หากคุณคิดว่ารหัสผ่านเวอร์ชันเดียวที่ถูกต้องคือตัวพิมพ์ใหญ่และลำดับตัวอักษร / สัญลักษณ์ที่คุณใช้คุณอาจตกใจ Facebook จะยอมรับรหัสผ่านที่แตกต่างกันเล็กน้อยเพื่อความสะดวกของคุณ และปลอดภัยอย่างสมบูรณ์แบบ
รหัสผ่านง่ายต่อการพิมพ์ผิด
Facebook และเว็บไซต์อื่น ๆ เช่นมันมีปัญหา พวกเขาต้องการให้คุณใช้รหัสผ่านที่ยาวและซับซ้อน แต่ก็ยากที่จะพิมพ์ คุณควรจะ โดยใช้โปรแกรมจัดการรหัสผ่าน เพื่อดูแลคุณ แต่คนส่วนใหญ่ไม่ทำเช่นนั้น และเนื่องจากปัจจัยทั้งสองนี้จึงมักจะพิมพ์รหัสผ่านผิด
เมื่อถึงจุดนั้น Facebook ควรทำอย่างไร?
พวกเขาควรปฏิเสธการป้อนข้อมูลของคุณเพียงเพราะรหัสผ่านของคุณผิดไปเล็กน้อยและทำให้คุณไม่พอใจกับการพยายามครั้งที่สองหรือไม่? หรือพวกเขาควรรับรู้ว่ารหัสผ่านที่ให้มานั้นน่าจะถูกต้อง แต่มีการพิมพ์ผิดและทำให้การเดินทางของคุณไปยัง gif แมวและภาพทารกราบรื่นโดยมองข้ามความผิดพลาดไป?
Facebook ประเมินข้อผิดพลาดในรหัสผ่าน
เช่น อเล็กซ์มัฟเฟต อดีตวิศวกรซอฟต์แวร์ของทีมโครงสร้างพื้นฐานด้านความปลอดภัยของ Facebook Engineering ในลอนดอนอธิบายว่า Facebook เลือกอย่างหลัง หากรหัสผ่านของคุณใกล้จะถูกต้องมากอาจนับว่ารหัสผ่านนั้นถูกต้อง กฎสำหรับเรื่องนี้ตรงไปตรงมา Facebook จะยอมรับรหัสผ่านที่ไม่ถูกต้องหากเป็นไปตามเงื่อนไขเหล่านี้:
- คุณเปิดตัวพิมพ์ใหญ่ไว้และตัวพิมพ์ใหญ่จะกลับด้าน
- คุณป้อนอักขระพิเศษที่จุดเริ่มต้นหรือจุดสิ้นสุดของรหัสผ่าน
- อักขระตัวแรกของรหัสผ่านควรเป็นตัวพิมพ์เล็ก แต่คุณพิมพ์เป็นตัวพิมพ์ใหญ่
อย่างที่คุณเห็นรูปแบบเหล่านี้ล้วนมีศูนย์กลางอยู่ที่แนวคิดพื้นฐานของรหัสผ่านที่หายไปเล็กน้อยเมื่อพิมพ์ ในบางกรณีนี่อาจเป็นปัญหาของการแก้ไขอัตโนมัติเช่นอักษรตัวแรกของคำที่เป็นตัวพิมพ์ใหญ่ หากรหัสผ่านของคุณพิมพ์ผิดตรงตามกฎเหล่านี้คุณจะไม่รู้ว่ามีปัญหาเกิดขึ้นเพียงแค่ลงชื่อเข้าใช้
ตัวอย่างเช่นสมมติว่ารหัสผ่านของคุณคือ“ letMeIn” Facebook จะยอมรับ“ LETmEiN” ด้วย (เนื่องจากเป็นการพลิกกลับตัวพิมพ์ใหญ่แบบตรง) และ“ LetMeIn” (เนื่องจากตัวอักษรตัวแรกเป็นตัวพิมพ์ใหญ่ไม่ถูกต้อง) นอกจากนี้ยังยอมรับรูปแบบต่างๆเช่น“ 1letMeIn” และ“ letMeIn2” เนื่องจากถูกต้องยกเว้นอักขระเพิ่มเติมในตอนต้นหรือตอนท้าย อย่างไรก็ตามจะไม่ยอมรับ“ LETMEIN”,“ letmein” หรือ“ 12LetMeIn” เลย
กระบวนการนี้ยังคงปลอดภัย
ในตอนแรกความอายการผ่อนรหัสผ่านของ Facebook ฟังดูไม่ปลอดภัย แต่ในกรณีนี้ความจริงมีความซับซ้อนมากขึ้น แม้ว่าจะเป็นเรื่องง่ายที่จะนึกถึงละครอาชญากรรมของแฮ็กเกอร์แบบเก่าที่แสดงให้เห็นถึงการคาดเดารหัสผ่านอย่างรวดเร็วในเวลาเพียงไม่กี่นาที แต่การแฮ็กไม่ได้ผล มีการบังคับใช้รหัสผ่านที่ไม่รู้จักอย่างเดรัจฉาน แต่มันแตกต่างจากที่ทีวีบอกเป็นนัยมาก เช่น xkcd แสดงให้เห็นอย่างมีชื่อเสียง เมื่อความยาวของรหัสผ่านเพิ่มขึ้นเวลาในการถอดรหัสก็จะเพิ่มขึ้นอย่างทวีคูณ การเพิ่มความซับซ้อนช่วยได้ แต่ไม่มากเท่าที่คุณคิด
ดังนั้นหนึ่งในสถานการณ์ที่ Facebook อนุญาตให้ใช้อักขระพิเศษที่จุดเริ่มต้นหรือจุดสิ้นสุดของรหัสผ่านจะยิ่งยากที่จะดุร้าย แฮกเกอร์จำเป็นต้องมีรหัสผ่านที่ถูกต้องอยู่แล้วก่อนที่จะสร้างเป็นรหัสผ่านพร้อมอักขระพิเศษ
สิ่งที่น่าสนใจเป็นพิเศษคือสถานการณ์แคปล็อค ฉันทดสอบสิ่งนี้โดยพิมพ์รหัสผ่านของฉันลงในแผ่นจดบันทึกด้วยตนเองก่อนจากนั้นย้อนกลับเคสจากนั้นวางผลลัพธ์นั้นลงใน Facebook มันปฏิเสธรหัสผ่านนั้น จากนั้นฉันก็เปิด caps lock และพิมพ์รหัสผ่านราวกับว่า cap lock ปิดอยู่ดังนั้นจึงย้อนกลับกรณี ความพยายามนั้นสำเร็จและฉันก็เข้าสู่ระบบ Facebook ไม่เพียง แต่ตรวจสอบว่ารหัสผ่านคืออะไร แต่คุณป้อนรหัสผ่านอย่างไร Brute Force จะไม่ช่วยในสถานการณ์นั้นซึ่งสั้นจากการจำลอง caps lock ซึ่งจะยากกว่าการตั้งเป้าหมายสำหรับรหัสผ่านจริง
อัปเดต : ในฐานะที่ปรึกษาด้านความปลอดภัยข้อมูลพอลมัวร์ชี้ให้เห็น ทวิตเตอร์ Facebook มักจะเก็บเฉพาะรหัสผ่านเดิมของคุณ (แฮชและดองอย่างถูกต้อง) ไม่ใช่รหัสผ่านของคุณ เมื่อคุณส่งรหัสผ่านเพื่อเข้าสู่ระบบระบบจะตรวจสอบรหัสผ่านเดิมของคุณ หากไม่ตรงกัน Facebook จะเรียกใช้รหัสผ่านที่คุณส่งผ่านรูปแบบต่างๆเหล่านี้ ตัวอย่างเช่นหากคุณเปิด Caps Lock ไว้ Facebook จะรับรหัสผ่านที่คุณส่งกลับตัวอักษรพิมพ์ใหญ่และลองอีกครั้ง หากไม่ได้ผล Facebook จะลองอีกครั้งในสถานการณ์ถัดไป โดยพื้นฐานแล้ว Facebook กำลังทำในสิ่งที่คุณเคยทำเมื่อได้รับข้อความ“ รหัสผ่านผิด” - ตรวจสอบข้อผิดพลาดโดยไม่ได้ตั้งใจในรหัสผ่านที่พิมพ์และแก้ไข ซึ่งทำให้กระบวนการทั้งหมดไม่น่าหงุดหงิดสำหรับคุณ สิ่งนี้ไม่ได้ลดความปลอดภัยลงเนื่องจากยังคงต้องใช้แนวคิดบางอย่างเกี่ยวกับรหัสผ่านที่ถูกต้องและรูปแบบที่ยอมรับนั้นแคบ
ที่สำคัญกว่านั้นวิธี brute force ไม่ใช่วิธีหลักในการเข้าถึงเครือข่ายโซเชียลและบัญชีอื่น ๆ วิศวกรรมสังคมและการทิ้งรหัสผ่านนั้นใช้งานง่ายกว่ามาก หากคุณมีคำถามเกี่ยวกับการรีเซ็ตรหัสผ่านมีโอกาสที่ดีอย่างน้อยคำตอบบางคำก็เป็นข้อมูลที่สาธารณะเข้าถึงได้ หากคำถามรีเซ็ตของคุณเกี่ยวกับสถานที่เกิดนามสกุลเดิมของแม่หรือตัวนำโชคในโรงเรียนมัธยมก็สามารถติดตามคำตอบได้ เมื่อถึงจุดนั้นผู้ไม่ประสงค์ดีสามารถรีเซ็ตรหัสผ่านของคุณได้ทำให้จำเป็นต้องเดาหรือกำหนดรหัสผ่านเองทั้งหมด
น่าเสียดายที่หลายคนยังคงใช้อีเมลและรหัสผ่านเดียวกันในทุกไซต์ที่ต้องใช้ข้อมูลรับรองการเข้าสู่ระบบ คุณไม่ต้องมองหาที่ไหนไกล ตัวอย่าง หลังจาก ตัวอย่าง ของ การละเมิดข้อมูล . หากคุณใช้อีเมลและรหัสผ่านชุดเดียวกันในที่ต่างๆมากกว่าหนึ่งแห่งและใช้มานานหลายปีแล้วรหัสผ่านของคุณคือช่องโหว่ไม่ใช่นโยบายของ Facebook
หากคุณไม่แน่ใจว่าเคยตกเป็นเหยื่อของการละเมิดหรือไม่ให้ไปที่ haveibeenpwned.com และตรวจสอบดูว่าไฟล์ รหัสผ่านถูกขโมย . มีโอกาสที่คุณจะมีบัญชีบางบัญชีถูกบุกรุกที่ไหนสักแห่ง
คุณควรรักษาความปลอดภัยบัญชีของคุณอยู่เสมอ
หากคุณยังคงกังวลว่านโยบายนี้ทำให้คุณมีช่องโหว่มีขั้นตอนที่คุณสามารถดำเนินการได้ ขั้นตอนแรกคือการหยุดใช้รหัสผ่านเดียวกันสำหรับทุกไซต์ รับไฟล์ ผู้จัดการรหัสผ่าน และปล่อยให้มันสร้างรหัสผ่านที่ยาวไม่ซ้ำกันสำหรับทุกไซต์ที่คุณใช้ จากนั้นในครั้งต่อไปที่คุณเห็นว่าเว็บไซต์ที่คุณใช้ถูกบุกรุกคุณสามารถเปลี่ยนรหัสผ่านนั้นเพียงรหัสเดียวและรู้สึกปลอดภัยเมื่อรู้ว่ารหัสผ่านที่ทราบนี้จะไม่ส่งผลดีต่อแฮกเกอร์
หลังจากที่คุณทำให้รหัสผ่านแข็งขึ้นแล้วให้เปิดใช้งาน การรับรองความถูกต้องด้วยสองปัจจัย ที่ไซต์ใดก็ได้ที่ให้บริการ เฟสบุ๊ค มีการรับรองความถูกต้องด้วยสองปัจจัยดังนั้นคุณควรตั้งค่าที่นั่นด้วย การรับรองความถูกต้องด้วยสองปัจจัยที่ดีที่สุดอาศัยแอปกับสมาร์ทโฟนของคุณที่สร้างรหัสใหม่บ่อยๆหรือคีย์จริงที่คุณเก็บไว้กับคุณ ในขณะที่การรับรองความถูกต้องสองปัจจัยโดยใช้ SMS ดีกว่าไม่มีอะไรเลย แต่ยังคงมีความเสี่ยงต่อเทคนิควิศวกรรมสังคม ดังนั้นหากคุณสามารถพึ่งพาแอปตัวตรวจสอบสิทธิ์หรือคีย์จริงได้คุณควร และ มีการสำรองข้อมูล ในกรณีที่มีบางอย่างเกิดขึ้นกับโทรศัพท์หรือคีย์ของคุณ
ด้วยชุดค่าผสมนี้บัญชีของคุณจะปลอดภัยมากขึ้นโดยไม่คำนึงถึงนโยบายรหัสผ่านของ Facebook อย่างน้อยที่สุดคุณควรใช้ตัวจัดการรหัสผ่านและรหัสผ่านที่ไม่ซ้ำกัน แต่การใช้รหัสผ่านร่วมกับการตรวจสอบสิทธิ์สองปัจจัยจะดีกว่า
อย่าตื่นตระหนก เพลิดเพลินไปกับความสะดวกสบาย
สำหรับนโยบายรหัสผ่านของ Facebook เป็นเรื่องง่ายที่จะกังวลว่าจะมีความปลอดภัยน้อยกว่า แต่ในความเป็นจริงประโยชน์ที่ได้รับนั้นมีมากกว่าความเสี่ยง การรักษาความปลอดภัยคือการสร้างสมดุล ยิ่งคุณล็อคระบบมากเท่าไหร่การเข้าถึงก็จะยิ่งน้อยลงเท่านั้น แต่เมื่อคุณเพิ่มการเข้าถึงที่สะดวกขึ้นคุณจะสูญเสียความปลอดภัย เคล็ดลับคือการใช้ทั้งสองอย่างในปริมาณที่เหมาะสมเพื่อปกป้องผู้ใช้ของคุณโดยไม่ทำให้พวกเขาหงุดหงิด Facebook ทำให้ผู้ใช้เกิดความผิดพลาดที่นี่และนั่นอาจเป็นการตัดสินใจที่ยอมรับได้
