Если вы думаете, что единственно правильная версия вашего пароля - это точная последовательность заглавных букв и букв / символов, которые вы используете, вы можете быть в шоке. Для вашего удобства Facebook примет небольшие изменения вашего пароля. И это совершенно безопасно.
Пароли легко ввести неправильно
У Facebook и других подобных сайтов есть проблема. Они хотят, чтобы вы использовали длинные и сложные пароли, но их сложно набрать. Ты должен быть используя менеджер паролей позаботиться об этом за вас, но большинство людей этого не делают. И из-за этих двух факторов часто возникает ошибка при вводе пароля.
Что теперь делать Facebook?
Должны ли они отказывать вам во входе только потому, что ваш пароль был немного неправильным, и мешать вам второй попыткой? Или им следует признать, что предоставленный пароль, вероятно, был правильным, но с опечаткой, и упростить ваш путь к гифкам с котиками и детским картинкам, проигнорировав ошибку?
Facebook оценивает ошибки в паролях
Как Алек Маффет , поясняет бывший инженер-программист группы инфраструктуры безопасности в Facebook Engineering в Лондоне, Facebook выбрал второе. Если ваш пароль очень близок к правильному, они могут посчитать его точным. Правила для этого просты. Facebook примет неверный пароль, если он соответствует любому из следующих условий:
- У вас включен Caps Lock, и заглавные буквы поменяны местами.
- Вы вводите дополнительный символ в начале или в конце пароля
- Первый символ пароля должен быть в нижнем регистре, но вы ввели его с большой буквы.
Как видите, все эти варианты основаны на базовой концепции небольшого отсутствия пароля при вводе. В некоторых случаях это может быть проблема автокоррекции, например, если первая буква слова заглавная. Если ваш неправильно введенный пароль соответствует этим правилам, вы не узнаете, что возникла проблема - вы просто войдете в систему.
Например, допустим, ваш пароль - letMeIn. Facebook также примет «LETmEiN» (потому что это прямая перестановка заглавной буквы) и «LetMeIn» (потому что это неправильная заглавная буква для первой буквы). Он также принимает такие варианты, как «1letMeIn» и «letMeIn2», потому что они верны, за исключением дополнительного символа в начале или в конце. Однако он вообще не принимает LETMEIN, letmein или 12LetMeIn.
Этот процесс по-прежнему безопасен
На первый взгляд снисходительность паролей Facebook кажется небезопасной. Но в этом случае правда сложнее. В то время как легко вспомнить старые криминальные драмы о хакерах, в которых был показан быстрый перебор пароля за считанные минуты, взлом не работает таким образом. Грубая форсировка неизвестных паролей существует, но это совсем не то, что предполагает телевидение. Как xkcd классно демонстрирует , по мере увеличения длины пароля время его взлома также увеличивается в геометрической прогрессии. Добавление сложности помогает, но не так сильно, как вы думаете.
Таким образом, один из сценариев, которые допускает Facebook, дополнительный символ в начале или в конце пароля, будет еще сложнее подобрать. Хакерам уже понадобится правильный пароль, прежде чем они дойдут до пароля плюс дополнительный символ.
Особый интерес представляет сценарий Caps Lock. Я проверил это, сначала вручную набрав пароль в блокноте, изменив регистр в обратном порядке, а затем вставив результат в Facebook. Он отрицал этот пароль. Затем я включил Caps Lock и набрал свой пароль, как если бы Caps Lock был отключен, таким образом изменив регистр. Эта попытка была успешной, и я вошел в систему. Facebook не только проверяет пароль, но и то, как вы его вводите. Грубая сила не поможет в этом сценарии, за исключением имитации Caps Lock, что было бы сложнее, чем просто нацелиться на настоящий пароль.
Обновить : Как отмечает консультант по информационной безопасности Пол Мур на Twitter , Facebook, скорее всего, хранит только ваш исходный пароль (правильно хешированный и соленый), а не варианты вашего пароля. Когда вы отправляете пароль для входа в систему, он сравнивается с исходным паролем. Если он не совпадает, Facebook обрабатывает отправленный вами пароль через эти варианты. Например, если у вас включен Caps Lock, Facebook берет отправленный пароль, меняет заглавные буквы на обратный и пытается снова. Если это не сработает, Facebook попробует еще раз со следующим сценарием. По сути, Facebook делает то, что вы сделали бы, получив сообщение «неправильный пароль» - проверяет случайную ошибку в набранном пароле и исправляет ее. Это сделает весь процесс менее утомительным. Это не снижает уровень безопасности, поскольку все еще необходимо некоторое представление о правильном пароле, а допустимые варианты узкие.
Что еще более важно, методы грубой силы не являются основным методом получения доступа к социальным сетям и другим аккаунтам. Социальная инженерия и дампы паролей намного проще в использовании. Если у вас есть вопросы по сбросу пароля, есть большая вероятность, что по крайней мере некоторые из ответов являются общедоступной информацией. Если ваш вопрос для сброса касается вашего места рождения, девичьей фамилии матери или школьного талисмана, вы можете найти ответ. В тот момент, плохой актер может изменить свой пароль, что делает любую потребность угадать или определить сам пароль полностью спорно.
К сожалению, многие люди до сих пор используют одну и ту же комбинацию адреса электронной почты и пароля на всех сайтах, требующих учетных данных. Не нужно далеко ходить, чтобы найти пример после пример из утечки данных . Если вы используете одну и ту же комбинацию адреса электронной почты и пароля более чем в одном месте и использовали это в течение многих лет, то уязвимостью являются ваши пароли, а не политика Facebook.
Если вы не уверены, стали ли вы жертвой взлома, перейдите на хавеивеенпвнед.ком и проверьте, есть ли у вас пароль был украден . Скорее всего, у вас был взломан хотя бы какой-то аккаунт.
Вы всегда должны защищать свои учетные записи
Если вас по-прежнему беспокоит, что эта политика сделает вас уязвимыми, вы можете предпринять шаги. Первый шаг - перестать использовать один и тот же пароль для всех сайтов. Вместо этого получите менеджер паролей и пусть он генерирует уникальные длинные пароли для каждого используемого вами сайта. Затем, в следующий раз, когда вы увидите, что веб-сайт, который вы использовали, был взломан, вы можете изменить только этот пароль и чувствовать себя в безопасности, зная, что этот известный пароль не принесет хакерам никакой пользы.
После того, как вы укрепите свои пароли, включите двухфакторная аутентификация на любом сайте, который это предлагает. Facebook предлагает двухфакторную аутентификацию, поэтому вам также следует настроить ее там. Лучшая двухфакторная аутентификация полагается на приложение на вашем смартфоне, которое часто генерирует новый код, или физический ключ, который вы держите при себе. В то время как двухфакторная аутентификация на основе SMS лучше чем ничего , он по-прежнему уязвим для методов социальной инженерии. Так что, если вы можете положиться на приложение для аутентификации или физический ключ, вам следует это сделать. А также иметь резервную копию на месте на случай, если что-то случится с вашим телефоном или ключом.
Благодаря этой комбинации ваша учетная запись будет намного безопаснее, независимо от политики паролей Facebook. По крайней мере, вы должны использовать менеджер паролей и уникальные пароли, но лучше использовать их в сочетании с двухфакторной аутентификацией.
Не паникуйте; Наслаждайтесь удобством
Что касается политики паролей Facebook, то легко опасаться, что она менее безопасна, но на самом деле преимущества перевешивают риски. Безопасность - это баланс. Чем больше вы блокируете систему, тем менее удобный доступ к ней. Но по мере того, как вы добавляете более удобный доступ, вы теряете безопасность. Хитрость заключается в том, чтобы получить нужное количество обоих, чтобы защитить ваших пользователей, не расстраивая их. Facebook сделал ошибку в плане удобства для пользователей, и это, вероятно, приемлемое решение.
