Facebook Fudges Parola dvs. pentru confortul dumneavoastră
Dacă credeți că singura versiune corectă a parolei dvs. este secvența de scriere cu majuscule și cu litere / simboluri pe care o utilizați, este posibil să fiți în stare de șoc. Facebook va accepta mici modificări ale parolei dvs., pentru confortul dvs. Și este perfect în siguranță.
Parolele sunt ușor de înșelat
Facebook și alte site-uri ca aceasta au o problemă. V-ar plăcea să folosiți parole lungi și complicate, dar acestea sunt greu de tipărit. Ar trebui să folosiți un manager de parole pentru a avea grijă de asta, dar majoritatea oamenilor nu o fac. Iar din cauza acestor doi factori, este comună să-ți spui greșit parola.
La acel moment, ce ar trebui să facă Facebook?
Ar trebui să vă refuze intrarea doar pentru că parola a fost ușor oprită și te-a frustrat cu oa doua încercare? Sau ar trebui să recunoască faptul că parola furnizată a fost probabil corectă, dar cu o greșeală și netezirea călătoriei dvs. către pisici și imagini pentru copii, ignorând greșeala?
Facebook evaluează greșelile din parole
După cum explică Alec Muffet, fost inginer software pentru echipa de infrastructură de securitate de la Facebook Engineering din Londra, Facebook a ales-o pe aceasta din urmă. Dacă parola dvs. este foarte aproape de a corecta, poate fi considerată ca fiind exactă. Regulile pentru acest lucru sunt simple. Facebook va accepta o parolă incorectă dacă îndeplinește oricare dintre aceste condiții:
- Aveți capacele de blocare activate și capitalizările sunt inversate.
- Introduceți un caracter suplimentar la începutul sau la sfârșitul unei parole
- Primul caracter al parolei ar trebui să fie mic, dar ați tastat-o capitalizată
După cum puteți vedea, aceste variații sunt toate centrate pe conceptul de bază al lipsei ușor parolei atunci când tastați. În unele cazuri, aceasta poate fi o problemă de autocorecție, ca prima literă a unui cuvânt fiind capitalizată. Dacă parola dvs. cu eroare respectă aceste reguli specifice, nu veți ști că a apărut o problemă - veți fi doar logat.
De exemplu, să presupunem că parola dvs. este "letMeIn". Facebook va accepta, de asemenea, "LETmEiN" (pentru că este o inversare a blocării capselor) și "LetMeIn" (deoarece acesta este un capital incorect pentru prima literă). De asemenea, va accepta variații precum "1letMeIn" și "letMeIn2", deoarece acestea sunt corecte, cu excepția unui caracter suplimentar la început sau la sfârșit. Cu toate acestea, nu va accepta "LETMEIN", "letmein" sau "12LetMeIn" deloc.
Acest proces este încă securizat
Seasontime / ShutterstockLa prima blush, slăbiciunea parolei Facebook pare să fie nesigură. Dar în acest caz, adevărul este mult mai complicat. În timp ce este ușor să te gândești la dramele vechi de hackeri care au arătat o forță brută rapidă, ghicind la o parolă în doar câteva minute, hackingul nu funcționează deloc. Există parole necunoscute care forțează forțarea, dar este foarte diferită de cea implicată de televizor. După cum demonstrează excelent xkcd, deoarece lungimea unei parole crește, timpul pentru crack crește și exponențial. Adăugarea de complexitate ajută, dar nu la fel de mult cum ați putea crede.
Deci, unul dintre scenariile pe care Facebook le permite, un caracter în plus la începutul sau la sfârșitul parolei, ar fi chiar mai greu de forțat. Hackerii ar fi trebuit deja să aibă parola corectă înainte ca aceștia să se întoarcă la parolă, plus un caracter suplimentar.
De interes special este scenariul caps lock. Am testat acest lucru introducând mai întâi manual introducerea parolei în notepad, inversarea cazului, apoi plasarea rezultatului în Facebook. A refuzat această parolă. Apoi am activat capacele de blocare și mi-am scris parola ca și cum capul de blocare au fost oprite, inversând cazul. Această încercare a avut succes și am fost logat. Facebook nu verifică doar ce este parola, ci cum îl introduceți. Brute Force nu va ajuta în acest scenariu, fără a simula capacele de blocare, ceea ce ar fi mai dificil decât țintirea doar pentru parola reală.
Actualizați: În calitate de consultant în domeniul securității informațiilor, Paul Moore subliniază pe Twitter, Facebook este cel mai probabil să stocheze numai parola originală (în mod corect și sărat) și nu variantele parolei. Când trimiteți o parolă pentru a vă conecta, este verificată parola originală. Dacă nu se potrivește, Facebook rulează parola trimisă prin aceste variante. De exemplu, dacă Caps Lock este activat, Facebook ia parola trimisă, inversează capitalizarea literelor și încearcă din nou. Dacă aceasta nu funcționează, Facebook încearcă din nou cu următorul scenariu. În esență, Facebook face ceea ce ați fi făcut după obținerea unui mesaj de "greșită parolă" de verificare pentru o eroare accidentală în parola tastată și corectarea acesteia. Acest lucru face ca întregul proces să fie mai puțin frustrant pentru dvs. Acest lucru nu reduce securitatea, deoarece este încă necesară o idee despre parola corectă, iar variațiile acceptate sunt înguste.
Mai important, metodele forței brute nu sunt metoda principală pentru a avea acces la rețelele sociale și alte conturi. Ingineria socială și depozitele de parole sunt mult mai simple de folosit. Dacă aveți întrebări privind resetarea parolei, există o șansă decentă, cel puțin unele dintre răspunsuri fiind informații accesibile publicului. Dacă întrebarea dvs. de resetare se referă la locul tău de naștere, la numele de mamă al mamei sau la mascota de liceu, atunci este posibil să urmăriți răspunsul în jos. În acel moment, un actor rău vă poate reseta parola, făcând nevoia de a ghici sau de a determina parola în sine în întregime.
Din păcate, mulți utilizatori folosesc în continuare aceeași combinație de e-mail și parolă la fiecare site care necesită acreditări de conectare. Nu trebuie să te uiți prea departe pentru a găsi instanță după caz de încălcări ale datelor. Dacă utilizați aceeași combinație de e-mail și parolă în mai multe locuri și au fost de ani de zile, atunci parolele dvs. sunt vulnerabilitatea, nu politicile Facebook.
Dacă nu sunteți sigur dacă ați fost victima unei încălcări, mergeți la hasibeenpwned.com și verificați dacă parola dvs. a fost furată. Șansele sunt că ați avut cel puțin un cont compromis undeva.
Ar trebui să vă asigurați întotdeauna conturile
Nicescene / Shutterstock.comDacă sunteți încă îngrijorat de faptul că această politică vă lasă vulnerabilă, există pași pe care îi puteți lua. Primul pas este să nu mai folosiți aceeași parolă pentru fiecare site. În schimb, obțineți un manager de parole și permiteți-i să genereze parole lungi unice pentru fiecare site diferit pe care îl utilizați. Apoi, data viitoare când veți vedea că un site pe care l-ați folosit a fost compromis, puteți schimba doar o singură parolă și vă simțiți în siguranță, știind că această parolă cunoscută nu va face hackerii niciun bun.
După ce vă întăriți parolele, activați autentificarea cu două factori la orice site care o oferă. Facebook nu oferă autentificare cu doi factori, deci ar trebui să o configurați și acolo. Cea mai bună autentificare cu două factori se bazează pe o aplicație cu telefonul smartphone care generează frecvent un nou cod sau o cheie fizică pe care o păstrați cu dvs. Deși autentificarea cu două factori bazată pe SMS este mai bună decât nimic, este încă vulnerabilă la tehnicile de inginerie socială. Deci, dacă vă puteți baza pe o aplicație de autentificare sau o cheie fizică, ar trebui. Și aveți o copie de rezervă în cazul în care se întâmplă ceva cu telefonul sau cheia.
Cu această combinație, contul dvs. este mult mai sigur, indiferent de politica de parole a Facebook. Ar trebui să utilizați cel puțin un manager de parole și parole unice, însă utilizarea acelora în combinație cu autentificarea cu doi factori este mai bună.
Nu panica; Bucurați-vă de confort
În ceea ce privește politica de parole a Facebook, este ușor să vă faceți griji că este mai puțin sigură, dar realitatea este că beneficiile depășesc riscurile. Securitatea este un act de echilibrare. Cu cât blocați mai mult un sistem, cu atât este mai puțin accesibil. Dar, pe măsură ce adăugați un acces mai convenabil, veți pierde securitatea. Trucul obține cantitățile potrivite atât pentru a vă proteja utilizatorii, fără a le frustra. Facebook a greșit din punctul de vedere al ușurinței utilizatorului aici și probabil că este o decizie acceptabilă.