח והייתי מחובר. פייסבוק לא רק בודקת מה הסיסמה אלא איך מזינים אותה. כוח ברוט לא יעזור בתרחיש זה, קצר מדמה של נעילת מכסה, שיהיה קשה יותר מאשר רק לכוון לסיסמה בפועל.

עדכון : כפי שציין יועץ אבטחת המידע פול מור טוויטר , סביר להניח שפייסבוק מאחסנת רק את הסיסמה המקורית שלך (חשיכה ומומלחת כהלכה) ולא את וריאציות הסיסמה שלך. כשאתה שולח סיסמה להתחברות, היא נבדקת מול הסיסמה המקורית שלך. אם זה לא תואם, פייסבוק מריצה את הסיסמה שהגשת באמצעות וריאציות אלה. לדוגמה, אם ה- Caps Lock שלך פועל, פייסבוק לוקחת את הסיסמה שהגשת, הופכת את אותיות רישיות האותיות ומנסה שוב. אם זה לא עובד, פייסבוק מנסה שוב עם התרחיש הבא. בעיקרו של דבר, פייסבוק עושה את מה שהיית עושה עם קבלת הודעת "סיסמה שגויה" - בודקת שגיאה מקרית בסיסמה שהוקלדה ותקנה אותה. זה גורם לכל התהליך להיות פחות מתסכל עבורך. זה לא מקטין את האבטחה, מכיוון שעדיין יש צורך ברעיון כלשהו לגבי הסיסמה הנכונה והווריאציות המקובלות צרות.

חשוב מכך, שיטות כוח אכזרי אינן השיטה העיקרית לקבל גישה לרשתות חברתיות ולחשבונות אחרים. הנדסה חברתית וזריקות סיסמאות פשוטות הרבה יותר לשימוש. אם יש לך שאלות לאיפוס סיסמה, יש סיכוי ראוי שלפחות חלק מהתשובות הן מידע נגיש לציבור. אם שאלת האיפוס שלך היא לגבי מקום הולדתך, שם הנעורים של האם או קמע התיכון שלך, אז ניתן לעקוב אחר התשובה. בשלב זה, שחקן רע יכול לאפס את הסיסמה שלך, ולגרום לכל צורך לנחש או לקבוע את הסיסמה עצמה לגמרי מושלמת.

למרבה הצער, אנשים רבים עדיין משתמשים באותה שילוב דוא"ל וסיסמה בכל אתר הדורש אישורי כניסה. אתה לא צריך לחפש רחוק כדי למצוא למשל לאחר למשל שֶׁל הפרות נתונים . אם אתה משתמש באותו שילוב דוא"ל וסיסמה ביותר ממקום אחד, והיה זה שנים, הסיסמאות שלך הן הפגיעות, ולא המדיניות של פייסבוק.

אם אינך בטוח אם היית קורבן להפרה, עבור אל haveibeenpwned.com ובדוק אם שלך סיסמה נגנבה . רוב הסיכויים שלפחות נפגעו איכשהו בחשבון כלשהו.

עליכם לאבטח את חשבונותיכם תמיד

אם אתה עדיין חושש שמדיניות זו תשאיר אותך פגיע, יש צעדים שתוכל לנקוט. השלב הראשון הוא להפסיק להשתמש באותה סיסמה לכל אתר. במקום זאת, קבל א מנהל סיסמאות ותן לו ליצור סיסמאות ארוכות ייחודיות לכל אתר אחר בו אתה משתמש. ואז, בפעם הבאה שתראה שאתר אינטרנט בו השתמשת נפגע, אתה יכול לשנות רק את הסיסמה האחת ולהרגיש בטוח בידיעה שהסיסמה הידועה הזו לא תועיל להאקרים.

לאחר שהקשחת את הסיסמאות שלך, הפעל אימות דו-גורמי בכל אתר שמציע זאת. פייסבוק אכן מציע אימות דו-גורמי, אז כדאי להגדיר אותו גם שם. האימות הדו-גורמי הטוב ביותר מסתמך על אפליקציה עם הטלפון החכם שלך שמייצר קוד חדש לעתים קרובות או מפתח פיזי שאתה שומר איתך. ואילו אימות דו-גורמי מבוסס SMS עדיף מכלום , זה עדיין פגיע לטכניקות הנדסיות חברתיות. אז אם אתה יכול להסתמך על אפליקציית מאמת או על מפתח פיזי, עליך. וגם יש גיבוי במקום למקרה שמשהו יקרה עם הטלפון או המפתח שלך.

בשילוב זה, חשבונך מאובטח בהרבה ללא קשר למדיניות הסיסמאות של פייסבוק. כדאי לכל הפחות להשתמש במנהל סיסמאות ובסיסמאות ייחודיות, אך שימוש טוב יותר בשילוב עם אימות דו-גורמי.

אל תיבהל; תיהנו מהנוחות

באשר למדיניות הסיסמאות של פייסבוק, קל לדאוג שהיא פחות בטוחה, אך המציאות היא שהיתרונות עולים על הסיכונים. ביטחון הוא מעשה איזון. ככל שאתה נועל מערכת יותר כך הגישה פחות נוחה. אך ככל שאתה מוסיף גישה נוחה יותר, אתה מאבד את האבטחה. הטריק הוא להשיג את הכמויות הנכונות של שניהם כדי להגן על המשתמשים שלך מבלי לתסכל אותם. פייסבוק שגה בצד קלות המשתמשים כאן, וכנראה שזו החלטה מקובלת.