Facebook измамва вашата парола за удобство

Ако смятате, че единствената правилна версия на паролата ви е точната капитализация и последователността от букви / символи, която използвате, може да сте в шок. Facebook ще приеме незначителни промени в паролата ви, за ваше удобство. И това е напълно безопасно.

Паролите са лесни за грешки

Facebook и други сайтове като него имат проблем. Те биха искали да използвате дълги и сложни пароли, но те са трудни за въвеждане. Трябва да използвате мениджър на пароли, за да се погрижите за това за вас, но повечето хора не го правят. И поради тези два фактора е обичайно да сбърквате паролата си.

В този момент какво трябва да направи Facebook?

Трябва ли да ви откажат да влезете, само защото паролата ви е леко изключена и ви осуетява с втори опит? Или трябва да разпознаят, че предоставената парола вероятно е правилна, но с печатна грешка и изгладете пътуването си с GIF файлове с котки и бебешки снимки, като пренебрегнете грешката?

Facebook оценява грешките в паролите

Както обяснява Алек Мъфет, бивш софтуерен инженер от екипа за инфраструктура за сигурност във Facebook Engineering в Лондон, Facebook избра втория. Ако паролата ви е много близка до правилната, те могат да я считат за точна. Правилата за това са ясни. Facebook ще приеме неправилна парола, ако отговаря на някое от следните условия:

• Имате включено заключване на капачките и капитализациите са обърнати.
• Въвеждате допълнителен символ в началото или в края на паролата
• Първият знак на паролата трябва да е малък, но сте го въвели с главни букви

Както можете да видите, всички тези варианти са съсредоточени около основната концепция за леко пропускане на паролата при въвеждане. В някои случаи това може да бъде проблем с автокоррекцията, като първата буква на думата, която се капитализира. Ако грешната парола отговаря на тези специфични правила, няма да знаете, че е възникнал проблем - просто ще откриете, че сте влезли в профила си.

Например, да кажем, че вашата парола е "letMeIn." Facebook ще приеме и "LETmEiN" (защото това е обърнат обратен ред) и "LetMeIn" (защото това е неправилен капитал за първата буква). Той също така ще приеме варианти като “1letMeIn” и “letMeIn2”, защото те са правилни, с изключение на допълнителен символ в началото или в края. Въпреки това той изобщо няма да приеме „LETMEIN“, „letmein“ или „12LetMeIn“.

Този процес е все още сигурен

Seasontime / Shutterstock

На пръв поглед рутинните пароли на Facebook звучат несигурни. Но в този случай истината е по-сложна. Макар да е лесно да се мисли за стари хакерски драматични престъпления, които показват бърза груба сила, предполагайки парола само за няколко минути, хакването изобщо не работи по този начин. Грубата сила на неизвестни пароли съществува, но тя е много по-различна от тази на телевизията. Както xkcd прочуто демонстрира, с увеличаването на дължината на паролата, времето за изстрелване също нараства експоненциално. Добавянето на сложност помага, но не толкова, колкото си мислите.

Така че един от сценариите, които Facebook позволява, допълнителен символ в началото или в края на паролата, ще бъде още по-труден за груба сила. Хакерите вече щяха да имат правилната парола, преди да са стигнали до паролата плюс допълнителен знак.

Особено интересен е сценарият с cap caps. Аз тествах това, като първо ръчно въведох паролата си в Notepad, обърнах случая, след което поставих този резултат във Facebook. Тя отрече тази парола. След това включих капачките и набрах паролата си, сякаш капачката на капачката беше изключена, като по този начин обърнах случая. Този опит беше успешен и аз бях влязъл в системата. Facebook не само проверява паролата, но и как го въвеждате. Brute Force няма да помогне в този сценарий, макар да не симулира заключването на капачките, което би било по-трудно, отколкото просто да се стремим към действителната парола.

АктуализацияКакто посочва консултантът по информационна сигурност Пол Мур в Twitter, Facebook най-вероятно съхранява само оригиналната ви парола (правилно хеширана и солена), а не вариациите на вашата парола. Когато изпратите парола, за да влезете, тя се проверява с оригиналната ви парола. Ако не съвпада, Facebook показва изпратената ви парола чрез тези варианти. Например, ако Caps Lock е включен, Facebook заема изпратената ви парола, обръща главницата на буквите и опитва отново. Ако това не помогне, Facebook се опитва отново със следващия сценарий. По същество, Facebook прави това, което би направил, след като получи „грешна парола“ за проверка на съобщението за случайна грешка в въведената парола и за нейното коригиране. Това прави целия процес по-малко разочароващ за вас. Това не намалява сигурността, защото все още е необходима някаква представа за правилната парола и приетите варианти са тесни.

По-важното е, че методите за груба сила не са основният метод за получаване на достъп до социални мрежи и други сметки. Социално инженерство и сметища за пароли са много по-прости за използване. Ако имате въпроси за нулиране на паролата, има доста добър шанс поне някои от отговорите да са публично достъпна информация. Ако вашият въпрос за нулиране е за родното ви място, моминското име на майката или за талисман на гимназията, тогава е възможно да проследите отговора. В този момент лош участник може да нулира паролата ви, като изобщо трябва да се досети или да определи самата парола.

За съжаление много хора все още използват същата комбинация от имейли и пароли на всеки сайт, който изисква идентификационни данни за вход. Не е нужно да изглеждате далеч, за да откриете например след нарушаване на данните. Ако използвате същата комбинация от имейли и пароли на повече от едно място и сте били с години, тогава паролите ви са уязвимостта, а не правилата на Facebook.

Ако не сте сигурни дали сте станали жертва на нарушение, отидете на haveibeenpwned.com и проверете дали паролата ви е открадната. Вероятно сте имали поне някаква компрометирана сметка.

Винаги трябва да обезопасявате Вашите сметки

Nicescene / Shutterstock.com

Ако все още се тревожите, че тази политика ви оставя уязвима, можете да предприемете стъпки. Първата стъпка е да спрете да използвате една и съща парола за всеки сайт. Вместо това, вземете мениджър на пароли и оставете да генерира уникални дълги пароли за всеки различен сайт, който използвате. След това следващия път, когато видите, че уебсайтът, който сте използвали, е компрометиран, можете да промените само тази парола и да се чувствате сигурни, че тази известна парола няма да помогне на хакерите.

След като сте втвърдили паролите си, включете двуфакторното удостоверяване на всеки сайт, който го предлага. Facebook предлага автентификация с два фактора, така че трябва да го настроите и там. Най-доброто двуфакторно удостоверяване се основава на приложение с вашия смартфон, което генерира често нов код или физически ключ, който държите с вас. Докато SMS-базираната двуфакторна автентификация е по-добра от нищо, тя все още е уязвима към техниките на социалното инженерство. Така че, ако можете да разчитате на приложение за удостоверяване или физически ключ, трябва. И имате резервно копие в случай, че нещо се случи с вашия телефон или ключ.

С тази комбинация профилът ви е много по-сигурен, независимо от правилата за паролите на Facebook. Най-малкото трябва да използвате мениджър на пароли и уникални пароли, но използването на тези в комбинация с двуфакторна идентификация е по-добро.

Не се паникьосвайте; Насладете се на удобството

Що се отнася до политиката за паролите на Facebook, лесно е да се притеснявате, че е по-малко сигурна, но реалността е, че ползите надвишават рисковете. Сигурността е балансиращ акт. Колкото повече блокирате системата, толкова по-малко удобно е достъпът. Но докато добавяте по-удобен достъп, губите сигурност. Номерът е да получите правилните количества от двете, за да защитите потребителите си, без да ги разочаровате. Facebook се заблуждава от страна на потребителя, но това е приемливо решение.