Jeśli uważasz, że jedyną poprawną wersją Twojego hasła jest dokładna wielkość i sekwencja liter / symboli, której używasz, możesz być w szoku. Dla Twojej wygody Facebook zaakceptuje niewielkie zmiany Twojego hasła. I jest całkowicie bezpieczny.
Hasła są łatwe do błędnego wpisania
Facebook i inne podobne strony mają problem. Chcą, abyś używał długich i skomplikowanych haseł, ale są one trudne do wpisania. Powinieneś być za pomocą menedżera haseł zadbać o to za Ciebie, ale większość ludzi tego nie robi. Z powodu tych dwóch czynników często błędnie wpisuje się hasło.
W takim razie co powinien zrobić Facebook?
Czy powinni odmówić Ci wejścia tylko dlatego, że Twoje hasło było lekko uszkodzone i frustrować Cię drugą próbą? A może powinni rozpoznać, że podane hasło było prawdopodobnie poprawne, ale zawierało literówkę i ułatwić sobie podróż do gifów kotów i zdjęć dzieci, ignorując błąd?
Facebook ocenia błędy w hasłach
Tak jak Alec Muffet , były inżynier oprogramowania w zespole ds. infrastruktury bezpieczeństwa w firmie Facebook Engineering w Londynie, Facebook wybrał to drugie rozwiązanie. Jeśli Twoje hasło jest bardzo bliskie poprawności, mogą uznać je za dokładne. Zasady tego są proste. Facebook zaakceptuje nieprawidłowe hasło, jeśli spełni którykolwiek z poniższych warunków:
- Masz włączony Caps Lock, a wielkie litery są odwrócone.
- Na początku lub na końcu hasła wpisujesz dodatkowy znak
- Pierwsza litera hasła powinna być mała, ale została wpisana wielkimi literami
Jak widać, wszystkie te odmiany koncentrują się wokół podstawowej koncepcji niewielkiego braku hasła podczas wpisywania. W niektórych przypadkach może to być problem autokorekty, jak na przykład pisanie dużej litery w pierwszej literze słowa. Jeśli błędnie wpisane hasło spełnia te określone zasady, nie wiesz, że wystąpił problem - po prostu zalogujesz się.
Załóżmy na przykład, że Twoje hasło to „letMeIn”. Facebook zaakceptuje również „LETmEiN” (ponieważ jest to zwykłe odwrócenie wielkich liter) i „LetMeIn” (ponieważ jest to nieprawidłowa wielkość pierwszej litery). Akceptuje również odmiany, takie jak „1letMeIn” i „letMeIn2”, ponieważ są one poprawne, z wyjątkiem dodatkowego znaku na początku lub na końcu. Jednak w ogóle nie zaakceptuje „LETMEIN”, „letmein” ani „12LetMeIn”.
Ten proces jest nadal bezpieczny
Na pierwszy rzut oka wyrozumiałość wobec haseł na Facebooku brzmi niepewnie. Ale w tym przypadku prawda jest bardziej skomplikowana. Chociaż łatwo jest pomyśleć o starych dramatach kryminalnych hakerów, które pokazywały szybkie, brutalne odgadywanie hasła w zaledwie kilka minut, hakowanie wcale nie działa w ten sposób. Brutalne wymuszanie nieznanych haseł istnieje, ale bardzo różni się od tego, co sugeruje telewizja. Tak jak xkcd słynie z tego wraz ze wzrostem długości hasła czas jego złamania również rośnie wykładniczo. Dodanie złożoności pomaga, ale nie tak bardzo, jak mogłoby się wydawać.
Tak więc jeden ze scenariuszy, na który pozwala Facebook, dodatkowy znak na początku lub na końcu hasła, byłby jeszcze trudniejszy do brutalnej siły. Hakerzy musieliby już mieć poprawne hasło, zanim dotrą do hasła oraz dodatkowy znak.
Szczególnie interesujący jest scenariusz Caps Lock. Przetestowałem to, najpierw ręcznie wpisując hasło w notatniku, odwracając przypadek, a następnie wklejając wynik na Facebooku. Zaprzeczył temu hasłu. Następnie włączyłem Caps Lock i wpisałem hasło tak, jakby Caps Lock był wyłączony, odwracając w ten sposób przypadek. Ta próba się powiodła i byłem zalogowany. Facebook nie tylko sprawdza hasło, ale także sposób, w jaki je wpisujesz. Brute Force nie pomoże w tym scenariuszu, poza symulacją Caps Locka, co byłoby trudniejsze niż samo dążenie do rzeczywistego hasła.
Aktualizacja : Jak wskazuje konsultant ds. Bezpieczeństwa informacji Paul Moore Świergot , Facebook najprawdopodobniej przechowuje tylko Twoje oryginalne hasło (odpowiednio zaszyfrowane i zasolone), a nie jego odmiany. Kiedy podajesz hasło do logowania, jest ono porównywane z oryginalnym hasłem. Jeśli się nie zgadza, Facebook przepuszcza przesłane hasło przez te warianty. Na przykład, jeśli twój Caps Lock jest włączony, Facebook pobiera przesłane hasło, odwraca wielkie litery i próbuje ponownie. Jeśli to nie zadziała, Facebook spróbuje ponownie w następnym scenariuszu. Zasadniczo Facebook robi to, co zrobiłbyś po otrzymaniu komunikatu o „złym haśle” - sprawdza, czy nie ma przypadkowego błędu we wpisanym haśle i je poprawia. To sprawia, że cały proces jest mniej frustrujący. Nie zmniejsza to bezpieczeństwa, ponieważ nadal potrzebna jest pewna koncepcja prawidłowego hasła, a akceptowane odmiany są wąskie.
Co ważniejsze, metody brutalnej siły nie są podstawową metodą uzyskiwania dostępu do sieci społecznościowych i innych kont. Inżynieria społeczna i zrzuty haseł są znacznie prostsze w użyciu. Jeśli masz pytania dotyczące resetowania hasła, istnieje spora szansa, że przynajmniej niektóre odpowiedzi są publicznie dostępnymi informacjami. Jeśli pytanie resetujące dotyczy Twojego miejsca urodzenia, nazwiska panieńskiego matki lub maskotki ze szkoły średniej, możesz znaleźć odpowiedź. W tym momencie zły aktor może zresetować hasło, co sprawia, że każda potrzeba odgadnięcia lub określenia samego hasła jest całkowicie dyskusyjna.
Niestety, wiele osób nadal używa tej samej kombinacji adresu e-mail i hasła w każdej witrynie wymagającej danych logowania. Nie musisz daleko szukać, aby znaleźć instancja po instancja z naruszenia danych . Jeśli używasz tej samej kombinacji adresu e-mail i hasła w więcej niż jednym miejscu i robisz to od lat, to Twoje hasła stanowią lukę, a nie zasady Facebooka.
Jeśli nie masz pewności, czy padłeś ofiarą naruszenia, przejdź do haveibeenpwned.com i sprawdź, czy Twój hasło zostało skradzione . Możliwe, że gdzieś ktoś włamał się na przynajmniej część konta.
Zawsze powinieneś zabezpieczać swoje konta
Jeśli nadal martwisz się, że ta zasada naraża Cię na niebezpieczeństwo, możesz podjąć pewne kroki. Pierwszym krokiem jest zaprzestanie używania tego samego hasła w każdej witrynie. Zamiast tego zdobądź menedżer haseł i pozwól mu generować unikalne długie hasła dla każdej używanej witryny. Następnie, gdy następnym razem zobaczysz, że witryna, której używasz, została przejęta, możesz zmienić tylko to jedno hasło i czuć się bezpiecznie, wiedząc, że to jedno znane hasło nie przyniesie hakerom nic dobrego.
Po zahartowaniu haseł włącz uwierzytelnianie dwuskładnikowe w każdej witrynie, która to oferuje. Facebook oferuje uwierzytelnianie dwuskładnikowe, więc powinieneś je tam również ustawić. Najlepsze uwierzytelnianie dwuskładnikowe polega na aplikacji na smartfonie, która często generuje nowy kod lub fizyczny klucz, który masz przy sobie. Podczas gdy uwierzytelnianie dwuskładnikowe oparte na wiadomościach SMS jest lepsze niż nic , nadal jest podatny na techniki inżynierii społecznej. Jeśli więc możesz polegać na aplikacji uwierzytelniającej lub kluczu fizycznym, powinieneś. I mieć kopię zapasową na miejsce na wypadek, gdyby coś stało się z telefonem lub kluczem.
Dzięki tej kombinacji Twoje konto jest znacznie bezpieczniejsze, niezależnie od zasad dotyczących haseł Facebooka. Powinieneś przynajmniej używać menedżera haseł i unikalnych haseł, ale używanie ich w połączeniu z uwierzytelnianiem dwuskładnikowym jest lepsze.
Nie panikuj; Ciesz się wygodą
Jeśli chodzi o politykę dotyczącą haseł Facebooka, łatwo się martwić, że jest mniej bezpieczna, ale w rzeczywistości korzyści przeważają nad ryzykiem. Bezpieczeństwo to działanie równoważące. Im bardziej blokujesz system, tym mniej wygodny jest do niego dostęp. Ale gdy dodasz wygodniejszy dostęp, stracisz bezpieczeństwo. Sztuczka polega na uzyskaniu odpowiednich ilości obu, aby chronić użytkowników bez ich frustracji. Facebook popełnił błąd, jeśli chodzi o łatwość obsługi, a to prawdopodobnie akceptowalna decyzja.
