비밀번호의 올바른 버전이 사용하는 정확한 대문자와 문자 / 기호 시퀀스 뿐이라고 생각한다면 충격을받을 수 있습니다. Facebook은 귀하의 편의를 위해 약간의 비밀번호 변형을 허용합니다. 그리고 그것은 완벽하게 안전합니다.
암호를 잘못 입력하기 쉽습니다.
Facebook 및 기타 사이트에 문제가 있습니다. 길고 복잡한 비밀번호를 사용하기를 원하지만 입력하기 어렵습니다. 당신은해야한다 암호 관리자 사용 하지만 대부분의 사람들은 그렇지 않습니다. 그리고이 두 가지 요인으로 인해 비밀번호를 잘못 입력하는 것이 일반적입니다.
그 시점에서 Facebook은 무엇을해야합니까?
암호가 약간 벗어났다는 이유만으로 입력을 거부하고 두 번째 시도로 인해 좌절해야합니까? 아니면 제공된 암호가 정확할 가능성이 있지만 오타가 있다는 것을 인식하고 실수를 무시하여 고양이 gif와 아기 사진으로의 여정을 순조롭게해야합니까?
Facebook은 암호의 실수를 평가합니다
같이 알렉 머펫 런던에있는 Facebook Engineering의 보안 인프라 팀의 전 소프트웨어 엔지니어는 Facebook이 후자를 선택했다고 설명합니다. 비밀번호가 정확하기 매우 가까운 경우 정확한 것으로 간주 할 수 있습니다. 이에 대한 규칙은 간단합니다. Facebook은 다음 조건 중 하나를 충족하는 경우 잘못된 비밀번호를 수락합니다.
- Caps Lock이 켜져 있고 대소 문자가 반전됩니다.
- 비밀번호의 시작 또는 끝에 추가 문자를 입력합니다.
- 암호의 첫 문자는 소문자 여야하지만 대문자로 입력했습니다.
보시다시피 이러한 변형은 모두 입력 할 때 비밀번호가 약간 누락된다는 기본 개념을 중심으로합니다. 경우에 따라 단어의 첫 글자가 대문자로 표시되는 것과 같이 자동 수정 문제 일 수 있습니다. 잘못 입력 한 비밀번호가 이러한 특정 규칙을 충족하면 문제가 있다는 사실을 알 수 없으며 로그인 한 상태로 표시됩니다.
예를 들어 암호가 "letMeIn"이라고 가정 해 보겠습니다. Facebook은 또한 "LETmEiN"(정확한 Caps Lock 반전이기 때문에) 및 "LetMeIn"(첫 글자의 대문자가 올바르지 않기 때문에)도 허용합니다. 또한 "1letMeIn"및 "letMeIn2"와 같은 변형은 시작 또는 끝에 추가 문자를 제외하고 정확하기 때문에 허용됩니다. 그러나 "LETMEIN", "letmein"또는 "12LetMeIn"은 전혀 허용되지 않습니다.
이 프로세스는 여전히 안전합니다.
처음에는 페이스 북의 암호 관용이 안전하지 않은 것 같습니다. 그러나이 경우 진실은 더 복잡합니다. 단 몇 분만에 비밀번호를 추측하는 무차별 대입 공격을 보여주는 오래된 해커 범죄 드라마를 생각하기 쉽지만 해킹은 전혀 작동하지 않습니다. 알 수없는 암호를 강제로 강제하는 것은 존재하지만 TV가 암시하는 것과는 매우 다릅니다. 같이 xkcd는 , 암호의 길이가 길어질수록 암호를 해독하는 시간도 기하 급수적으로 늘어납니다. 복잡성을 추가하면 도움이되지만 생각 만큼은 아닙니다.
따라서 Facebook이 허용하는 시나리오 중 하나, 암호의 시작 또는 끝 부분에 추가 문자가 있으면 무차별 대입하기가 훨씬 더 어려울 것입니다. 해커는 암호에 추가 문자를 추가하기 전에 이미 올바른 암호를 가지고 있어야합니다.
특히 흥미로운 것은 Caps Lock 시나리오입니다. 먼저 메모장에 수동으로 비밀번호를 입력하고 케이스를 뒤집은 다음 해당 결과를 Facebook에 붙여 넣어 테스트했습니다. 그 암호를 거부했습니다. 그런 다음 Caps Lock을 켜고 마치 Cap Lock이 꺼진 것처럼 암호를 입력하여 케이스를 뒤집 었습니다. 이 시도는 성공했고 로그인했습니다. Facebook은 비밀번호가 무엇인지 확인하는 것뿐만 아니라 비밀번호를 어떻게 입력했는지 확인합니다. Brute Force는 실제 비밀번호를 찾는 것보다 더 어려울 수있는 Caps Lock을 시뮬레이션하지 않는 한 이러한 시나리오에서 도움이되지 않습니다.
최신 정보 : 정보 보안 컨설턴트 Paul Moore가 지적한대로 트위터 , Facebook은 대부분의 경우 비밀번호의 변형이 아닌 원래 비밀번호 (적절하게 해시 및 솔트) 만 저장합니다. 로그인하기 위해 비밀번호를 제출하면 원래 비밀번호와 대조됩니다. 일치하지 않는 경우 Facebook은 이러한 변형을 통해 제출 한 비밀번호를 실행합니다. 예를 들어 Caps Lock이 켜져있는 경우 Facebook은 제출 한 암호를 가져 와서 글자의 대문자를 반대로 한 다음 다시 시도합니다. 그래도 작동하지 않으면 Facebook은 다음 시나리오로 다시 시도합니다. 기본적으로 Facebook은 "잘못된 암호"메시지를 받았을 때했던 작업을 수행합니다. 입력 한 암호의 실수로 인한 오류를 확인하고 수정합니다. 그러면 전체 프로세스가 덜 불편 해집니다. 올바른 비밀번호에 대한 아이디어가 여전히 필요하고 허용되는 변형이 좁기 때문에 보안이 저하되지는 않습니다.
더 중요한 것은 무차별 대입 방식이 소셜 네트워크 및 기타 계정에 대한 액세스 권한을 얻는 주요 방법이 아니라는 것입니다. 사회 공학 및 암호 덤프는 사용이 훨씬 간단합니다. 비밀번호 재설정 질문이있는 경우 답변 중 일부는 공개적으로 액세스 할 수있는 정보 일 가능성이 높습니다. 재설정 질문이 출생지, 어머니의 결혼 전 성 또는 고등학교 마스코트에 관한 것이라면 답을 추적 할 수 있습니다. 이 시점에서 악의적 인 사용자가 암호를 재설정하여 암호 자체를 추측하거나 결정할 필요가 없도록 만들 수 있습니다.
안타깝게도 많은 사람들이 로그인 자격 증명이 필요한 모든 사이트에서 여전히 동일한 이메일 및 비밀번호 조합을 사용하고 있습니다. 찾기 위해 멀리 볼 필요가 없습니다. 예 후 예 의 데이터 침해 . 여러 곳에서 동일한 이메일과 비밀번호 조합을 사용하고 있고 수년 동안 사용했다면 비밀번호는 Facebook의 정책이 아니라 취약점입니다.
귀하가 침해의 피해자인지 확실하지 않은 경우 haveibeenpwned.com 당신의 비밀번호가 도난당했습니다 . 어딘가에서 적어도 일부 계정이 도용되었을 가능성이 있습니다.
항상 계정을 보호해야합니다
이 정책으로 인해 취약해질 까봐 여전히 걱정된다면 취할 수있는 조치가 있습니다. 첫 번째 단계는 모든 사이트에 대해 동일한 비밀번호 사용을 중지하는 것입니다. 대신, 비밀번호 관리자 사용하는 모든 사이트에 대해 고유 한 긴 암호를 생성 할 수 있습니다. 그런 다음 다음에 사용한 웹 사이트가 해킹 당했음을 알게되면 해당 비밀번호 만 변경할 수 있으며이 알려진 비밀번호가 해커에게 아무런 도움이되지 않는다는 것을 알기 때문에 안심할 수 있습니다.
비밀번호를 강화한 후 2 단계 인증 그것을 제공하는 모든 사이트에서. 페이스 북 이중 인증을 제공하므로 거기에서도 설정해야합니다. 최고의 2 단계 인증은 새 코드를 자주 생성하는 스마트 폰 앱 또는 휴대하고있는 물리적 키에 의존합니다. SMS 기반 이중 인증 없는 것보다 낫다 , 여전히 사회 공학 기술에 취약합니다. 따라서 인증 자 앱이나 물리적 키를 사용할 수 있다면 그렇게해야합니다. 과 백업이있다 휴대 전화 나 키에 문제가 발생할 경우를 대비해
이 조합을 사용하면 Facebook의 비밀번호 정책에 관계없이 계정이 훨씬 더 안전 해집니다. 최소한 암호 관리자와 고유 한 암호를 사용해야하지만 이중 인증과 함께 사용하는 것이 좋습니다.
당황하지 마십시오. 편리함을 즐기십시오
Facebook의 비밀번호 정책은 보안 수준이 낮다고 걱정하기 쉽지만 실제로는 이점이 위험보다 큽니다. 보안은 균형 잡힌 행동입니다. 시스템을 더 많이 잠글수록 액세스가 덜 편리합니다. 그러나 더 편리한 액세스를 추가하면 보안을 잃게됩니다. 요령은 사용자를 실망시키지 않고 보호하기 위해 적절한 양의 두 가지를 모두 확보하는 것입니다. 페이스 북은 여기서 사용자 편의성 측면에서 오류를 냈으며 이는 아마도 허용 가능한 결정일 것입니다.
