Om du tror att den enda rätta versionen av ditt lösenord är den exakta versaler och bokstäver / symbolsekvens du använder, kan du vara i chock. Facebook accepterar små variationer av ditt lösenord för din bekvämlighet. Och det är helt säkert.
Lösenord är lätta att felaktig skriva
Facebook och andra webbplatser som det har problem. De vill att du använder långa och komplicerade lösenord, men det är svårt att skriva. Du borde vara med en lösenordshanterare att ta hand om det för dig, men de flesta gör det inte. Och på grund av dessa två faktorer är det vanligt att du skriver fel lösenord.
Vid den punkten vad ska Facebook göra?
Ska de neka dig inträde bara för att ditt lösenord var lite avstängt och frustrera dig med ett andra försök? Eller borde de inse att det angivna lösenordet sannolikt var korrekt men med ett stavfel och smidiga din resa till katt-gifs och babybilder genom att ignorera felet?
Facebook utvärderar misstag i lösenord
Som Alec Muffet , en tidigare programvaruingenjör för säkerhetsinfrastrukturteamet på Facebook Engineering i London förklarar, valde Facebook det senare. Om ditt lösenord är mycket nära korrekt kan de räkna det som korrekta. Reglerna för detta är enkla. Facebook accepterar ett felaktigt lösenord om det uppfyller något av dessa villkor:
- Du har aktiverat Caps Lock och versalerna är omvända.
- Du anger ett extra tecken i början eller slutet av ett lösenord
- Lösenordets första tecken bör vara gemener, men du skrev det med versaler
Som du kan se är alla dessa variationer centrerade kring det grundläggande konceptet att du saknar ditt lösenord något när du skriver. I vissa fall kan detta vara en fråga om autokorrigering, som den första bokstaven i ett ord som är stor. Om ditt felaktiga lösenord uppfyller dessa specifika regler vet du inte att det var ett problem. Du kommer bara att vara inloggad.
Låt oss till exempel säga att ditt lösenord är "letMeIn." Facebook accepterar också "LETmEiN" (för att det är en rakt uppåtriktad kapsellåsning) och "LetMeIn" (eftersom det är fel kapital för första bokstaven). Det accepterar också variationer som “1letMeIn” och “letMeIn2” eftersom de är korrekta förutom ett ytterligare tecken i början eller slutet. Det accepterar dock inte "LETMEIN", "letmein" eller "12LetMeIn".
Denna process är fortfarande säker
Vid första rodnaden låter Facebooks lösenordssäkerhet osäker. Men i det här fallet är sanningen mer komplicerad. Även om det är lätt att tänka på gamla hackerbrottsdrama som visade snabb brute force gissa på ett lösenord på bara några minuter, fungerar hacking inte alls så. Brute tvingar okända lösenord finns, men det är väldigt annorlunda än TV antyder. Som xkcd visar berömt , när lösenordets längd ökar, ökar också tiden för att knäcka det exponentiellt. Att lägga till komplexitet hjälper, men inte så mycket som du kanske tror.
Så ett av de scenarier som Facebook tillåter, en extra karaktär i början eller slutet av lösenordet, skulle vara ännu svårare att råka ut. Hackare skulle redan behöva ha rätt lösenord innan de gjorde det till lösenordet plus en extra karaktär.
Av särskilt intresse är caps lock-scenariot. Jag testade detta genom att först skriva mitt lösenord manuellt i anteckningsblocket, vända fallet och sedan klistra in det resultatet på Facebook. Det förnekade lösenordet. Jag slog sedan på caps lock och skrev mitt lösenord som om cap lock var avstängt, och därmed vred fallet. Det försöket lyckades och jag var inloggad. Facebook kontrollerar inte bara lösenordet utan hur du anger det. Brute Force hjälper inte i det scenariot, utan att simulera caps lock, vilket skulle vara svårare än att bara sikta på det faktiska lösenordet.
Uppdatering : Som informationskonsult Paul Moore påpekar på Twitter , Facebook lagrar sannolikt bara ditt ursprungliga lösenord (korrekt hashat och saltat) och inte variationerna av ditt lösenord. När du skickar in ett lösenord för att logga in kontrolleras det mot ditt ursprungliga lösenord. Om det inte matchar kör Facebook ditt inlämnade lösenord genom dessa variationer. Till exempel, om ditt Caps Lock är på, tar Facebook ditt inlämnade lösenord, vänder bokstäverna och försöker igen. Om det inte fungerar försöker Facebook igen med nästa scenario. I huvudsak gör Facebook vad du skulle ha gjort när du fick ett "fel lösenord" -meddelande - leta efter ett oavsiktligt fel i det skrivna lösenordet och korrigera det. Det gör hela processen mindre frustrerande för dig. Detta minskar inte säkerheten, eftersom det fortfarande behövs någon uppfattning om rätt lösenord och de accepterade variationerna är smala.
Ännu viktigare är att brute force-metoder inte är den primära metoden för att få tillgång till sociala nätverk och andra konton. Social engineering och lösenordsdumpar är mycket enklare att använda. Om du har frågor om återställning av lösenord finns det en anständig chans att åtminstone några av svaren är information som är offentligt tillgänglig. Om din återställningsfråga handlar om din födelseort, mors flicknamn eller gymnasiet, är det möjligt att spåra svaret. Vid den tiden kan en dålig skådespelare återställa ditt lösenord, vilket gör att du behöver gissa eller bestämma lösenordet helt.
Tyvärr använder många fortfarande samma e-post- och lösenordskombination på varje webbplats som kräver inloggningsuppgifter. Du behöver inte leta långt för att hitta exempel efter exempel av dataintrång . Om du använder samma e-post- och lösenordskombination på mer än en plats och har varit i åratal, är dina lösenord sårbarheten, inte Facebook: s policy.
Om du inte är säker på om du har utsatts för ett brott, gå till haveibeenpwned.com och kontrollera om din lösenordet har stulits . Chansen är stor att du åtminstone har haft något konto komprometterat någonstans.
Du bör alltid säkra dina konton
Om du fortfarande är orolig för att denna policy gör dig sårbar finns det steg du kan ta. Det första steget är att sluta använda samma lösenord för varje webbplats. Skaffa istället ett lösenordshanteraren och låt det skapa unika långa lösenord för varje annan webbplats du använder. Nästa gång du ser att en webbplats du använt har äventyrats kan du bara ändra det lösenordet och känna dig säker att veta att det här kända lösenordet inte kommer att göra något för hackarna.
När du har härdat dina lösenord, slå på tvåfaktorautentisering på vilken webbplats som helst som erbjuder det. Facebook erbjuder tvåfaktorautentisering, så du bör också ställa upp det där. Den bästa tvåfaktorautentiseringen är beroende av en app med din smartphone som genererar en ny kod ofta eller en fysisk nyckel du har med dig. Medan SMS-baserad tvåfaktorautentisering är bättre än ingenting , det är fortfarande sårbart för socialteknik. Så om du kan lita på en autentiseringsapp eller en fysisk nyckel, bör du. Och ha en säkerhetskopia på plats om något händer med din telefon eller nyckel.
Med den här kombinationen är ditt konto mycket säkrare oavsett Facebooks lösenordspolicyer. Du bör åtminstone använda en lösenordshanterare och unika lösenord, men att använda dem i kombination med tvåfaktorautentisering är bättre.
Var inte panik; Njut av bekvämligheten
När det gäller Facebooks lösenordspolicy är det lätt att oroa sig för att det är mindre säkert, men verkligheten är att fördelarna uppväger riskerna. Säkerhet är en balanshandling. Ju mer du låser ner ett system, desto mindre bekvämt är det att komma åt det. Men när du lägger till bekvämare åtkomst tappar du säkerhet. Tricket är att få rätt mängder av båda för att skydda dina användare utan att frustrera dem. Facebook gjorde fel på användarvänlighetens sida här, och det är förmodligen ett acceptabelt beslut.
