パスワードの正しいバージョンが、使用する正確な大文字と文字/記号のシーケンスだけだと思う場合は、ショックを受ける可能性があります。 Facebookはあなたの便宜のためにあなたのパスワードのわずかな変化を受け入れます。そして、それは完全に安全です。
パスワードはタイプミスしやすい
Facebookやその他のサイトには問題があります。長くて複雑なパスワードを使用してほしいのですが、入力するのは難しいです。あなたは パスワードマネージャーを使用する あなたのためにそれを世話しますが、ほとんどの人はそうしません。また、これら2つの要因により、パスワードの入力ミスがよくあります。
その時点でFacebookは何をすべきですか?
パスワードが少しずれているという理由だけで入力を拒否し、2回目の試行でイライラする必要がありますか?または、提供されたパスワードが正しい可能性が高いことを認識し、タイプミスをして、間違いを無視して猫のgifや赤ちゃんの写真への旅をスムーズにする必要がありますか?
Facebookはパスワードの間違いを評価します
なので アレックマフェット ロンドンのFacebookEngineeringのセキュリティインフラストラクチャチームの元ソフトウェアエンジニアは、Facebookが後者を選択したと説明しています。パスワードがほぼ正解である場合、パスワードが正確であると見なされる場合があります。このためのルールは簡単です。 Facebookは、次のいずれかの条件を満たす場合、誤ったパスワードを受け入れます。
- Caps Lockがオンになっていて、大文字と小文字が逆になっています。
- パスワードの最初または最後に追加の文字を入力します
- パスワードの最初の文字は小文字である必要がありますが、大文字で入力しました
ご覧のとおり、これらのバリエーションはすべて、入力時にパスワードがわずかに欠落しているという基本概念を中心にしています。場合によっては、単語の最初の文字が大文字になっているなど、これはオートコレクトの問題である可能性があります。入力ミスしたパスワードがこれらの特定のルールを満たしている場合、問題があったことはわかりません。ログインしているだけです。
たとえば、パスワードが「letMeIn」であるとします。 Facebookは、「LETmEiN」(Caps Lockの反転がまっすぐであるため)と「LetMeIn」(最初の文字の大文字が正しくないため)も受け入れます。また、「1letMeIn」や「letMeIn2」などのバリエーションも受け入れます。これは、最初または最後の追加文字を除いて、これらが正しいためです。ただし、「LETMEIN」、「letmein」、「12LetMeIn」は一切受け付けません。
このプロセスはまだ安全です
一見すると、Facebookのパスワードの寛容さは安全ではないように聞こえます。しかし、この場合、真実はもっと複雑です。ほんの数分でパスワードをすばやくブルートフォースで推測することを示した古いハッカー犯罪ドラマを考えるのは簡単ですが、ハッキングはまったく機能しません。未知のパスワードを強制するブルートは存在しますが、テレビが示唆するものとは大きく異なります。なので xkcdは有名にデモンストレーションします 、パスワードの長さが長くなると、パスワードを解読する時間も指数関数的に増加します。複雑さを追加すると役立ちますが、思ったほどではありません。
したがって、Facebookが許可するシナリオの1つである、パスワードの最初または最後の余分な文字は、ブルートフォース攻撃がさらに困難になります。ハッカーは、パスワードに追加の文字を追加する前に、正しいパスワードを持っている必要があります。
特に興味深いのは、CapsLockシナリオです。私はこれをテストするために、最初にパスワードをメモ帳に手動で入力し、大文字と小文字を逆にして、その結果をFacebookに貼り付けました。そのパスワードを拒否しました。次に、Caps Lockをオンにして、Cap Lockがオフになっているかのようにパスワードを入力し、ケースを逆にしました。その試みは成功し、私はログインしました。Facebookは、パスワードが何であるかだけでなく、パスワードの入力方法もチェックしています。ブルートフォースは、Caps Lockをシミュレートする以外は、そのシナリオでは役に立ちません。これは、実際のパスワードを狙うよりも難しいでしょう。
更新 :情報セキュリティコンサルタントのPaulMooreが指摘するように ツイッター 、Facebookはほとんどの場合、元のパスワード(適切にハッシュおよびソルトされたもの)のみを保存し、パスワードのバリエーションは保存しません。ログインするためにパスワードを送信すると、元のパスワードと照合されます。一致しない場合、Facebookは送信されたパスワードをこれらのバリエーションで実行します。たとえば、Caps Lockがオンになっている場合、Facebookは送信されたパスワードを取得し、文字の大文字と小文字を逆にして、再試行します。それがうまくいかない場合、Facebookは次のシナリオで再試行します。基本的に、Facebookは、「間違ったパスワード」メッセージを受け取ったときと同じように、入力したパスワードの偶発的なエラーをチェックして修正します。これにより、プロセス全体のイライラが軽減されます。正しいパスワードのアイデアが依然として必要であり、受け入れられるバリエーションが狭いため、これによってセキュリティが低下することはありません。
さらに重要なことに、ブルートフォース方式は、ソーシャルネットワークやその他のアカウントにアクセスするための主要な方式ではありません。ソーシャルエンジニアリングとパスワードダンプは、はるかに簡単に使用できます。パスワードのリセットに関する質問がある場合は、少なくとも一部の回答が公的にアクセス可能な情報である可能性が十分にあります。リセットされた質問が出身地、母親の旧姓、または高校のマスコットに関するものである場合は、回答を追跡することができます。その時点で、悪意のある人物がパスワードをリセットする可能性があり、パスワード自体を推測または決定する必要がなくなります。
残念ながら、多くの人がログイン資格情報を必要とするすべてのサイトで同じ電子メールとパスワードの組み合わせを使用しています。見つけるために遠くを見る必要はありません インスタンス 後 インスタンス の データ漏えい 。同じメールアドレスとパスワードの組み合わせを複数の場所で使用していて、何年も使用している場合、パスワードは脆弱性であり、Facebookのポリシーではありません。
違反の被害者であるかどうかわからない場合は、次のURLにアクセスしてください。 はゔぇいべえんpwねd。こm そして、あなたの パスワードが盗まれました 。少なくとも一部のアカウントがどこかで侵害された可能性があります。
あなたは常にあなたのアカウントを保護する必要があります
このポリシーによって脆弱性が残るのではないかと心配している場合は、いくつかの手順を実行できます。最初のステップは、すべてのサイトで同じパスワードの使用を停止することです。代わりに、 パスワードマネージャー 使用するサイトごとに一意の長いパスワードを生成します。次に、使用したWebサイトが侵害されたことがわかったときに、その1つのパスワードだけを変更して、この1つの既知のパスワードがハッカーに何の役にも立たないことを知って安心できます。
パスワードを強化したら、オンにします 二要素認証 それを提供する任意のサイトで。 フェイスブック 二要素認証を提供しているので、そこでも設定する必要があります。最良の2要素認証は、新しいコードを頻繁に生成するスマートフォンを備えたアプリ、または携帯している物理キーに依存しています。 SMSベースの2要素認証中 何もないよりはまし 、それはまだソーシャルエンジニアリング技術に対して脆弱です。したがって、オーセンティケーターアプリまたは物理キーに依存できる場合は、そうする必要があります。そして バックアップがある スマートフォンやキーに問題が発生した場合に備えて設置します。
この組み合わせにより、Facebookのパスワードポリシーに関係なく、アカウントははるかに安全になります。少なくともパスワードマネージャーと一意のパスワードを使用する必要がありますが、2要素認証と組み合わせて使用することをお勧めします。
パニックにならないでください。便利さをお楽しみください
Facebookのパスワードポリシーについては、安全性が低いことを心配するのは簡単ですが、実際には、メリットがリスクを上回っています。セキュリティはバランスをとる行為です。システムをロックダウンすればするほど、アクセスの利便性が低下します。ただし、より便利なアクセスを追加すると、セキュリティが失われます。秘訣は、ユーザーを苛立たせずに保護するために、両方の適切な量を取得することです。 Facebookはここでユーザーの使いやすさの面で誤りを犯しました、そしてそれはおそらく容認できる決定です。
