Jeśli uważasz, że jedyną poprawną wersją Twojego hasła jest dokładna wielkość i kolejność liter / symboli, których używasz, możesz być w szoku. Dla Twojej wygody Facebook zaakceptuje niewielkie zmiany Twojego hasła. I jest całkowicie bezpieczny.
Spis treści:
Hasła są łatwe do błędnego wpisania
Facebook i inne podobne strony mają problem. Chcieliby, abyś używał długich i skomplikowanych haseł, ale są one trudne do wpisania. Powinieneś używać menedżera haseł, aby się tym zająć, ale większość ludzi tego nie robi. Z powodu tych dwóch czynników często błędnie wpisuje się hasło.
W takim razie co powinien zrobić Facebook?
Czy powinni odmówić Ci wejścia tylko dlatego, że Twoje hasło było lekko uszkodzone i frustrować Cię drugą próbą? A może powinni rozpoznać, że podane hasło było prawdopodobnie poprawne, ale zawierało literówkę i ułatwić sobie podróż do gifów kotów i zdjęć dzieci, ignorując błąd?
Facebook ocenia błędy w hasłach
Tak jak Alec Muffet, były inżynier oprogramowania w zespole ds. infrastruktury bezpieczeństwa w firmie Facebook Engineering w Londynie, Facebook wybrał to drugie rozwiązanie. Jeśli Twoje hasło jest bardzo bliskie poprawności, mogą uznać je za dokładne. Zasady tego są proste. Facebook zaakceptuje nieprawidłowe hasło, jeśli spełni którykolwiek z poniższych warunków:
Masz włączony Caps Lock, a wielkie litery są odwrócone.
Na początku lub na końcu hasła wpisujesz dodatkowy znak
Pierwsza litera hasła powinna być mała, ale została wpisana wielkimi literami
Jak widać, wszystkie te odmiany koncentrują się wokół podstawowej koncepcji niewielkiego braku hasła podczas wpisywania. W niektórych przypadkach może to być problem autokorekty, jak na przykład pisanie dużej litery w pierwszej literze słowa. Jeśli błędnie wpisane hasło spełnia te określone zasady, nie będziesz wiedział, że wystąpił problem – po prostu zalogujesz się.
Załóżmy na przykład, że Twoje hasło to „letMeIn”. Facebook zaakceptuje także „LETmEiN” (ponieważ jest to zwykłe odwrócenie wielkich liter) i „LetMeIn” (ponieważ jest to niepoprawna wielkość pierwszej litery). Akceptuje również odmiany, takie jak „1letMeIn” i „letMeIn2”, ponieważ są one poprawne, z wyjątkiem dodatkowego znaku na początku lub na końcu. Jednak w ogóle nie zaakceptuje „LETMEIN”, „letmein” lub „12LetMeIn”.
Ten proces jest nadal bezpieczny
Na pierwszy rzut oka wyrozumiałość wobec haseł Facebooka brzmi niepewnie. Ale w tym przypadku prawda jest bardziej skomplikowana. Chociaż łatwo jest pomyśleć o starych dramatach kryminalnych hakerów, które pokazywały szybkie, brutalne odgadywanie hasła w zaledwie kilka minut, hakowanie wcale nie działa w ten sposób. Brutalne wymuszanie nieznanych haseł istnieje, ale jest zupełnie inne niż sugeruje telewizja. Tak jak xkcd słynie z tegowraz ze wzrostem długości hasła czas jego złamania również rośnie wykładniczo. Dodanie złożoności pomaga, ale nie tak bardzo, jak mogłoby się wydawać.
Tak więc jeden ze scenariuszy, na który pozwala Facebook, dodatkowy znak na początku lub na końcu hasła, byłby jeszcze trudniejszy do brutalnej siły. Hakerzy musieliby już mieć poprawne hasło, zanim dotrą do hasła i dodatkowego znaku.
Szczególnie interesujący jest scenariusz Caps Lock. Przetestowałem to, najpierw ręcznie wpisując hasło w notatniku, odwracając przypadek, a następnie wklejając wynik na Facebooku. Zaprzeczył temu hasłu. Następnie włączyłem Caps Lock i wpisałem hasło tak, jakby Caps Lock był wyłączony, odwracając w ten sposób przypadek. Ta próba się powiodła i byłem zalogowany. Facebook nie tylko sprawdza hasło, ale także sposób, w jaki je wpisujesz. Brute Force nie pomoże w tym scenariuszu, poza symulacją Caps Lock, co byłoby trudniejsze niż po prostu celowanie w rzeczywiste hasło.
Aktualizacja: Jak wskazuje konsultant ds. Bezpieczeństwa informacji Paul Moore Świergot, Facebook najprawdopodobniej przechowuje tylko Twoje oryginalne hasło (odpowiednio zaszyfrowane i zasolone), a nie jego odmiany. Kiedy podajesz hasło do logowania, jest ono porównywane z oryginalnym hasłem. Jeśli się nie zgadza, Facebook przeprowadzi przesłane przez Ciebie hasło za pomocą tych odmian. Na przykład, jeśli twój Caps Lock jest włączony, Facebook pobiera przesłane hasło, odwraca wielkie litery i próbuje ponownie. Jeśli to nie zadziała, Facebook spróbuje ponownie z następnym scenariuszem. Zasadniczo Facebook robi to, co zrobiłbyś po otrzymaniu komunikatu o „złym haśle” – sprawdza, czy nie ma przypadkowego błędu we wpisanym haśle i je poprawia. Dzięki temu cały proces jest mniej frustrujący. Nie zmniejsza to bezpieczeństwa, ponieważ nadal potrzebne jest pewne wyobrażenie o poprawnym haśle, a akceptowane odmiany są wąskie.
Co ważniejsze, metody brutalnej siły nie są podstawową metodą uzyskiwania dostępu do sieci społecznościowych i innych kont. Inżynieria społeczna i zrzuty haseł są znacznie prostsze w użyciu. Jeśli masz pytania dotyczące resetowania hasła, istnieje spora szansa, że przynajmniej niektóre odpowiedzi są publicznie dostępnymi informacjami. Jeśli Twoje pytanie resetujące dotyczy Twojego miejsca urodzenia, nazwiska panieńskiego matki lub maskotki liceum, możesz znaleźć odpowiedź. W tym momencie zły aktor może zresetować hasło, co sprawia, że każda potrzeba odgadnięcia lub określenia samego hasła jest całkowicie dyskusyjna.
Niestety, wiele osób nadal używa tej samej kombinacji adresu e-mail i hasła w każdej witrynie wymagającej danych logowania. Nie musisz daleko szukać, aby znaleźć instancję po naruszeniu danych. Jeśli używasz tej samej kombinacji adresu e-mail i hasła w więcej niż jednym miejscu i robisz to od lat, to Twoje hasła stanowią lukę, a nie zasady Facebooka.
Jeśli nie jesteś pewien, czy padłeś ofiarą naruszenia, przejdź do haveibeenpwned.com i sprawdź, czy Twoje hasło zostało skradzione. Są szanse, że gdzieś ktoś włamał się na przynajmniej część konta.
Zawsze powinieneś zabezpieczać swoje konta
Jeśli nadal martwisz się, że ta polityka naraża Cię na niebezpieczeństwo, możesz podjąć pewne kroki. Pierwszym krokiem jest zaprzestanie używania tego samego hasła w każdej witrynie. Zamiast tego zdobądź menedżera haseł i pozwól mu generować unikalne długie hasła dla każdej używanej witryny. Następnie, gdy następnym razem zobaczysz, że witryna, z której korzystasz, została naruszona, możesz zmienić tylko to jedno hasło i czuć się bezpiecznie, wiedząc, że to jedno znane hasło nie przyniesie hakerom nic dobrego.
Po wzmocnieniu haseł włącz uwierzytelnianie dwuskładnikowe w dowolnej witrynie, która je oferuje. Facebook oferuje uwierzytelnianie dwuskładnikowe, więc powinieneś również je tam skonfigurować. Najlepsze uwierzytelnianie dwuskładnikowe polega na aplikacji na smartfonie, która często generuje nowy kod lub fizyczny klucz, który masz przy sobie. Chociaż uwierzytelnianie dwuskładnikowe oparte na wiadomościach SMS jest lepsze niż nic, nadal jest podatne na techniki inżynierii społecznej. Jeśli więc możesz polegać na aplikacji uwierzytelniającej lub kluczu fizycznym, powinieneś. I przygotuj kopię zapasową na wypadek, gdyby coś stało się z telefonem lub kluczem.
Dzięki tej kombinacji Twoje konto jest znacznie bezpieczniejsze, niezależnie od polityki haseł Facebooka. Powinieneś przynajmniej używać menedżera haseł i unikalnych haseł, ale używanie ich w połączeniu z uwierzytelnianiem dwuskładnikowym jest lepsze.
Nie panikuj; Ciesz się wygodą
Jeśli chodzi o politykę dotyczącą haseł Facebooka, łatwo się martwić, że jest mniej bezpieczna, ale w rzeczywistości korzyści przeważają nad ryzykiem. Bezpieczeństwo to działanie równoważące. Im bardziej blokujesz system, tym mniej wygodny jest do niego dostęp. Ale gdy dodasz wygodniejszy dostęp, stracisz bezpieczeństwo. Sztuczka polega na uzyskaniu odpowiednich ilości obu, aby chronić użytkowników bez ich frustracji. Facebook popełnił błąd w kwestii łatwości obsługi i prawdopodobnie jest to akceptowalna decyzja.