Facebook вигадує ваш пароль для зручності
Якщо ви вважаєте, що єдиною правильною версією пароля є точна капіталізація та послідовність літер / символів, ви можете бути в шоці. Facebook буде приймати незначні зміни вашого пароля для вашої зручності. І це абсолютно безпечно.
Паролі легко помилкові
Facebook та інші сайти, як це, мають проблеми. Вони хотіли б використовувати довгі та складні паролі, але їх важко набрати. Для цього ви повинні використовувати менеджер паролів, але більшість людей цього не роблять. І через ці два чинники, як правило, помилково вводять ваш пароль.
У той момент, що потрібно зробити Facebook?
Чи повинні вони відмовити вам у вступі тільки тому, що ваш пароль був трохи вимкнений, і вас зірве з другої спроби? Або вони повинні визнати, що наданий пароль, ймовірно, є правильним, але з помилкою і згладити вашу подорож до кішки-картинок і малюнок дитини, ігноруючи помилку?
Facebook оцінює помилки в паролях
Як пояснив колишній інженер з безпеки інфраструктури компанії Facebook Engineering в Лондоні Алек Муффет, Facebook вибрав останнє. Якщо ваш пароль дуже близький до виправлення, вони можуть вважати його правильним. Правила для цього є простими. Facebook приймає неправильний пароль, якщо він відповідає будь-якій з цих умов:
- У вас є увімкнено блокування капсул, а заголовні букви змінені.
- Ви вводите додатковий символ на початку або в кінці пароля
- Перший символ пароля має бути малим, але ви ввели його великими літерами
Як ви можете бачити, ці варіації зосереджені навколо основної концепції трохи відсутнього пароля під час введення тексту. У деяких випадках це може бути проблемою автовиправлення, як і перша буква слова, що вбудовується. Якщо ваш неправильно введений пароль відповідає цим специфічним правилам, ви не будете знати, що виникла проблема - ви просто ввійдете в систему.
Наприклад, припустимо, що ваш пароль - "letMeIn". Facebook також прийме "LETmEiN" (тому що це прямолінійний розворот замків) і "LetMeIn" (тому що це неправильний капітал для першої літери). Він також прийме варіації, такі як "1letMeIn" і "letMeIn2", оскільки вони є правильними, за винятком додаткового символу на початку або в кінці. Однак, він взагалі не прийме "LETMEIN", "letmein" або "12LetMeIn".
Цей процес все ще надійний
Морський час / ШуттерстокНа перших поглядах, Facebook знижує пароль, який звучить небезпечно. Але в цьому випадку правда складніше. Хоча можна легко подумати про старі драми злочинного хакера, які показали швидку грубу силу, здогадуючись на пароль за лічені хвилини, хакінг взагалі не працює. Грубий примус невідомих паролів існує, але це дуже відрізняється від телевізійного. Як відомо, xkcd демонструє, як збільшується довжина пароля, час розпаду також збільшується в геометричній прогресії. Додавання складності допомагає, але не настільки, наскільки ви думаєте.
Таким чином, один з сценаріїв, що дозволяє Facebook, додатковий символ на початку або в кінці пароля, буде ще важче для грубої сили. Хакери вже повинні мати правильний пароль, перш ніж вони ввійдуть до пароля плюс додатковий символ.
Особливий інтерес представляє сценарій caps lock. Я перевірив це, спочатку вручну ввівши свій пароль у блокнот, змінивши випадок, потім вставивши цей результат у Facebook. Вона заперечувала цей пароль. Потім я ввімкнув блокування капсул і набрав свій пароль так, як ніби замок закрився, таким чином змінюючи справу. Ця спроба була успішною, і я увійшов у систему. Facebook не тільки перевіряє, який пароль, але і як ви його вводите. Brute Force не допоможе у цьому сценарії, якщо не буде імітувати блокування ковпачків, що було б важче, ніж просто прагнути до фактичного пароля.
ОновленняЯк стверджує консультант з інформаційної безпеки Пол Мур у Твіттері, Facebook, швидше за все, зберігає ваш оригінальний пароль (належним чином хеширований і солоний), а не варіації пароля. Коли ви надсилаєте пароль для входу, він перевіряється на ваш первинний пароль. Якщо це не збігається, Facebook запускає введений пароль через ці варіанти. Наприклад, якщо увімкнено Caps Lock, Facebook приймає ваш пароль, скасовує великі літери та намагається знову. Якщо це не спрацює, Facebook спробує знову з наступним сценарієм. По суті, Facebook робить те, що ви б зробили після отримання "неправильного пароля" для перевірки повідомлення про випадкову помилку введеного пароля і його виправлення. Це робить весь процес менш засмучуючим для вас. Це не знижує безпеку, оскільки деяке уявлення про правильний пароль все ще потрібне, і прийняті варіації є вузькими.
Більш важливо, що методи грубої сили не є основним методом для отримання доступу до соціальних мереж та інших облікових записів. Соціальну інженерію та звалища паролів набагато простіше використовувати. Якщо у вас є питання щодо скидання пароля, існує гідний шанс, щонайменше деякі з відповідей є загальнодоступною інформацією. Якщо ваш запит на скидання стосується вашого місця народження, дівочого прізвища матері або талісмана середньої школи, тоді можна відстежити відповідь. У цей момент поганий актор може скинути ваш пароль, унеможливлюючи вгадати чи визначити сам пароль повністю.
На жаль, багато людей все ще використовують однакову комбінацію повідомлень електронної пошти та пароля на кожному сайті, який вимагає облікових даних для входу. Вам не треба дивитися далеко, щоб знайти примірник після випадків порушення даних. Якщо ви використовуєте одну й ту саму комбінацію повідомлень електронної пошти та пароля на декількох місцях, та й були роками, то ваші паролі є вразливістю, а не політикою Facebook.
Якщо ви не впевнені, що ви стали жертвою порушення, перейдіть до сайту haveibeenpwned.com і перевірте, чи був ваш пароль викрадений. Швидше за все, ви десь мали якийсь обліковий запис.
Ви завжди повинні захищати свої рахунки
Nicescene / Shutterstock.comЯкщо ви все ще стурбовані тим, що ця політика залишає вас вразливим, ви можете зробити певні кроки. Першим кроком є припинення використання одного і того ж пароля для кожного сайту. Замість цього отримайте менеджер паролів і дайте йому генерувати унікальні довгі паролі для кожного використовуваного сайту. Потім, коли наступного разу ви побачите, що веб-сайт, який ви використовували, був скомпрометований, ви можете змінити лише один пароль і відчути себе в безпеці, знаючи, що цей відомий пароль не зроблять хакерів нічим.
Після посилення паролів увімкніть двофакторну аутентифікацію на будь-якому сайті, який його пропонує. Facebook пропонує двофакторну аутентифікацію, тому ви також повинні встановити її там. Найкраща двофакторна автентифікація покладається на додаток з вашим смартфоном, який часто генерує новий код або фізичний ключ, який ви зберігаєте. Хоча двофакторна автентифікація на основі SMS-повідомлень краща, ніж нічого, вона все ще вразлива до методів соціальної інженерії. Тому, якщо ви можете покластися на додаток автентифікації або фізичний ключ, вам слід. У вас є резервна копія, якщо щось відбудеться з телефоном або ключем.
За допомогою цієї комбінації ваш обліковий запис є набагато більш безпечним, незалежно від політики паролів Facebook. Принаймні ви повинні використовувати менеджер паролів і унікальні паролі, але краще використовувати їх у комбінації з двофакторною аутентифікацією.
Не панікуйте; Насолоджуйтесь зручністю
Що стосується політики паролів Facebook, то легко переживати, що це менш безпечно, але реальність полягає в тому, що переваги переважають ризики. Безпека - це акт балансування. Чим більше ви блокуєте систему, тим менш зручно мати доступ. Але якщо ви додасте зручніший доступ, ви втратите безпеку. Хитрість полягає в тому, щоб отримати потрібну кількість обох для захисту користувачів, не заважаючи їм. Facebook помилявся на стороні зручності користувача тут, і це, мабуть, прийнятне рішення.