Facebook Fudges vaše heslo pro vaše pohodlí
Pokud si myslíte, že jedinou správnou verzí vašeho hesla je přesná kapitalizační a písmenná / symbolová sekvence, kterou používáte, můžete být v šoku. Facebook bude pro vaše pohodlí přijmout nepatrné změny vašeho hesla. A je to naprosto bezpečné.
Hesla jsou snadno zaměnit
Facebook a jiné weby mají problém. Chtěli byste, abyste používali dlouhá a komplikovaná hesla, ale ty je těžké psát. Měli byste používat správce hesel, abyste se o to postarali, ale většina lidí ne. A kvůli těmto dvěma faktům je běžné, že jste nesprávně zadali heslo.
V tom okamžiku by to mělo udělat Facebook?
Měli byste popřít vstup pouze proto, že vaše heslo bylo mírně vypnuto a potlačilo vás druhý pokus? Nebo by si měli uvědomit, že poskytnuté heslo je pravděpodobné, ale s překlepem a vyhlašuje cestu k gifům kočky a obrázkům pro děti tím, že ignoruje chybu?
Facebook hodnotí chyby v heslech
Jak vysvětluje Alec Muffet, bývalý softwarový inženýr týmu bezpečnostní infrastruktury společnosti Facebook Engineering v Londýně, Facebook si vybral druhou. Pokud je vaše heslo velmi blízké, může to považovat za správné. Pravidla pro to jsou přímočará. Facebook přijme nesprávné heslo, pokud splňuje některou z těchto podmínek:
- Máte zapnutou uzávěrku caps a kapitalizace jsou obráceny.
- Zadáte další znak na začátku nebo na konci hesla
- První znak hesla by měl být malý, ale zadali jste jej velká písmena
Jak vidíte, všechny tyto varianty jsou soustředěny kolem základního pojetí mírného chybějícího hesla při psaní. V některých případech se může jednat o problém autokorektury, stejně jako první písmeno slova, které se má použít. Pokud vaše nesprávné heslo splňuje tato konkrétní pravidla, nebudete vědět, že došlo k problému - zjistíte, že jste se přihlásili.
Například řekněme, že vaše heslo je "letMeIn". Facebook bude také akceptovat "LETmEIN" (protože to je obrácený zámek zámku) a "LetMeIn" (protože to je nesprávný kapitál pro první písmeno). Bude také přijímat varianty jako "1letMeIn" a "letMeIn2", protože jsou správné, s výjimkou dalšího znaku na začátku nebo konci. Nepřijímá však "LETMEIN", "letmein" nebo "12LetMeIn" vůbec.
Tento proces je stále bezpečný
Seasontime / ShutterstockPři první ruměnečnosti se zdá, že heslový zvuk Facebooku je nejistý. Ale v tomto případě je pravda složitější. I když je snadné myslet na staré hackerské zločinecké drámy, které prokázaly rychlou hrubou sílu, hádají o hesle v pouhých minutách, hackování tak vůbec nefunguje. Hrubé vynucení neznámých hesel existuje, ale je to velmi odlišné, než to znamená televize. Jak xkcd slavně demonstruje, jak se prodlužuje délka hesla, prodlužuje se i doba trvání jeho crackingu exponenciálně. Přidání složitosti pomáhá, ale ne tolik, kolik si myslíte.
Takže jeden ze scénářů, které Facebook dovoluje, je na začátku nebo na konci hesla další znak, který by byl ještě obtížnější k brutální síle. Hackeři by už museli mít správné heslo předtím, než se dostanou na heslo plus další znak.
Zvláštní zájem je scénář caps lock. Testoval jsem to nejprve ručně zadáním hesla do poznámkového bloku, obrácením případu a následným vložením tohoto výsledku do Facebooku. Toto heslo odmítlo. Pak jsem zapnul čepice zámku a zadala své heslo, jako by uzamknout uzávěr, čímž zvrátil případ. Tento pokus byl úspěšný a já jsem byl přihlášen. Facebook není jen kontrolovat, co je heslo, ale jak ho zadáte. Brute Force nepomůže v tomto scénáři bez simulace uzávěrů uzávěrů, což by bylo obtížnější než jen zaměření na skutečné heslo.
Aktualizace: Jako poradce pro bezpečnost informací Paul Moore poukazuje na Twitteru, Facebook je většinou pravděpodobné, že pouze ukládá své původní heslo (řádně hashované a osolené) a ne varianty hesla. Když zadáte heslo pro přihlášení, je kontrolováno podle vašeho původního hesla. Pokud se to nezhoduje, Facebook spustí vaše předložené heslo prostřednictvím těchto variant. Pokud je například funkce Caps Lock zapnutá, společnost Facebook odešle odeslané heslo, zruší zaškrtnutí písmen a opakuje pokusy. Pokud to nefunguje, Facebook se znovu pokusí o další scénář. Společnost Facebook v podstatě dělá to, co byste udělali po získání zprávy o nesprávném zadání hesla - při kontrole náhodných chyb v zadaném hesle a opravě. To dělá celý proces méně frustrující pro vás. To nezhoršuje zabezpečení, protože je stále zapotřebí nějaké představy o správném hesle a přijaté varianty jsou úzké.
Ještě důležitější je, že metody brute force nejsou primární metodou pro získání přístupu k sociálním sítím a jiným účtům. Sociální inženýrství a hesla jsou mnohem jednodušší. Pokud máte otázky k resetování hesla, existuje slušná šance, že alespoň některé z odpovědí jsou veřejně přístupné informace. Pokud se vaše otázka týkající se resetování týká vašeho místa narození, mateřského nebo rodného maskota, je možné sledovat odpověď. V tomto okamžiku může bad-player obnovit vaše heslo, takže je třeba hádat nebo zjistit, zda je heslo úplně nevhodné.
Bohužel mnoho uživatelů stále používá stejnou kombinaci e-mailů a hesel na každém webu, který vyžaduje přihlašovací údaje. Nemusíte hledat daleko, abyste našli instanci po případu narušení dat. Používáte-li stejnou kombinaci e-mailů a hesel na více než jednom místě a již několik let, pak jsou vaše hesla zranitelná, nikoliv zásady společnosti Facebook.
Pokud si nejste jisti, zda jste byli oběťmi porušení, jděte na hasibeenpwned.com a zkontrolujte, zda vaše heslo bylo odcizeno. Je pravděpodobné, že jste někde někde někdo někdo někdo někdo někdo někam znehodnotil.
Vždy byste měli své účty chránit
Nicescene / Shutterstock.comPokud se stále obáváte, že vás tato politika zanechává zranitelnou, můžete podniknout kroky. Prvním krokem je přestat používat stejné heslo pro každý web. Namísto toho získáte správce hesel a nechte jej vytvářet jedinečná dlouhá hesla pro všechny různé stránky, které používáte. Poté, až zjistíte, že vaše webové stránky, které jste použili, byly ohroženy, můžete změnit jedno heslo a cítit se v bezpečí, protože víte, že toto jedno známé heslo nebude hackerům nic dobrého.
Po zpevnění hesel zapněte dvoufaktorovou autentizaci na libovolném webu, který nabízí. Facebook nabízí dvoufaktorovou autentizaci, takže byste ji měli nastavit i tam. Nejlepší dvoufaktorová autentizace závisí na aplikaci s vaším smartphonem, která často generuje nový kód nebo fyzický klíč, který si s sebou udržujete. Zatímco dvoufaktorová autentizace založená na SMS je lepší než nic, je stále zranitelná technikami sociálního inženýrství. Pokud se tedy můžete spolehnout na aplikaci ověřování nebo na fyzický klíč, měli byste. A máte zálohu na místě, pokud se něco stane s telefonem nebo klíčem.
S touto kombinací je váš účet mnohem bezpečnější bez ohledu na zásady hesla Facebooku. Měli byste přinejmenším používat správce hesel a jedinečná hesla, ale použití těch, které jsou v kombinaci s dvoufaktorovou autentizací, je lepší.
Nepoužívejte paniku; Užijte si pohodlí
Co se týče zásad hesel Facebook, je snadné se obávat, že je to méně bezpečné, ale skutečnost je, že přínosy převažují nad riziky. Bezpečnost je vyvažovací zákon. Čím více blokujete systém, tím méně je přístup k němu. Ale když přidáte pohodlnější přístup, ztratíte bezpečnost. Trik získává správné množství obojího na ochranu vašich uživatelů, aniž by je frustrující. Facebook se na místě ujistil na straně uživatele a je to pravděpodobně přijatelné rozhodnutí.