Şifrenizin tek doğru versiyonunun, kullandığınız tam olarak büyük harf ve harf / sembol dizisi olduğunu düşünüyorsanız, şokta olabilirsiniz. Facebook, size kolaylık sağlamak için şifrenizin küçük değişikliklerini kabul edecektir. Ve tamamen güvenlidir.
Parolaların Yanlış Yazılması Kolaydır
Facebook ve onun gibi diğer sitelerde sorun var. Uzun ve karmaşık şifreler kullanmanızı isterler, ancak bunları yazmak zordur. Olmalısın bir şifre yöneticisi kullanmak bunu sizin için halletmek için, ama çoğu insan bunu yapmıyor. Ve bu iki faktör nedeniyle, şifrenizi yanlış yazmanız yaygındır.
Bu noktada Facebook ne yapmalı?
Sırf şifreniz biraz bozuk olduğu için girişinizi reddetmeli ve ikinci bir denemeyle sizi hayal kırıklığına uğratmalı mı? Yoksa sağlanan parolanın büyük olasılıkla doğru olduğunu, ancak bir yazım hatası olduğunu fark etmeleri ve hatayı görmezden gelerek kedi giflerine ve bebek resimlerine yolculuğunuzu yumuşatması mı gerekir?
Facebook Parolalardaki Hataları Değerlendiriyor
Gibi Alec Muffet Londra'daki Facebook Engineering'deki güvenlik altyapısı ekibinde eski bir yazılım mühendisi olan Facebook ikincisini seçtiğini açıkladı. Parolanız doğruya çok yakınsa, doğru olarak kabul edebilirler. Bunun kuralları basittir. Facebook, aşağıdaki koşullardan herhangi birini karşılıyorsa yanlış şifreyi kabul edecektir:
- Büyük harf kilidini açtınız ve büyük harf kullanımı tersine çevrildi.
- Bir parolanın başına veya sonuna fazladan bir karakter girersiniz
- Şifrenin ilk karakteri küçük harf olmalıdır, ancak büyük harfle yazdınız
Gördüğünüz gibi, bu varyasyonların tümü, yazarken parolanızı biraz gözden kaçırma temel kavramına odaklanmıştır. Bazı durumlarda bu, bir kelimenin ilk harfinin büyük harfle yazılması gibi bir otomatik düzeltme sorunu olabilir. Yanlış yazılan şifreniz bu belirli kurallara uyuyorsa, bir sorun olduğunu bilemezsiniz, yalnızca kendinizi giriş yapmış bulursunuz.
Örneğin, şifrenizin "letMeIn" olduğunu varsayalım. Facebook ayrıca "LETmEiN" (çünkü bu bir büyük harf kilidi ters çevirmedir) ve "LetMeIn" i (çünkü bu ilk harf için yanlış büyük harftir) kabul eder. Aynı zamanda "1letMeIn" ve "letMeIn2" gibi varyasyonları da kabul eder çünkü bunlar başlangıçta veya sonda ek bir karakter dışında doğrudur. Ancak "LETMEIN", "letmein" veya "12LetMeIn" kabul etmez.
Bu İşlem Hala Güvenli
İlk bakışta, Facebook’un şifre rahatlığı güvensiz geliyor. Ancak bu durumda gerçek daha karmaşıktır. Sadece dakikalar içinde bir parolada hızlı kaba kuvvet tahminini gösteren eski bilgisayar korsanı suç dramalarını düşünmek kolay olsa da, bilgisayar korsanlığı bu şekilde çalışmıyor. Bilinmeyen şifreleri zorlamak var, ancak TV'nin ima ettiğinden çok farklı. Gibi xkcd'nin ünlüleri , bir parolanın uzunluğu arttıkça onu kırma süresi de katlanarak artar. Karmaşıklık eklemek yardımcı olur, ancak düşündüğünüz kadar değil.
Dolayısıyla, Facebook'un izin verdiği senaryolardan biri olan şifrenin başında veya sonunda fazladan bir karakter, kaba kuvvet uygulamak daha da zor olacaktır. Bilgisayar korsanlarının, parolaya ve fazladan bir karaktere girmeden önce doğru parolayı almaları gerekir.
Özellikle ilgi çekici olan büyük harf kilidi senaryosudur. Bunu önce şifremi not defterine manuel olarak yazarak, durumu tersine çevirerek ve ardından bu sonucu Facebook'a yapıştırarak test ettim. Bu şifreyi reddetti. Daha sonra büyük harf kilidini açtım ve şifremi büyük harf kilidi kapalıymış gibi yazdım, böylece durumu tersine çevirdim. Bu girişim başarılı oldu ve giriş yaptım. Facebook sadece şifrenin ne olduğunu değil, nasıl girdiğini kontrol ediyor. Brute Force, gerçek şifreyi hedeflemekten daha zor olan büyük harf kilidi simülasyonu dışında bu senaryoda yardımcı olmaz.
Güncelleme : Bilgi güvenliği danışmanı Paul Moore'un belirttiği gibi Twitter , Facebook büyük olasılıkla, şifrenizin varyasyonlarını değil, yalnızca orijinal şifrenizi (uygun şekilde karıştırılmış ve tuzlanmış) saklıyor. Giriş yapmak için bir şifre gönderdiğinizde, orijinal şifreniz kontrol edilir. Eşleşmezse, Facebook gönderdiğiniz parolayı bu varyasyonlar aracılığıyla çalıştırır. Örneğin, Caps Lock'unuz açıksa, Facebook girdiğiniz parolayı alır, harflerin büyük harf kullanımını tersine çevirir ve tekrar dener. Bu işe yaramazsa, Facebook bir sonraki senaryoyu tekrar dener. Esasen Facebook, "yanlış şifre" mesajı aldığınızda yapacağınız şeyi yapıyor - yazılan şifrede yanlışlıkla bir hata olup olmadığını kontrol ediyor ve düzeltiyor. Bu, tüm süreci sizin için daha az sinir bozucu hale getirir. Bu, güvenliği azaltmaz, çünkü doğru şifre konusunda bazı fikirlere hala ihtiyaç vardır ve kabul edilen varyasyonlar dar.
Daha da önemlisi, kaba kuvvet yöntemleri sosyal ağlara ve diğer hesaplara erişim sağlamanın birincil yöntemi değildir. Sosyal mühendislik ve şifre dökümlerinin kullanımı çok daha basittir. Şifre sıfırlama sorularınız varsa, yanıtlardan en azından bazılarının herkesin erişebileceği bilgiler olma ihtimali yüksektir. Sıfırlama sorunuz doğum yeriniz, annenizin kızlık soyadı veya lise maskotuyla ilgiliyse, cevabı bulmak mümkündür. Bu noktada, kötü bir oyuncu parolanızı sıfırlayabilir ve parolayı tahmin etme veya belirleme ihtiyacını tamamen tartışabilir hale getirebilir.
Ne yazık ki, birçok kişi hala oturum açma kimlik bilgileri gerektiren her sitede aynı e-posta ve şifre kombinasyonunu kullanıyor. Bulmak için uzağa bakmanıza gerek yok örnek sonra örnek nın-nin veri ihlalleri . Aynı e-posta ve şifre kombinasyonunu birden fazla yerde kullanıyorsanız ve yıllardır kullanıyorsanız, şifreleriniz Facebook'un politikaları değil güvenlik açığıdır.
Bir ihlalin kurbanı olup olmadığınızdan emin değilseniz, şu adrese gidin: haveibeenpwned.com ve kontrol edin şifre çalındı . Muhtemelen en azından bir yerde hesabınızın güvenliği ihlal edilmiştir.
Hesaplarınızı Daima Güvenceye Almalısınız
Hala bu politikanın sizi savunmasız bırakmasından endişeleniyorsanız, atabileceğiniz adımlar vardır. İlk adım, her site için aynı şifreyi kullanmayı bırakmaktır. Bunun yerine bir şifre yöneticisi ve kullandığınız her farklı site için benzersiz uzun parolalar oluşturmasına izin verin. Ardından, kullandığınız bir web sitesinin güvenliğinin ihlal edildiğini bir dahaki sefere gördüğünüzde, yalnızca o parolayı değiştirebilir ve bu bilinen parolanın bilgisayar korsanlarına hiçbir faydası olmayacağını bilerek kendinizi güvende hissedebilirsiniz.
Parolalarınızı sağlamlaştırdıktan sonra açın iki faktörlü kimlik doğrulama bunu sunan herhangi bir sitede. Facebook iki faktörlü kimlik doğrulama sunar, bu nedenle onu orada da ayarlamalısınız. En iyi iki faktörlü kimlik doğrulama, akıllı telefonunuzda sık sık yeni bir kod oluşturan bir uygulamaya veya yanınızda tuttuğunuz fiziksel bir anahtarına dayanır. SMS tabanlı iki faktörlü kimlik doğrulama hiç yoktan iyidir , sosyal mühendislik tekniklerine karşı hâlâ savunmasız. Dolayısıyla, bir kimlik doğrulayıcı uygulamaya veya fiziksel bir anahtara güvenebiliyorsanız, yapmalısınız. Ve yedek almak telefonunuzla veya anahtarınızla bir şey olması durumunda yerinde.
Bu kombinasyonla, hesabınız Facebook’un şifre politikalarından bağımsız olarak çok daha güvenlidir. En azından bir şifre yöneticisi ve benzersiz şifreler kullanmalısınız, ancak bunları iki faktörlü kimlik doğrulama ile birlikte kullanmak daha iyidir.
Panik Yapmayın; Rahatlığın Tadını Çıkarın
Facebook'un şifre politikasına gelince, daha az güvenli olduğundan endişelenmek kolaydır, ancak gerçek şu ki faydalar risklerden daha ağır basmaktadır. Güvenlik dengeleyici bir eylemdir. Bir sistemi ne kadar kilitlerseniz, erişim o kadar az kolay olur. Ancak daha rahat erişim ekledikçe güvenliği kaybedersiniz. İşin püf noktası, kullanıcılarınızı sinirlendirmeden korumak için her ikisinden de doğru miktarda almaktır. Facebook burada kullanıcı kolaylığı tarafında hata yaptı ve bu muhtemelen kabul edilebilir bir karardır.
