Facebook Fudges Jūsų slaptažodį Jūsų patogumui
Jei manote, kad vienintelė teisinga jūsų slaptažodžio versija yra tiksli kapitalizacija ir raidžių / simbolių seka, kurią naudojate, gali būti šoko. Jūsų patogumui „Facebook“ priims nedidelius slaptažodžio variantus. Ir tai visiškai saugu.
Slaptažodžius lengva įvesti
„Facebook“ ir kitos svetainės, pvz., Turi problemų. Jie norėtų, kad naudotumėte ilgus ir sudėtingus slaptažodžius, tačiau juos sunku įvesti. Jūs turėtumėte naudoti slaptažodžių valdytoją, kad tai pasirūpintumėte jums, bet dauguma žmonių to nedaro. Ir dėl šių dviejų veiksnių paprasta įvesti slaptažodį.
Tuo metu ką turėtų daryti „Facebook“?
Ar jie turėtų atsisakyti įvažiuoti tik todėl, kad jūsų slaptažodis buvo šiek tiek išjungtas, ir sugadinti jus antruoju bandymu? Arba jie turėtų pripažinti, kad pateiktas slaptažodis tikriausiai buvo teisingas, tačiau su klaidomis ir sklandžiai nuvažiuoti į katės gif'us ir kūdikių nuotraukas, ignoruodami klaidą?
„Facebook“ įvertina klaidas slaptažodžiuose
„Alec Muffet“, buvęs „London Engineering“ saugumo infrastruktūros komandos programinės įrangos inžinierius, paaiškina „Facebook“. Jei jūsų slaptažodis yra labai arti koregavimo, jie gali būti skaičiuojami kaip tikslūs. To taisyklės yra paprastos. „Facebook“ priims neteisingą slaptažodį, jei jis atitinka bet kurią iš šių sąlygų:
- Įjungtas dangtelių užraktas ir kapitalizacijos yra pakeistos.
- Slaptažodžio pradžioje arba pabaigoje įvedate papildomą simbolį
- Pirmasis slaptažodžio simbolis turėtų būti mažosios raidės, bet įvedėte jį kapitalizuotu
Kaip matote, šie variantai yra sutelkti į pagrindinę sąvoką, kai įvesdami šiek tiek trūksta slaptažodžio. Kai kuriais atvejais tai gali būti automatinio taisymo problema, pvz., Pirmosios raidės raidė. Jei slaptas slaptažodis atitinka šias konkrečias taisykles, jūs nežinote, kad iškilo problema - jūs tiesiog atsidursite prisijungus.
Pvz., Tarkime, kad jūsų slaptažodis yra „letMeIn“. „Facebook“ taip pat priims „LETmEiN“ (nes tai yra tiesioginis užrakto užrakto atšaukimas) ir „LetMeIn“ (nes tai neteisingas pirmosios raidės kapitalas). Jis taip pat priims tokius variantus kaip „1letMeIn“ ir „letMeIn2“, nes jie yra teisingi, išskyrus papildomą simbolį pradžioje arba pabaigoje. Tačiau jis visiškai nepriims „LETMEIN“, „letmein“ ar „12LetMeIn“.
Šis procesas yra vis dar saugus
Seasontime / ShutterstockIš pirmo žvilgsnio „Facebook“ slaptažodžio nuoširdumas skamba nesaugiai. Tačiau šiuo atveju tiesa yra sudėtingesnė. Nors lengva galvoti apie senas įsilaužėlių nusikalstamumo dramas, kurios per kelias minutes parodė greitą brutalą, spėlioti slaptažodžiu, įsilaužimas visai neveikia. Yra brutalinių prievartinių nežinomų slaptažodžių, tačiau tai labai skiriasi nuo televizijos. Kaip xkcd garsiai demonstruoja, kaip padidėja slaptažodžio ilgis, laikas plyšimui taip pat didėja eksponentiškai. Sudėtingumo didinimas padeda, bet ne tiek, kiek manote.
Taigi vienas iš scenarijų, kuriuos leidžia „Facebook“, papildomas simbolis slaptažodžio pradžioje ar pabaigoje būtų dar sunkiau brutalia jėga. Hakeriai jau turėtų turėti teisingą slaptažodį, kad jie būtų perkelti į slaptažodį ir papildomą simbolį.
Ypač domina dangtelių užrakto scenarijus. Aš išbandžiau tai pirmiausia rankiniu būdu įvedant savo slaptažodį į užrašų knygą, pakeičiant bylą, tada įklijuojant šį rezultatą į „Facebook“. Jis paneigė šį slaptažodį. Tada aš įjungiau kepurių užraktą ir įvedžiau savo slaptažodį, tarsi dangtelio užraktas buvo išjungtas, tokiu būdu pakeičiant bylą. Šis bandymas buvo sėkmingas, ir aš buvau prisijungęs. „Facebook“ ne tik tikrina, kas yra slaptažodis, bet ir kaip įvedate jį. „Brute Force“ nepadės šiame scenarijuje, o ne imituoti dangtelių užraktą, o tai būtų sunkiau, nei tikrasis slaptažodis.
Atnaujinti: Kaip informavimo saugumo konsultantas Paulas Moore nurodo „Twitter“, „Facebook“ dažniausiai tik saugo jūsų originalų slaptažodį (tinkamai sutrumpintas ir sūdytas), o ne slaptažodžio variantus. Kai pateikiate slaptažodį, kad galėtumėte prisijungti, jis patikrinamas pagal jūsų pradinį slaptažodį. Jei jis nesutampa, „Facebook“ pateikia jūsų pateiktą slaptažodį per šiuos variantus. Pavyzdžiui, jei „Caps Lock“ yra įjungtas, „Facebook“ atsiunčia jūsų pateiktą slaptažodį, atšaukia raidžių kapitalizaciją ir bando dar kartą. Jei tai neveikia, „Facebook“ bando dar kartą su kitais scenarijais. Iš esmės „Facebook“ daro tai, ką galėjote padaryti, kai „neteisingas slaptažodžio“ pranešimas tikrinamas atsitiktinės klaidos įvedus slaptažodį ir jį ištaisius. Tai daro visą procesą jums varginantis. Tai nesumažina saugumo, nes vis dar reikalingas tam tikras teisingas slaptažodis, o priimti variantai yra siauri.
Dar svarbiau, kad brutalios jėgos metodai nėra pagrindinis būdas pasiekti socialinius tinklus ir kitas sąskaitas. Socialinės inžinerijos ir slaptažodžių sąvartynai yra daug paprastesni naudoti. Jei turite klausimų dėl slaptažodžio nustatymo, yra tinkamos galimybės, bent jau kai kurie atsakymai yra viešai prieinama informacija. Jei jūsų atstatymo klausimas yra apie jūsų gimimo vietą, motinos mergautinę pavardę ar vidurinės mokyklos talismaną, galima sekti atsakymą. Tuo metu blogas veikėjas gali iš naujo nustatyti jūsų slaptažodį, todėl būtinai reikia atspėti, ar pats slaptažodis yra visiškai ginčytinas.
Deja, daugelis žmonių vis dar naudojasi tuo pačiu el. Pašto ir slaptažodžių deriniu visose svetainėse, kuriose reikalingi prisijungimo duomenys. Jūs neturite ieškoti, kad rastumėte pavyzdį po duomenų pažeidimų. Jei naudojate tą patį el. Pašto ir slaptažodžių derinį daugiau nei vienoje vietoje ir jau daugelį metų, jūsų slaptažodžiai yra pažeidžiamumas, o ne „Facebook“ politika.
Jei nesate tikri, ar esate nukentėjęs nuo pažeidimo, eikite į haveibeenpwned.com ir patikrinkite, ar jūsų slaptažodis buvo pavogtas. Yra tikimybė, kad kažkur turite bent jau tam tikrą sąskaitą.
Visada turėtumėte saugoti savo paskyras
Nicescene / Shutterstock.comJei vis dar nerimaujate, kad ši politika palieka jus pažeidžiamą, galite imtis veiksmų. Pirmas žingsnis yra sustabdyti to paties slaptažodžio naudojimą kiekvienai svetainei. Vietoj to, gaukite slaptažodžių tvarkyklę ir leiskite jam sukurti unikalius ilgus slaptažodžius kiekvienai kitai naudojamai svetainei. Tada kitą kartą, kai pamatysite, kad jūsų naudojama svetainė buvo pažeista, galite pakeisti tik tą vieną slaptažodį ir jaustis saugiai, žinodami, kad šis vienas žinomas slaptažodis nebus geras.
Sukietėję slaptažodžius, įjunkite dviejų veiksnių autentifikavimą bet kurioje vietoje, kuri ją siūlo. „Facebook“ siūlo dviejų veiksnių autentifikavimą, taigi taip pat turėtumėte jį nustatyti. Geriausias dviejų veiksnių autentifikavimas priklauso nuo jūsų išmaniojo telefono, kuris dažnai sukuria naują kodą arba fizinį raktą, kurį jūs laikote. Nors SMS pagrįstas dviejų veiksnių autentifikavimas yra geresnis nei nieko, jis vis dar yra pažeidžiamas socialinės inžinerijos metodams. Taigi, jei galite pasikliauti autentifikavimo programa arba fiziniu raktu, turėtumėte. Ir turėkite atsarginę kopiją, jei kažkas atsitiks su telefonu ar raktu.
Naudodami šį derinį, jūsų paskyra yra daug saugesnė, nepaisant „Facebook“ slaptažodžių politikos. Jūs turėtumėte bent jau naudoti slaptažodžių valdytoją ir unikalius slaptažodžius, tačiau geriau naudoti tuos, kurie naudojami kartu su dviejų veiksnių autentifikavimu.
Ne panikos; Mėgaukitės patogumu
Kalbant apie „Facebook“ slaptažodžių politiką, lengva nerimauti, kad tai mažiau saugi, bet realybė yra didesnė už riziką. Saugumas yra balansavimo aktas. Kuo daugiau užrakinsite sistemą, tuo mažiau patogu naudotis. Bet pridedant daugiau patogios prieigos, prarandate saugumą. Apgaulė yra gauti teisingas sumas tiek, kad apsaugotumėte naudotojus, neišgąsdindami jų. Čia „Facebook“ padarė klaidą vartotojo patogumui, ir tai turbūt priimtinas sprendimas.