Facebook Fudges vaše heslo pre vaše pohodlie
Ak si myslíte, že jedinou správnou verziou hesla je presná kapitalizácia a sekvencia písmen / symbolov, ktorú používate, môžete byť v šoku. Spoločnosť Facebook bude pre vaše pohodlie akceptovať malé zmeny vášho hesla. A je to úplne bezpečné.
Heslá sú ľahké na nesprávne
Facebook a iné stránky, ako je problém. Radi by ste, aby ste používali dlhé a zložité heslá, ale tieto sú ťažké písať. Mali by ste používať správcu hesiel, aby ste sa o to postarali za vás, ale väčšina ľudí to nerobí. A kvôli týmto dvom faktorom je bežné, aby ste nesprávne zadali svoje heslo.
V tom momente by mal Facebook robiť?
Mali by ste odoprieť vstup len preto, že vaše heslo bolo mierne preč a potlačiť vás druhý pokus? Alebo by si mali uvedomiť, že poskytnuté heslo je pravdepodobne správne, ale s preklepom a vyhladzuje vašu cestu k gifom mačiek a obrázkov pre deti ignorovaním chyby?
Facebook hodnotí chyby v heslách
Ako vysvetľuje Alec Muffet, bývalý softvérový inžinier pre tím bezpečnostnej infraštruktúry spoločnosti Facebook Engineering v Londýne, spoločnosť Facebook si vybrala druhú. Ak je vaše heslo veľmi správne, môže ho považovať za presné. Pravidlá pre toto sú jednoduché. Spoločnosť Facebook bude akceptovať nesprávne heslo, ak spĺňa niektorú z týchto podmienok:
- Máte zámok uzáveru zapnutý a kapitalizácie sú obrátené.
- Do začiatku alebo konca hesla zadáte ďalší znak
- Prvý znak hesla by mal byť malý, ale zadali ste ho veľkými písmenami
Ako vidíte, tieto variácie sa sústreďujú okolo základnej koncepcie mierneho chýbajúceho hesla pri písaní. V niektorých prípadoch to môže byť otázka autokorektúry, rovnako ako prvé písmeno slova, ktoré sa má kapitalizovať. Ak vaše nesprávne zadané heslo spĺňa tieto špecifické pravidlá, nebudete vedieť, že došlo k problému - zistíte, že ste sa prihlásili.
Povedzme napríklad, že vaše heslo je "letMeIn". Spoločnosť Facebook bude tiež akceptovať "LETmEIN" (pretože ide o obrátenú zámku zámku) a "LetMeIn" (pretože to je nesprávny kapitál pre prvé písmeno). Bude tiež akceptovať variácie ako "1letMeIn" a "letMeIn2", pretože tieto sú správne s výnimkou ďalšieho znaku na začiatku alebo na konci. Avšak nebude akceptovať "LETMEIN", "letmein" alebo "12LetMeIn" vôbec.
Tento proces je stále bezpečný
Seasontime / ShutterstockPri prvom zatemnení znetvorenie hesla Facebooku je neisté. Ale v tomto prípade je pravda zložitejšia. Aj keď je ľahké myslieť na staré hackerské kriminálne drámy, ktoré ukázali, že rýchla brutálna sila háda o heslo v priebehu niekoľkých minút, hackovanie vôbec nefunguje. Hrubé vynútenie neznámych hesiel existuje, ale je to veľmi odlišné, ako to znamená TV. Ako xkcd skvele demonštruje, ako sa zvyšuje dĺžka hesla, čas na jeho crack sa tiež zvyšuje exponenciálne. Pridávanie zložitosti pomáha, ale nie toľko, koľko si myslíte.
Takže jeden zo scenárov, ktoré Facebook dovoľuje, by znamenal ďalší znak na začiatku alebo na konci hesla, bolo by ešte ťažšie na hrubej sile. Hackeri by už potrebovali správne heslo predtým, ako sa dostanú k heslu plus ďalší znak.
Osobitným záujmom je scenár caps lock. Skúsil som to najskôr manuálne zadaním hesla do poznámkového bloku, obrátením veci a následným vložením výsledku do Facebooku. Toto heslo bolo odmietnuté. Potom som zapol čiapky uzamknúť a napísal svoje heslo, ako keby zámok uzáveru bol vypnutý, čím zvrátil prípad. Tento pokus bol úspešný a bol som prihlásený. Facebook nie je len kontrolovať, aké je heslo, ale ako ho zadáte. Brute Force nepomôže v tomto scenári, bez simulácie uzáveru uzáverov, čo by bolo ťažšie ako len snaha o skutočné heslo.
aktualizovať: Ako poradca informačnej bezpečnosti Paul Moore poukazuje na Twitter, Facebook je väčšinou pravdepodobné, že ukladá iba vaše pôvodné heslo (správne hashed a soľ) a nie variácie hesla. Keď zadáte heslo na prihlásenie, skontroluje sa proti pôvodnému heslu. Ak to nezodpovedá, Facebook beží vaše odoslané heslo prostredníctvom týchto variácií. Ak je napríklad vaša funkcia Caps Lock zapnutá, Facebook prijíma vaše odoslané heslo, zruší písmená písmen a znova sa pokúsi. Ak to nefunguje, Facebook sa znova pokúsi s ďalším scenárom. Spoločnosť Facebook v podstate robí to, čo ste urobili po získaní správy o nesprávnom zadaní hesla na kontrolu náhodnej chyby zadaného hesla a jeho opravy. To robí celý proces menej frustrujúce pre vás. To neznižuje bezpečnosť, pretože je stále potrebná istá myšlienka správneho hesla a akceptované variácie sú úzke.
Čo je ešte dôležitejšie, metódy hrubej sily nie sú primárnou metódou na získanie prístupu k sociálnym sieťam a iným účtom. Sociálne inžinierstvo a heslá sú oveľa jednoduchšie. Ak máte otázky na obnovenie hesla, je tu slušná šanca, že aspoň niektoré z odpovedí sú verejne prístupné informácie. Ak sa vaša otázka týkajúca sa resetovania týka vášho rodiska, materského dieťaťa alebo maskota na vysokej škole, potom je možné odpoveď zistiť. V tomto okamihu môže zlý aktér obnoviť vaše heslo, takže je potrebné hádať alebo určiť heslo samotné.
Bohužiaľ, veľa ľudí stále používa rovnakú kombináciu e-mailu a hesla na každom webe, ktorý vyžaduje prihlasovacie údaje. Nemusíte sa pozerať ďaleko za nájdením inštancie po prípadoch narušenia údajov. Ak používate rovnakú kombináciu e-mailu a hesla na viac ako jednom mieste a už roky, potom sú vaše heslá zraniteľnosť, nie pravidlá spoločnosti Facebook.
Ak si nie ste istí, či ste obeťou poruchy, prejdite na adresu hasibeenpwned.com a skontrolujte, či bolo vaše heslo odcudzené. Je pravdepodobné, že ste niekde mali nejaký účet.
Vždy by ste mali zabezpečiť svoje účty
Nicescene / Shutterstock.comAk sa stále obávate, že vás táto politika znemožňuje, môžete vykonať určité kroky. Prvým krokom je prestať používať rovnaké heslo pre každú stránku. Namiesto toho získajte správcu hesiel a nechajte ho generovať jedinečné dlhé heslá pre všetky rôzne stránky, ktoré používate. Potom, pri ďalšom zistení, že ste použili webové stránky, ktoré ste použili, môžete zmeniť len jedno heslo a cítiť sa v bezpečí, pretože viete, že toto jedno známe heslo nebude robiť hackerov dobrým.
Po vytvrdnutí hesiel zapnite dvojfaktorové overovanie na ľubovoľnej lokalite, ktorá ho ponúka. Facebook ponúka dvojfaktorovú autentifikáciu, takže by ste ju mali nastaviť aj tam. Najlepšia dvojfaktorová autentifikácia závisí od aplikácie so smartphónom, ktorá často generuje nový kód alebo fyzický kľúč, ktorý si s vami udržiavate. Zatiaľ čo dvojfaktorové overovanie založené na SMS je lepšie ako nič, je stále zraniteľné technikami sociálneho inžinierstva. Takže ak sa môžete spoliehať na aplikáciu autentifikátora alebo na fyzický kľúč, mali by ste. A máte zálohu v prípade, že sa niečo stane s telefónom alebo kľúčom.
Vďaka tejto kombinácii je váš účet oveľa bezpečnejší bez ohľadu na zásady hesla Facebooku. Mali by ste prinajmenšom používať správcu hesiel a jedinečné heslá, ale použitie tých, ktoré sú v kombinácii s dvojfaktorovou autentifikáciou, je lepšie.
Nerobte sa paniky; Vychutnajte si pohodlie
Pokiaľ ide o politiku hesiel Facebook, je ľahké sa obávať, že je to menej bezpečné, ale skutočnosťou sú výhody, ktoré prevážia riziká. Bezpečnosť je vyrovnávacím aktom. Čím viac uzamknete systém, tým je menej prístupný. Keď však pridáte pohodlnejší prístup, stratíte bezpečnosť. Trik získa správne množstvo oboch, aby ochránil vašich používateľov bez toho, aby ich frustrovali. Facebook sa na mieste uľahčil používateľom a je to pravdepodobne prijateľné rozhodnutie.