Jeśli uważasz, że jedyną poprawną wersją Twojego hasła jest dokładna wielkość liter i sekwencja liter/symbolów, których używasz, możesz być w szoku. Facebook zaakceptuje niewielkie zmiany Twojego hasła, dla Twojej wygody. I jest całkowicie bezpieczny.
Hasła można łatwo pomylić
Facebook i inne podobne strony mają problem. Chcą, abyś używał długich i skomplikowanych haseł, ale są one trudne do wpisania. Powinieneś używać menedżera haseł, aby się tym zająć, ale większość ludzi tego nie robi. Z powodu tych dwóch czynników często mylisz swoje hasło.
Co w tym momencie powinien zrobić Facebook?
Czy powinni odmówić Ci wpisu tylko dlatego, że Twoje hasło było nieco niepoprawne i sfrustrować Cię przy drugiej próbie? A może powinni rozpoznać, że podane hasło było prawdopodobnie poprawne, ale z literówką i ułatwić Ci podróż do gifów kotów i zdjęć dzieci, ignorując błąd?
Facebook ocenia błędy w hasłach
Tak jak Alec Muffet, wyjaśnia były inżynier oprogramowania w zespole ds. infrastruktury bezpieczeństwa w Facebook Engineering w Londynie, Facebook wybrał to drugie. Jeśli Twoje hasło jest bardzo bliskie poprawnemu, mogą uznać je za prawidłowe. Zasady tego są proste. Facebook zaakceptuje nieprawidłowe hasło, jeśli spełni którykolwiek z tych warunków:
- Masz włączoną funkcję Caps Lock, a wielkość liter jest odwrócona.
- Wprowadzasz dodatkowy znak na początku lub na końcu hasła
- Pierwszy znak hasła powinien być małymi literami, ale wpisałeś je z dużej litery
Jak widać, wszystkie te odmiany koncentrują się wokół podstawowej koncepcji polegającej na nieznacznym pominięciu hasła podczas pisania. W niektórych przypadkach może to być problem autokorekty, na przykład pierwsza litera słowa jest pisana wielką literą. Jeśli źle wpisane hasło spełnia te określone zasady, nie będziesz wiedział, że wystąpił problem — po prostu zostaniesz zalogowany.
Załóżmy na przykład, że Twoje hasło to „letMeIn”. Facebook zaakceptuje również „LETmEiN” (ponieważ jest to zwykłe odwrócenie caps locka) i „LetMeIn” (ponieważ to nieprawidłowa wielka litera na pierwszą literę). Akceptuje również odmiany, takie jak „1letMeIn” i „letMeIn2”, ponieważ są one poprawne, z wyjątkiem dodatkowego znaku na początku lub na końcu. Jednak w ogóle nie zaakceptuje „LETMEIN”, „letmein” ani „12LetMeIn”.
Ten proces jest nadal bezpieczny
Na pierwszy rzut oka pobłażliwość hasła Facebooka brzmi niepewnie. Ale w tym przypadku prawda jest bardziej skomplikowana. Chociaż łatwo jest pomyśleć o starych hakerskich dramatach kryminalnych, które pokazywały szybkie brutalne odgadywanie hasła w zaledwie kilka minut, hakowanie w ogóle nie działa w ten sposób. Brutalne wymuszanie nieznanych haseł istnieje, ale jest zupełnie inne niż sugeruje telewizja. Tak jak xkcd słynnie demonstruje, wraz ze wzrostem długości hasła czas na jego złamanie również rośnie wykładniczo. Dodanie złożoności pomaga, ale nie tak bardzo, jak mogłoby się wydawać.
Tak więc jeden ze scenariuszy, na który pozwala Facebook, dodatkowy znak na początku lub na końcu hasła, byłby jeszcze trudniejszy do brutalnej siły. Hakerzy musieliby już mieć prawidłowe hasło, zanim dotrą do hasła plus dodatkowy znak.
Szczególnie interesujący jest scenariusz caps lock. Przetestowałem to, najpierw ręcznie wpisując moje hasło do notatnika, odwracając sprawę, a następnie wklejając ten wynik na Facebooku. Odmówił tego hasła. Następnie włączyłem Caps Lock i wpisałem hasło tak, jakby Caps Lock był wyłączony, odwracając w ten sposób sprawę. Ta próba się powiodła, a ja byłem zalogowany. Facebook nie tylko sprawdza, jakie jest hasło, ale także w jaki sposób je wpisujesz. Brute Force nie pomoże w tym scenariuszu, poza symulacją caps locka, która byłaby trudniejsza niż samo dążenie do właściwego hasła.
Aktualizacja: Jak wskazuje konsultant ds. bezpieczeństwa informacji Paul Moore Świergot, Facebook najprawdopodobniej przechowuje tylko Twoje oryginalne hasło (odpowiednio zaszyfrowane i solone), a nie jego odmiany. Po przesłaniu hasła do logowania jest ono porównywane z oryginalnym hasłem. Jeśli się nie zgadza, Facebook sprawdza przesłane hasło za pomocą tych odmian. Na przykład, jeśli twój Caps Lock jest włączony, Facebook pobiera przesłane hasło, odwraca wielkość liter i próbuje ponownie. Jeśli to nie zadziała, Facebook spróbuje ponownie z następnym scenariuszem. Zasadniczo Facebook robi to, co byś zrobił po otrzymaniu komunikatu o „niewłaściwym haśle” — sprawdzając, czy w wpisanym haśle nie wystąpił przypadkowy błąd i je poprawiając. To sprawia, że cały proces jest dla Ciebie mniej frustrujący. Nie zmniejsza to bezpieczeństwa, ponieważ nadal potrzebna jest pewna idea prawidłowego hasła, a akceptowane odmiany są wąskie.
Co ważniejsze, metody brute force nie są podstawową metodą uzyskania dostępu do sieci społecznościowych i innych kont. Socjotechnika i zrzuty haseł są znacznie prostsze w użyciu. Jeśli masz pytania dotyczące resetowania hasła, istnieje spora szansa, że przynajmniej niektóre odpowiedzi są publicznie dostępnymi informacjami. Jeśli Twoje pytanie resetujące dotyczy miejsca urodzenia, nazwiska panieńskiego matki lub maskotki szkoły średniej, możesz znaleźć odpowiedź. W tym momencie zły aktor może zresetować twoje hasło, co sprawia, że każda potrzeba odgadnięcia lub określenia samego hasła jest całkowicie dyskusyjna.
Niestety, wiele osób nadal używa tej samej kombinacji adresu e-mail i hasła w każdej witrynie, która wymaga danych logowania. Nie musisz daleko szukać, aby znaleźć wystąpienie po wystąpieniu naruszenia danych. Jeśli używasz tej samej kombinacji adresu e-mail i hasła w więcej niż jednym miejscu i używasz tego od lat, to Twoje hasła są luką w zabezpieczeniach, a nie politykami Facebooka.
Jeśli nie jesteś pewien, czy padłeś ofiarą włamania, przejdź do haveibeenpwned.com i sprawdź, czy Twoje hasło nie zostało skradzione. Są szanse, że przynajmniej część konta została przejęta.
Powinieneś zawsze zabezpieczać swoje konta
Jeśli nadal martwisz się, że ta polityka naraża Cię na niebezpieczeństwo, możesz podjąć pewne kroki. Pierwszym krokiem jest zaprzestanie używania tego samego hasła dla każdej witryny. Zamiast tego zdobądź menedżera haseł i pozwól mu generować unikalne długie hasła dla każdej innej witryny, z której korzystasz. Następnie, gdy następnym razem zobaczysz, że witryna, z której korzystasz, została naruszona, możesz zmienić tylko to jedno hasło i czuć się bezpiecznie, wiedząc, że to jedno znane hasło nie pomoże hakerom.
Po zaostrzeniu haseł włącz uwierzytelnianie dwuskładnikowe w dowolnej witrynie, która je oferuje. Facebook oferuje uwierzytelnianie dwuskładnikowe, więc powinieneś je również ustawić. Najlepsze uwierzytelnianie dwuskładnikowe opiera się na aplikacji na smartfonie, która często generuje nowy kod, lub na fizycznym kluczu, który masz przy sobie. Chociaż uwierzytelnianie dwuskładnikowe oparte na SMS-ach jest lepsze niż nic, nadal jest podatne na techniki socjotechniki. Więc jeśli możesz polegać na aplikacji uwierzytelniającej lub fizycznym kluczu, powinieneś. I przygotuj kopię zapasową na wypadek, gdyby coś się stało z Twoim telefonem lub kluczem.
Dzięki tej kombinacji Twoje konto jest znacznie bezpieczniejsze, niezależnie od polityki haseł Facebooka. Powinieneś przynajmniej używać menedżera haseł i unikalnych haseł, ale używanie ich w połączeniu z uwierzytelnianiem dwuskładnikowym jest lepsze.
Nie panikuj; Ciesz się wygodą
Jeśli chodzi o politykę haseł Facebooka, łatwo się martwić, że jest ona mniej bezpieczna, ale w rzeczywistości korzyści przewyższają ryzyko. Bezpieczeństwo to równoważenie. Im bardziej blokujesz system, tym mniej wygodny jest do niego dostęp. Ale dodając wygodniejszy dostęp, tracisz bezpieczeństwo. Sztuką jest uzyskanie odpowiednich ilości obu, aby chronić użytkowników bez frustrowania ich. Facebook popełnił błąd po stronie łatwości użytkownika i jest to prawdopodobnie akceptowalna decyzja.