Если вы считаете, что единственно правильная версия вашего пароля — это точная последовательность заглавных букв и букв / символов, которые вы используете, вы можете быть в шоке. Для вашего удобства Facebook примет небольшие изменения вашего пароля. И это совершенно безопасно.
Оглавление
Пароли легко ввести неправильно
У Facebook и других подобных сайтов есть проблема. Они хотели бы, чтобы вы использовали длинные и сложные пароли, но их сложно набрать. Вы должны использовать менеджер паролей, чтобы позаботиться об этом за вас, но большинство людей этого не делает. И из-за этих двух факторов часто возникает ошибка при вводе пароля.
Что делать в этот момент Facebook?
Должны ли они отказывать вам во входе только потому, что ваш пароль был немного неправильным, и мешать вам повторной попыткой? Или им следует признать, что предоставленный пароль, вероятно, был правильным, но с опечаткой, и упростить ваш путь к гифкам с котиками и детским картинкам, проигнорировав ошибку?
Facebook оценивает ошибки в паролях
В виде Алек Маффет, поясняет бывший инженер-программист группы инфраструктуры безопасности в Facebook Engineering в Лондоне, Facebook выбрал второе. Если ваш пароль очень близок к правильному, они могут посчитать его точным. Правила для этого просты. Facebook примет неверный пароль, если он соответствует любому из следующих условий:
У вас включена фиксация заглавных букв, и заглавные буквы поменяны местами.
Вы вводите дополнительный символ в начале или в конце пароля
Первый символ пароля должен быть в нижнем регистре, но вы ввели его с большой буквы.
Как видите, все эти вариации основаны на базовой концепции небольшого отсутствия пароля при вводе. В некоторых случаях это может быть проблема автокоррекции, например, заглавная первая буква слова. Если ваш неправильно набранный пароль соответствует этим конкретным правилам, вы не узнаете, что возникла проблема — вы просто войдете в систему.
Например, допустим, ваш пароль — «letMeIn». Facebook также примет «LETmEiN» (потому что это прямая перестановка заглавной буквы) и «LetMeIn» (потому что это неправильная заглавная буква для первой буквы). Он также будет принимать такие варианты, как «1letMeIn» и «letMeIn2», потому что они верны, за исключением дополнительного символа в начале или в конце. Однако он вообще не принимает «LETMEIN», «letmein» или «12LetMeIn».
Этот процесс по-прежнему безопасен
На первый взгляд снисходительность к паролям Facebook кажется небезопасной. Но в этом случае правда сложнее. В то время как легко вспомнить старые криминальные драмы о хакерах, в которых было показано, что пароль может быть угадан методом перебора за считанные минуты, взлом не работает. Грубая форсировка неизвестных паролей существует, но это совсем не то, что предполагает телевидение. В виде xkcd классно демонстрирует, по мере увеличения длины пароля время его взлома также увеличивается в геометрической прогрессии. Добавление сложности помогает, но не так сильно, как вы думаете.
Таким образом, один из сценариев, которые допускает Facebook, дополнительный символ в начале или в конце пароля, будет еще сложнее подобрать. Хакерам уже нужно будет иметь правильный пароль, прежде чем они доберутся до пароля плюс дополнительный символ.
Особый интерес представляет сценарий Caps Lock. Я проверил это, сначала вручную набрав пароль в блокноте, изменив регистр в обратном порядке, а затем вставив этот результат в Facebook. Он отрицал этот пароль. Затем я включил Caps Lock и набрал свой пароль, как если бы Caps Lock был отключен, таким образом изменив регистр. Эта попытка была успешной, и я вошел в систему. Facebook не только проверяет пароль, но и то, как вы его вводите. Грубая сила не поможет в этом сценарии, за исключением имитации Caps Lock, что было бы сложнее, чем просто нацелиться на настоящий пароль.
Обновление: как отмечает консультант по информационной безопасности Пол Мур Twitter, Facebook, скорее всего, хранит только ваш исходный пароль (правильно хешированный и соленый), а не варианты вашего пароля. Когда вы отправляете пароль для входа в систему, он сравнивается с вашим исходным паролем. Если он не совпадает, Facebook запускает отправленный вами пароль через эти варианты. Например, если у вас включен Caps Lock, Facebook берет отправленный вами пароль, меняет заглавные буквы на обратный и пытается снова. Если это не сработает, Facebook попробует еще раз со следующим сценарием. По сути, Facebook делает то, что вы сделали бы, получив сообщение «неправильный пароль», — проверяет случайную ошибку в набранном пароле и исправляет ее. Это сделает весь процесс менее утомительным. Это не снижает безопасность, потому что все еще необходимо некоторое представление о правильном пароле, а допустимые варианты узкие.
Что еще более важно, методы грубой силы не являются основным методом получения доступа к социальным сетям и другим учетным записям. Социальная инженерия и дампы паролей намного проще в использовании. Если у вас есть вопросы по сбросу пароля, есть большая вероятность, что по крайней мере некоторые из ответов являются общедоступной информацией. Если ваш вопрос сброса касается вашего места рождения, девичьей фамилии матери или школьного талисмана, то вы можете найти ответ. В тот момент, плохой актер может изменить свой пароль, что делает любую потребность угадать или определить сам пароль полностью спорно.
К сожалению, многие люди до сих пор используют одну и ту же комбинацию электронной почты и пароля на каждом сайте, требующем учетных данных. Вам не нужно далеко ходить, чтобы найти случай за экземпляром утечки данных. Если вы используете одну и ту же комбинацию адреса электронной почты и пароля более чем в одном месте и использовали это в течение многих лет, то уязвимостью являются ваши пароли, а не политика Facebook.
Если вы не уверены, стали ли вы жертвой взлома, перейдите на haveibeenpwned.com и проверьте, не украли ли ваш пароль. Скорее всего, у вас был взломан хотя бы какой-то аккаунт.
Вы всегда должны защищать свои учетные записи
Если вы все еще обеспокоены тем, что эта политика сделает вас уязвимыми, вы можете предпринять некоторые шаги. Первый шаг — перестать использовать один и тот же пароль для всех сайтов. Вместо этого возьмите менеджер паролей и позвольте ему генерировать уникальные длинные пароли для каждого используемого вами сайта. Затем, в следующий раз, когда вы увидите, что веб-сайт, который вы использовали, был взломан, вы можете изменить только этот пароль и чувствовать себя в безопасности, зная, что этот известный пароль не принесет хакерам никакой пользы.
После того, как вы укрепите свои пароли, включите двухфакторную аутентификацию на любом сайте, который ее предлагает. Facebook предлагает двухфакторную аутентификацию, поэтому вам также следует настроить ее там. Лучшая двухфакторная аутентификация полагается на приложение на вашем смартфоне, которое часто генерирует новый код, или физический ключ, который вы держите при себе. Хотя двухфакторная аутентификация на основе SMS лучше, чем ничего, она все же уязвима для методов социальной инженерии. Так что, если вы можете полагаться на приложение для аутентификации или физический ключ, вам следует это сделать. И имейте резервную копию на случай, если что-то случится с вашим телефоном или ключом.
Благодаря этой комбинации ваша учетная запись будет намного безопаснее независимо от политики паролей Facebook. По крайней мере, вы должны использовать менеджер паролей и уникальные пароли, но лучше использовать их в сочетании с двухфакторной аутентификацией.
Не паникуйте; Наслаждайтесь удобством
Что касается политики паролей Facebook, то легко опасаться, что она менее безопасна, но на самом деле преимущества перевешивают риски. Безопасность — это баланс. Чем больше вы блокируете систему, тем менее удобный доступ к ней. Но по мере того, как вы добавляете более удобный доступ, вы теряете безопасность. Хитрость заключается в том, чтобы получить правильное количество обоих, чтобы защитить ваших пользователей, не расстраивая их. Facebook сделал ошибку в плане удобства для пользователя, и это, вероятно, приемлемое решение.