Ако смятате, че единствената правилна версия на вашата парола е точното изписване на главни букви и последователност от букви/символи, които използвате, може да сте в шок. Facebook ще приеме леки вариации на паролата ви за ваше удобство. И е напълно безопасно.
Съдържание
Паролите се въвеждат лесно
Facebook и други подобни сайтове имат проблем. Те биха искали да използвате дълги и сложни пароли, но те са трудни за въвеждане. Трябва да използвате мениджър на пароли, за да се погрижи за това вместо вас, но повечето хора не го правят. И поради тези два фактора е обичайно да въведете паролата си погрешно.
В този момент какво трябва да направи Facebook?
Трябва ли да ви откажат влизане само защото паролата ви е била леко изключена и да ви разочароват с втори опит? Или трябва да разпознаят, че предоставената парола вероятно е била правилна, но с печатна грешка и да улеснят пътуването ви до гифки на котки и бебешки снимки, като игнорират грешката?
Facebook оценява грешките в паролите
Като Алек Мъфет, обяснява бивш софтуерен инженер за екипа за инфраструктура за сигурност във Facebook Engineering в Лондон, Facebook избра второто. Ако паролата ви е много близка до правилната, те може да я сметнат за точна. Правилата за това са ясни. Facebook ще приеме неправилна парола, ако отговаря на някое от следните условия:
Включили сте главните букви и главните букви са обърнати.
Въведете допълнителен знак в началото или в края на парола
Първият знак на паролата трябва да е с малки букви, но вие сте го въвели с главни букви
Както можете да видите, всички тези вариации са съсредоточени около основната концепция за леко пропускане на паролата ви, когато пишете. В някои случаи това може да е проблем с автокорекция, като първата буква на думата е главна. Ако вашата погрешно въведена парола отговаря на тези специфични правила, няма да разберете, че е имало проблем – просто ще се окажете влезли.
Например, да кажем, че вашата парола е „letMeIn“. Facebook също ще приеме „LETmEiN“ (защото това е директно обръщане на главни букви) и „LetMeIn“ (защото това е неправилно главни букви за първата буква). Той също така ще приема вариации като „1letMeIn“ и „letMeIn2“, защото те са правилни, с изключение на допълнителен знак в началото или края. Въпреки това, той изобщо няма да приеме „LETMEIN“, „letmein“ или „12LetMeIn“.
Този процес все още е сигурен
На пръв поглед снизхождението на паролата на Facebook звучи несигурно. Но в този случай истината е по-сложна. Макар че е лесно да се мисли за стари хакерски криминални драми, които показват бързо отгатване на парола с груба сила само за минути, хакването изобщо не работи по този начин. Брутално налагане на неизвестни пароли съществува, но е много различно от това, което предполага телевизорът. Като xkcd отлично демонстрира, тъй като дължината на паролата се увеличава, времето за нейното разбиване също нараства експоненциално. Добавянето на сложност помага, но не толкова, колкото си мислите.
Така че един от сценариите, които Facebook позволява, допълнителен знак в началото или края на паролата, би бил още по-труден за груба сила. Хакерите вече ще трябва да имат правилната парола, преди да стигнат до паролата плюс допълнителен знак.
Особен интерес представлява сценарият с главни букви. Тествах това, като първо написах ръчно паролата си в бележника, обърнах случая и след това поставих този резултат във Facebook. То отхвърли тази парола. След това включих Caps Lock и написах паролата си, сякаш Caps Lock е изключен, като по този начин обърнах случая. Този опит беше успешен и аз бях влязъл. Facebook не само проверява каква е паролата, но и как я въвеждате. Brute Force няма да помогне в този сценарий, освен да симулира caps lock, което би било по-трудно, отколкото просто да се стремите към действителната парола.
Актуализация: Както посочва консултантът по информационна сигурност Пол Мур Twitter, Facebook най-вероятно съхранява само оригиналната ви парола (правилно хеширана и осолена), а не вариантите на вашата парола. Когато изпратите парола за влизане, тя се проверява спрямо оригиналната ви парола. Ако не съвпада, Facebook стартира изпратената от вас парола чрез тези варианти. Например, ако вашият Caps Lock е включен, Facebook взема изпратената от вас парола, обръща главните букви и опитва отново. Ако това не работи, Facebook опитва отново със следващия сценарий. По същество Facebook прави това, което бихте направили, когато получите съобщение за „грешна парола“ – проверява за случайна грешка във въведената парола и я коригира. Това прави целия процес по-малко разочароващ за вас. Това не намалява сигурността, тъй като все още е необходима известна представа за правилната парола и приетите варианти са тесни.
По-важното е, че методите на груба сила не са основният метод за получаване на достъп до социални мрежи и други акаунти. Социалното инженерство и дъмповете на пароли са много по-лесни за използване. Ако имате въпроси за нулиране на паролата, има приличен шанс поне някои от отговорите да са публично достъпна информация. Ако въпросът ви за нулиране е за вашето родно място, моминско име на майка ви или талисман от гимназията, тогава е възможно да проследите отговора. В този момент лошият актьор може да нулира вашата парола, което прави всяка нужда от отгатване или определяне на самата парола напълно спорна.
За съжаление, много хора все още използват една и съща комбинация от имейл и парола на всеки сайт, който изисква идентификационни данни за вход. Не е нужно да търсите далеч, за да намерите екземпляр след екземпляр на пробиви на данни. Ако използвате една и съща комбинация от имейл и парола на повече от едно място и сте били от години, тогава вашите пароли са уязвимостта, а не политиките на Facebook.
Ако не сте сигурни дали сте станали жертва на нарушение, отидете на haveibeenpwned.com и проверете дали паролата ви е открадната. Вероятно сте имали поне някакъв акаунт, компрометиран някъде.
Винаги трябва да защитавате акаунтите си
Ако все още се притеснявате, че тази политика ви оставя уязвими, има стъпки, които можете да предприемете. Първата стъпка е да спрете да използвате една и съща парола за всеки сайт. Вместо това вземете мениджър на пароли и го оставете да генерира уникални дълги пароли за всеки различен сайт, който използвате. След това, следващия път, когато видите, че уебсайт, който сте използвали, е бил компрометиран, можете да промените само тази парола и да се чувствате в безопасност, знаейки, че тази известна парола няма да помогне на хакерите.
След като затвърдите паролите си, включете двуфакторното удостоверяване на всеки сайт, който го предлага. Facebook предлага двуфакторно удостоверяване, така че трябва да го настроите и там. Най-доброто двуфакторно удостоверяване разчита на приложение с вашия смартфон, което генерира често нов код или физически ключ, който държите при вас. Докато двуфакторната автентификация, базирана на SMS, е по-добра от нищо, тя все още е уязвима към техниките на социалното инженерство. Така че, ако можете да разчитате на приложение за удостоверяване или физически ключ, трябва. И имайте резервно копие, в случай че нещо се случи с вашия телефон или ключ.
С тази комбинация вашият акаунт е много по-сигурен, независимо от правилата за пароли на Facebook. Най-малкото трябва да използвате мениджър на пароли и уникални пароли, но използването на тези в комбинация с двуфакторно удостоверяване е по-добре.
Не се паникьосвайте; Насладете се на Удобството
Що се отнася до политиката за пароли на Facebook, лесно е да се притеснявате, че е по-малко сигурна, но реалността е, че ползите надвишават рисковете. Сигурността е балансиращ акт. Колкото повече заключвате система, толкова по-малко удобен е достъпът до нея. Но когато добавяте по-удобен достъп, губите сигурност. Номерът е да получите точните количества и от двете, за да защитите потребителите си, без да ги разочаровате. Тук Facebook допусна грешка от гледна точка на лекотата на потребителите и това вероятно е приемливо решение.