Facebook выдумывает ваш пароль для вашего удобства
Если вы считаете, что единственно верной версией вашего пароля является точная прописная буква и последовательность букв / символов, которую вы используете, вы можете быть в шоке. Для вашего удобства Facebook примет небольшие изменения вашего пароля. И это совершенно безопасно.
Пароли легко набрать
Facebook и другие подобные сайты имеют проблемы. Они хотели бы, чтобы вы использовали длинные и сложные пароли, но их сложно ввести. Вы должны использовать менеджер паролей, чтобы позаботиться об этом за вас, но большинство людей этого не делают. И из-за этих двух факторов часто вводят неверный пароль.
На тот момент, что должен делать Facebook?
Должны ли они отказать вам во въезде только потому, что ваш пароль был немного неактивен, и расстроить вас второй попыткой? Или же они должны признать, что предоставленный пароль, вероятно, был верным, но с опечаткой и упростил ваше путешествие к изображениям кошек и изображениям детей, игнорируя ошибку?
Facebook оценивает ошибки в паролях
Как объясняет Алек Маффет, бывший инженер-программист из команды инфраструктуры безопасности в Facebook Engineering в Лондоне, Facebook выбрал последнее. Если ваш пароль очень близок к правильному, они могут посчитать его точным. Правила для этого просты. Facebook примет неверный пароль, если выполнит одно из следующих условий:
- У вас включен заглавной буквы, и заглавные буквы обращены.
- Вы вводите дополнительный символ в начале или конце пароля
- Первый символ пароля должен быть в нижнем регистре, но вы набрали его заглавными буквами
Как вы можете видеть, все эти вариации сосредоточены вокруг базового понятия, при котором при вводе текста вам не хватает вашего пароля. В некоторых случаях это может быть проблемой автозамены, например, первая буква слова с заглавной буквы. Если ваш неверный пароль соответствует этим конкретным правилам, вы не будете знать, что возникла проблема - вы просто войдете в систему.
Например, допустим, что ваш пароль - «letMeIn». Facebook также будет принимать «LETmEiN» (потому что это прямой переход с заглавных букв) и «LetMeIn» (потому что это неправильный заглавный знак для первой буквы). Он также будет принимать варианты, такие как «1letMeIn» и «letMeIn2», потому что они верны, за исключением дополнительного символа в начале или конце. Тем не менее, он не будет принимать «LETMEIN», «letmein» или «12LetMeIn» вообще.
Этот процесс все еще безопасен
Seasontime / ShutterstockНа первый взгляд, снисходительность пароля в Facebook звучит небезопасно. Но в этом случае правда сложнее. В то время как легко вспомнить старые криминальные драмы хакеров, которые показывали быстрое грубое угадывание пароля за считанные минуты, взлом не работает таким образом вообще. Грубое принуждение к неизвестным паролям действительно существует, но оно сильно отличается от того, что подразумевает телевидение. Как наглядно демонстрирует xkcd, с увеличением длины пароля время его взлома также увеличивается в геометрической прогрессии. Добавление сложности помогает, но не так сильно, как вы думаете.
Таким образом, один из сценариев, который допускает Facebook, дополнительный символ в начале или конце пароля, будет еще сложнее грубой силой. Хакеры уже должны были бы иметь правильный пароль, прежде чем они добрались до пароля плюс дополнительный символ.
Особый интерес представляет сценарий блокировки шапки. Я проверил это, сначала вручную введя свой пароль в блокнот, перевернув регистр, а затем вставив полученный результат в Facebook. Он отрицал этот пароль. Затем я включил блокировку заглавными буквами и набрал свой пароль, как будто блокировка заглавных букв была отключена, таким образом, полностью изменив положение. Эта попытка была успешной, и я вошел в систему. Facebook не только проверяет, какой пароль, но и как вы его вводите. Brute Force не поможет в этом сценарии, если не имитировать блокировку заглавных букв, что будет сложнее, чем просто поиск действительного пароля.
ОбновитьКак отмечает в Twitter консультант по информационной безопасности Пол Мур, Facebook, скорее всего, хранит только ваш оригинальный пароль (правильно хешированный и засоленный), а не его варианты. Когда вы вводите пароль для входа в систему, он сверяется с вашим исходным паролем. Если он не совпадает, Facebook отправляет введенный вами пароль через эти варианты. Например, если ваш Caps Lock включен, Facebook берет введенный вами пароль, восстанавливает заглавные буквы и пытается снова. Если это не сработает, Facebook попытается снова с помощью следующего сценария. По сути, Facebook делает то, что вы сделали бы, получив сообщение «неправильный пароль», проверяя случайную ошибку в набранном пароле и исправляя ее. Это делает весь процесс менее расстраивающим для вас. Это не снижает безопасность, потому что некоторое представление о правильном пароле все еще необходимо, и принятые варианты узки.
Что еще более важно, методы перебора не являются основным способом получения доступа к социальным сетям и другим учетным записям. Социальная инженерия и пароли намного проще в использовании. Если у вас есть вопросы для сброса пароля, есть большая вероятность, что по крайней мере некоторые ответы являются общедоступной информацией. Если ваш вопрос о перезагрузке касается вашего места рождения, девичьей фамилии матери или талисмана старшей школы, то можно найти ответ. В этот момент злоумышленник может сбросить ваш пароль, что делает любую попытку угадать или определить сам пароль полностью спорным.
К сожалению, многие люди до сих пор используют одну и ту же комбинацию электронной почты и пароля на каждом сайте, который требует учетные данные для входа. Вам не нужно далеко ходить, чтобы найти экземпляр за случаем утечки данных. Если вы используете одну и ту же комбинацию электронной почты и пароля в более чем одном месте и использовали это годами, то ваши пароли являются уязвимостью, а не политикой Facebook.
Если вы не уверены, что стали жертвой нарушения, перейдите на сайт haveibeenpwned.com и проверьте, был ли ваш пароль украден. Скорее всего, у вас есть хоть какой-то взломанный аккаунт.
Вы должны всегда защищать свои учетные записи
Nicescene / Shutterstock.comЕсли вы все еще беспокоитесь о том, что эта политика делает вас уязвимым, есть шаги, которые вы можете предпринять. Первый шаг - перестать использовать один и тот же пароль для каждого сайта. Вместо этого получите менеджер паролей и позвольте ему генерировать уникальные длинные пароли для каждого другого сайта, который вы используете. Затем, когда вы в следующий раз увидите, что использованный вами сайт был взломан, вы можете изменить только этот пароль и чувствовать себя в безопасности, зная, что этот известный пароль не поможет хакерам..
После того, как вы укрепите свои пароли, включите двухфакторную аутентификацию на любом сайте, который его предлагает. Facebook действительно предлагает двухфакторную аутентификацию, поэтому вы должны установить ее там же. Лучшая двухфакторная аутентификация основана на приложении на вашем смартфоне, которое часто генерирует новый код, или на физическом ключе, который вы держите при себе. Хотя двухфакторная аутентификация на основе SMS лучше, чем ничего, она все же уязвима для методов социальной инженерии. Поэтому, если вы можете положиться на приложение аутентификатора или физический ключ, вам следует. И иметь резервную копию на случай, если что-то случится с вашим телефоном или ключом.
Благодаря этой комбинации ваша учетная запись становится намного более безопасной, независимо от политики паролей Facebook. Вы должны по крайней мере использовать менеджер паролей и уникальные пароли, но лучше использовать их в сочетании с двухфакторной аутентификацией.
Не паникуйте; Наслаждайтесь удобством
Что касается политики паролей Facebook, легко беспокоиться о том, что она менее безопасна, но реальность заключается в том, что преимущества перевешивают риски. Безопасность - это балансирование. Чем больше вы заблокируете систему, тем менее удобный для нее доступ. Но по мере добавления более удобного доступа вы теряете безопасность. Хитрость заключается в том, чтобы получить необходимое количество для защиты ваших пользователей, не расстраивая их. Facebook допустил ошибку на стороне легкости пользователя здесь, и это, вероятно, приемлемое решение.