Hvis du tror den eneste riktige versjonen av passordet ditt er den nøyaktige bruken av store og små bokstaver og bokstav / symbolsekvens du bruker, kan du være i et sjokk. Facebook godtar små variasjoner av passordet ditt, for din bekvemmelighet. Og det er helt trygt.
Passord er enkle å feilsøke
Facebook og andre nettsteder som det har et problem. De vil at du skal bruke lange og kompliserte passord, men det er vanskelig å skrive. Du bør være ved hjelp av en passordbehandling å ta vare på det for deg, men de fleste gjør det ikke. Og på grunn av disse to faktorene er det vanlig å skrive inn passordet ditt feil.
På det tidspunktet hva skal Facebook gjøre?
Bør de nekte deg adgang bare fordi passordet ditt var litt av, og frustrere deg med et nytt forsøk? Eller burde de innse at passordet sannsynligvis var riktig, men med en skrivefeil og glatte reisen din til katt-gifs og babybilder ved å ignorere feilen?
Facebook evaluerer feil i passord
Som Alec Muffet , en tidligere programvareingeniør for sikkerhetsinfrastrukturteamet ved Facebook Engineering i London forklarer, valgte Facebook sistnevnte. Hvis passordet ditt er veldig nært å korrigere, kan de telle det som nøyaktig. Reglene for dette er greie. Facebook godtar feil passord hvis det oppfyller noen av disse vilkårene:
- Du har slått på Caps Lock, og store bokstaver er omvendt.
- Du skriver inn et ekstra tegn i begynnelsen eller slutten av et passord
- Passordets første tegn skal være små, men du skrev det med store bokstaver
Som du kan se, er disse variantene sentrert rundt det grunnleggende konseptet om å savne passordet ditt litt når du skriver. I noen tilfeller kan dette være et spørsmål om autokorrigering, som den første bokstaven i et ord som er stort. Hvis feil skrevet passord oppfyller disse spesifikke reglene, vet du ikke at det var et problem - du vil bare finne deg selv pålogget.
La oss for eksempel si at passordet ditt er "letMeIn." Facebook aksepterer også "LETmEiN" (fordi det er en reversering av cap-lock) og "LetMeIn" (fordi det er feil kapital for første bokstav). Det vil også akseptere varianter som “1letMeIn” og “letMeIn2” fordi de er riktige bortsett fra et ekstra tegn i begynnelsen eller slutten. Den godtar imidlertid ikke "LETMEIN", "letmein" eller "12LetMeIn".
Denne prosessen er fortsatt sikker
Ved første rødme høres Facebooks passordlidelse utrygt ut. Men i dette tilfellet er sannheten mer komplisert. Selv om det er lett å tenke på gamle hacker-kriminaldramaer som viste rask brutal kraft å gjette et passord på få minutter, fungerer ikke hacking i det hele tatt. Brute tvinger ukjente passord eksisterer, men det er veldig annerledes enn TV antyder. Som demonstrerer xkcd , når lengden på et passord øker, øker også tiden for å knekke det eksponentielt. Å legge til kompleksitet hjelper, men ikke så mye som du kanskje tror.
Så et av scenariene som Facebook tillater, en ekstra karakter i begynnelsen eller slutten av passordet, ville være enda vanskeligere å tøffe. Hackere vil allerede trenge å ha riktig passord før de gjorde det til passordet pluss et ekstra tegn.
Av spesiell interesse er caps lock-scenariet. Jeg testet dette ved først å skrive passordet mitt manuelt i notisblokken, snu saken og deretter lime inn resultatet på Facebook. Det nektet passordet. Deretter slo jeg på caps lock og skrev passordet mitt som om cap lock var av, og snudde dermed saken. Forsøket var vellykket, og jeg ble logget inn. Facebook sjekker ikke bare passordet, men hvordan du skriver inn det. Brute Force hjelper ikke i det scenariet, kort simulering av caps lock, noe som ville være vanskeligere enn å bare sikte på det faktiske passordet.
Oppdater : Som informasjonssikkerhetskonsulent Paul Moore påpeker på Twitter , Facebook lagrer sannsynligvis bare det opprinnelige passordet ditt (riktig hash og saltet) og ikke variantene av passordet ditt. Når du sender inn et passord for å logge på, sjekkes det mot det opprinnelige passordet. Hvis det ikke samsvarer, kjører Facebook det innsendte passordet ditt gjennom disse variantene. For eksempel, hvis Caps Lock er på, tar Facebook det innsendte passordet ditt, reverserer store bokstaver og prøver på nytt. Hvis det ikke fungerer, prøver Facebook igjen med neste scenario. I hovedsak gjør Facebook det du ville ha gjort når du mottok en "feil passord" -melding - og sjekket for en utilsiktet feil i det skrevne passordet og korrigerte det. Det gjør hele prosessen mindre frustrerende for deg. Dette reduserer ikke sikkerheten, fordi det fremdeles er behov for en ide om riktig passord og de aksepterte variasjonene er smale.
Enda viktigere, brute force-metoder er ikke den primære metoden for å få tilgang til sosiale nettverk og andre kontoer. Sosialteknikk og passorddumper er mye enklere å bruke. Hvis du har spørsmål om tilbakestilling av passord, er det en anstendig sjanse for at i det minste noen av svarene er offentlig tilgjengelig informasjon. Hvis tilbakestillingsspørsmålet ditt handler om fødestedet ditt, mors pikenavn eller maskoten på videregående skole, er det mulig å spore opp svaret. På det tidspunktet kan en dårlig aktør tilbakestille passordet ditt, noe som gjør det nødvendig å gjette eller bestemme passordet i seg selv.
Dessverre bruker mange fortsatt den samme kombinasjonen av e-post og passord på hvert nettsted som krever påloggingsinformasjon. Du trenger ikke se langt for å finne forekomst etter forekomst av datainnbrudd . Hvis du bruker den samme kombinasjonen av e-post og passord på mer enn ett sted, og har vært det i årevis, er passordene dine sårbarheten, ikke Facebooks retningslinjer.
Hvis du ikke er sikker på om du har blitt utsatt for et brudd, gå til haveibeenpwned.com og sjekk om din passordet er stjålet . Det er sannsynlig at du har hatt minst noen kontoer kompromittert et sted.
Du bør alltid sikre kontoene dine
Hvis du fremdeles er bekymret for at denne policyen etterlater deg sårbar, er det trinn du kan ta. Det første trinnet er å slutte å bruke det samme passordet for hvert nettsted. I stedet får du en passordbehandling og la den generere unike lange passord for hvert annet nettsted du bruker. Neste gang du ser at et nettsted du har brukt er kompromittert, kan du bare endre det ene passordet og føle deg trygg i å vite at dette kjente passordet ikke vil gjøre hackerne noe bra.
Slå på når du har herdet passordene dine tofaktorautentisering på ethvert nettsted som tilbyr det. Facebook tilbyr tofaktorautentisering, så du bør også sette den opp der. Den beste tofaktorautentiseringen er avhengig av en app med smarttelefonen din som ofte genererer en ny kode eller en fysisk nøkkel du har med deg. Mens SMS-basert tofaktorautentisering er bedre enn ingenting , det er fortsatt sårbart for sosialteknikk. Så hvis du kan stole på en autentiseringsapp eller en fysisk nøkkel, bør du. Og ha en sikkerhetskopi på plass i tilfelle noe skjer med telefonen eller nøkkelen.
Med denne kombinasjonen er kontoen din langt sikrere uavhengig av Facebooks passordregler. Du bør i det minste bruke en passordbehandling og unike passord, men å bruke dem i kombinasjon med tofaktorautentisering er bedre.
Ikke få panikk; Kos deg med komforten
Når det gjelder Facebooks passordregler, er det lett å bekymre seg for at det er mindre sikkert, men virkeligheten er at fordelene oppveier risikoen. Sikkerhet er en balansegang. Jo mer du låser et system, jo mindre praktisk er det å få tilgang til det. Men når du legger til mer praktisk tilgang, mister du sikkerheten. Trikset er å få de riktige mengdene av begge deler for å beskytte brukerne dine uten å frustrere dem. Facebook feilet på siden av brukervennlighet her, og det er sannsynligvis en akseptabel beslutning.
