Dacă credeți că singura versiune corectă a parolei dvs. este majuscula exactă și secvența de litere / simboluri pe care le utilizați, este posibil să fiți șocat. Facebook va accepta mici modificări ale parolei dvs., pentru confortul dvs. Și este perfect sigur.
Parolele sunt ușor de greșit
Facebook și alte site-uri ca acesta au o problemă. Le-ar plăcea să folosiți parole lungi și complicate, dar acestea sunt greu de tastat. Ar trebui să fii folosind un manager de parole să ai grijă de asta pentru tine, dar majoritatea oamenilor nu. Și din cauza celor doi factori, este obișnuit să scrii greșit parola.
În acest moment, ce ar trebui să facă Facebook?
Ar trebui să vă refuze intrarea doar pentru că parola dvs. a fost ușor dezactivată și să vă frustreze cu o a doua încercare? Sau ar trebui să recunoască faptul că parola furnizată a fost probabil corectă, dar cu o greșeală de greșeală și să-ți netezi călătoria către gif-uri de pisică și imagini pentru bebeluși, ignorând greșeala?
Facebook evaluează greșelile din parole
La fel de Alec Muffet , explică un fost inginer software pentru echipa de infrastructură de securitate de la Facebook Engineering din Londra, Facebook l-a ales pe acesta din urmă. Dacă parola dvs. este foarte aproape de a fi corectată, acestea ar putea fi considerată corectă. Regulile pentru acest lucru sunt simple. Facebook va accepta o parolă incorectă dacă îndeplinește oricare dintre aceste condiții:
- Aveți blocarea majusculelor activată, iar majusculele sunt inversate.
- Introduceți un caracter suplimentar la începutul sau la sfârșitul unei parole
- Primul caracter al parolei ar trebui să fie cu litere mici, dar ați scris-o cu majuscule
După cum puteți vedea, aceste variații sunt centrate în jurul conceptului de bază de a vă lipsi ușor parola la tastare. În unele cazuri, aceasta poate fi o problemă de corecție automată, cum ar fi prima literă a unui cuvânt cu majuscule. Dacă parola dvs. introdusă greșit îndeplinește aceste reguli specifice, nu veți ști că a existat o problemă - vă veți găsi doar conectat.
De exemplu, să presupunem că parola dvs. este „letMeIn”. Facebook va accepta, de asemenea, „LETmEiN” (pentru că este o inversare directă a blocării majusculelor) și „LetMeIn” (pentru că este o literă incorectă pentru prima literă). De asemenea, va accepta variante precum „1letMeIn” și „letMeIn2”, deoarece acestea sunt corecte, cu excepția unui caracter suplimentar la început sau la sfârșit. Cu toate acestea, nu va accepta deloc „LETMEIN”, „letmein” sau „12LetMeIn”.
Acest proces este încă sigur
La prima înroșire, îngăduința parolei Facebook sună nesigură. Dar, în acest caz, adevărul este mai complicat. Deși este ușor să vă gândiți la vechile drame ale criminalității hackerilor care au arătat o forță brută rapidă de a ghici o parolă în doar câteva minute, hacking-ul nu funcționează deloc așa. Parole necunoscute care forțează brutal există, dar este foarte diferit de ceea ce implică televizorul. La fel de xkcd demonstrează faimos , pe măsură ce lungimea unei parole crește, timpul de cracare crește, de asemenea, exponențial. Adăugarea complexității ajută, dar nu atât de mult pe cât ai crede.
Deci, unul dintre scenariile pe care le permite Facebook, un caracter suplimentar la începutul sau la sfârșitul parolei, ar fi și mai greu de forțat. Hackerii ar trebui deja să aibă parola corectă înainte de a ajunge la parola plus un caracter suplimentar.
Un interes deosebit îl reprezintă scenariul de blocare a majusculelor. Am testat acest lucru introducând mai întâi manual parola în blocnotes, inversând cazul, apoi lipind rezultatul în Facebook. A refuzat acea parolă. Apoi am activat blocarea majusculelor și mi-am tastat parola de parcă blocarea capacelor ar fi dezactivată, inversând astfel carcasa. Acea încercare a avut succes și am fost conectat. Facebook nu verifică doar care este parola, ci modul în care o introduceți. Brute Force nu va ajuta în acest scenariu, în afară de a simula blocarea majusculelor, ceea ce ar fi mai dificil decât să se urmărească parola reală.
Actualizați : După cum subliniază consultantul în securitatea informațiilor, Paul Moore Stare de nervozitate , Facebook este probabil cel mai probabil să vă stocheze parola originală (corect hashed și sărată) și nu variațiile parolei dvs. Când trimiteți o parolă pentru a vă conecta, aceasta este comparată cu parola dvs. originală. Dacă nu se potrivește, Facebook rulează parola trimisă prin aceste variante. De exemplu, dacă Blocarea majusculelor este activată, Facebook ia parola trimisă, inversează scrierea cu majuscule a literelor și încearcă din nou. Dacă acest lucru nu funcționează, Facebook încearcă din nou cu următorul scenariu. În esență, Facebook face ceea ce ați fi făcut la primirea unui mesaj „parolă greșită” - verificând dacă există o eroare accidentală în parola tastată și o corectează. Acest lucru face ca întregul proces să fie mai puțin frustrant pentru dvs. Acest lucru nu scade securitatea, deoarece este încă nevoie de o idee despre parola corectă, iar variantele acceptate sunt restrânse.
Mai important, metodele de forță brută nu sunt metoda principală pentru a avea acces la rețelele sociale și la alte conturi. Ingineria socială și depozitarea parolelor sunt mult mai simple de utilizat. Dacă aveți întrebări de resetare a parolei, există șanse decente, cel puțin unele dintre răspunsuri să fie informații accesibile publicului. Dacă întrebarea dvs. de resetare se referă la locul de naștere, numele de fată al mamei sau mascota liceului, atunci este posibil să găsiți răspunsul. În acel moment, un actor rău îți poate reseta parola, făcând necesară ghicirea sau determinarea parolei în sine complet discutabile.
Din păcate, mulți oameni folosesc în continuare aceeași combinație de e-mail și parolă pe fiecare site care necesită acreditări de conectare. Nu trebuie să cauți departe pentru a găsi instanță după instanță de data breaches . Dacă utilizați aceeași combinație de e-mail și parolă în mai multe locuri și ați fost de ani de zile, atunci parolele dvs. reprezintă vulnerabilitatea, nu politicile Facebook.
Dacă nu sunteți sigur dacă ați fost victima unei încălcări, accesați haveibeenpwned.com și verificați dacă parola a fost furată . Șansele sunt că ați avut cel puțin un cont compromis undeva.
Ar trebui să vă asigurați întotdeauna conturile
Dacă sunteți în continuare îngrijorat de faptul că această politică vă lasă vulnerabil, puteți lua măsuri. Primul pas este să nu mai utilizați aceeași parolă pentru fiecare site. În schimb, obțineți un manager de parole și lăsați-l să genereze parole lungi unice pentru fiecare site diferit pe care îl utilizați. Apoi, data viitoare când vedeți că un site web pe care l-ați folosit a fost compromis, puteți schimba doar acea parolă și vă puteți simți în siguranță, știind că această parolă cunoscută nu va face nici un bine hackerilor.
După ce vă întăriți parolele, porniți autentificare cu doi factori la orice site care o oferă. Facebook oferă autentificare cu doi factori, deci ar trebui să o configurați și acolo. Cea mai bună autentificare cu doi factori se bazează pe o aplicație cu smartphone-ul dvs. care generează frecvent un nou cod sau o cheie fizică pe care o păstrați cu dvs. În timp ce autentificarea cu doi factori bazată pe SMS este mai bine decât nimic , este încă vulnerabil la tehnicile de inginerie socială. Deci, dacă vă puteți baza pe o aplicație de autentificare sau pe o cheie fizică, ar trebui. Și aveți o copie de rezervă în loc în cazul în care se întâmplă ceva cu telefonul sau cheia.
Cu această combinație, contul dvs. este mult mai sigur, indiferent de politicile de parolă ale Facebook. Ar trebui cel puțin să utilizați un manager de parole și parole unice, dar să le utilizați în combinație cu autentificarea în doi factori este mai bine.
Nu vă panicați; Bucurați-vă de confort
În ceea ce privește politica de parolă Facebook, este ușor să vă faceți griji că este mai puțin sigură, dar realitatea este că beneficiile depășesc riscurile. Securitatea este un act de echilibrare. Cu cât blocați un sistem mai mult, cu atât este mai puțin convenabil să accesați. Dar pe măsură ce adăugați un acces mai convenabil, pierdeți securitatea. Trucul constă în obținerea cantităților corecte ale ambelor pentru a vă proteja utilizatorii fără a-i frustra. Facebook a greșit în ceea ce privește ușurința utilizatorului aici și probabil este o decizie acceptabilă.
