Domača » kako » Facebook Fudges vaše geslo za vaše udobje

    Facebook Fudges vaše geslo za vaše udobje

    Če menite, da je edina pravilna različica gesla natančna kapitalizacija in zaporedje črk / simbolov, ki jih uporabljate, ste morda v šoku. Facebook bo sprejel rahle spremembe vašega gesla, za vaše udobje. In popolnoma varno.

    Gesla se enostavno zamenjujejo

    Facebook in druga spletna mesta imajo težave. Želeli bi, da uporabite dolga in zapletena gesla, vendar jih je težko vnesti. Za to bi morali uporabljati skrbnika gesel, vendar večina ljudi tega ne počne. Zaradi teh dveh dejavnikov je običajno, da napačno vnesete geslo.

    Na tej točki, kaj mora Facebook storiti?

    Ali naj vam zavrnejo vpis samo zato, ker je bilo vaše geslo rahlo izklopljeno in vas ovira z drugim poskusom? Ali pa morajo prepoznati, da je geslo verjetno pravilno, vendar z napako in gladko potovanje do mačjih gif in otroških slik, če zanemarite napako?

    Facebook ovrednoti napake v geslih

    Kot je pojasnil Alec Muffet, nekdanji programski inženir za varnostno infrastrukturno ekipo Facebook Engineering v Londonu, je Facebook izbral slednje. Če je vaše geslo zelo natančno, ga lahko štejejo za točne. Pravila za to so preprosta. Facebook bo sprejel napačno geslo, če izpolnjuje katero od teh pogojev:

    • Vključeni ste zaklepki za zaklepanje in kapitalizacije so obrnjene.
    • Na začetku ali koncu gesla vnesete dodatni znak
    • Prvi znak gesla mora biti majhen, vendar ste ga vnesli z velikimi črkami

    Kot lahko vidite, so vse te različice osredotočene na osnovni koncept, da pri vnašanju nekaj manjka vaše geslo. V nekaterih primerih je to lahko vprašanje samopopravkov, kot je prva črka besede, ki se kapitalizira. Če vaše napačno vneseno geslo izpolnjuje ta posebna pravila, ne boste vedeli, da je prišlo do težave - našli ste se, da ste prijavljeni.

    Recimo, da je vaše geslo »letMeIn«. Facebook bo sprejel tudi »LETmEiN« (ker je to prelom obrnjen pokrovček navzgor) in »LetMeIn« (ker je to napačen kapital za prvo črko). Sprejel bo tudi različice, kot sta »1letMeIn« in »letMeIn2«, ker so pravilne, razen dodatnega znaka na začetku ali koncu. Vendar pa sploh ne bo sprejel »LETMEIN«, »letmein« ali »12LetMeIn«..

    Ta proces je še vedno varen

    Seasontime / Shutterstock

    Na prvi pogled blaznost gesla na Facebooku zveni negotovo. Toda v tem primeru je resnica bolj zapletena. Medtem ko je lahko misliti na stare drame hekerskih zločinov, ki so pokazale hitro brutalno silo ugibati na geslo v samo nekaj minutah, taksist ne deluje tako. Brute prisiljevanje neznanih gesel obstaja, vendar je zelo drugačno od TV-impliciranja. Kot xkcd slavno dokazuje, ko se dolžina gesla poveča, se tudi čas za razpok eksponentno poveča. Dodajanje kompleksnosti pomaga, vendar ne toliko, kot si morda mislite.

    Torej bi bil eden izmed scenarijev, ki jih omogoča Facebook, dodaten znak na začetku ali koncu gesla, še težje za surovo silo. Hekerji bi že morali imeti pravilno geslo, preden so prišli do gesla in dodatnega znaka.

    Posebej zanimiv je scenarij z zaklenjenimi vrednostmi. To sem preizkusil tako, da sem najprej ročno vtipkal svoje geslo v notepad, obrnil primer, nato pa ga prilepil v Facebook. To geslo je zavrnilo. Nato sem obrnil kape zaklepanje in vnesel geslo, kot da kapa zaklepanje so off, s čimer obrnil primer. Ta poskus je bil uspešen in jaz sem bil prijavljen. Facebook ne preverja samo, kaj je geslo, ampak kako ga vnesete. Brute Force ne bo pomagal v tem scenariju, manj kot simulacija zaklepanja s kapicami, kar bi bilo težje kot samo iskanje dejanskega gesla.

    Nadgradnja: Kot je opozoril svetovalec za informacijsko varnost Paul Moore na Twitterju, je Facebook večinoma shranil samo vaše prvotno geslo (pravilno zgoščeno in soljeno) in ne različic vašega gesla. Ko pošljete geslo za prijavo, se preveri glede na prvotno geslo. Če se ne ujema, Facebook predloži poslano geslo s temi različicami. Na primer, če je vaša možnost Caps Lock vklopljena, Facebook sprejme vaše poslano geslo, obrne velike črke črk in poskusi znova. Če to ne bo uspelo, bo Facebook ponovno poskusil z naslednjim scenarijem. V bistvu Facebook počne to, kar bi storil, ko bi prejel sporočilo »napačno geslo«, da bi preveril, ali je prišlo do naključne napake v geslu in ga popravilo. Zaradi tega je celoten proces za vas manj frustriran. To ne zmanjša varnosti, ker je še vedno potrebna ideja o pravilnem geslu in sprejete spremembe so ozke.

    Še pomembneje je, da metode surove sile niso primarna metoda za dostop do socialnih omrežij in drugih računov. Socialni inženiring in odlagališča gesel so veliko enostavnejša za uporabo. Če imate vprašanja za ponastavitev gesla, obstaja primerna priložnost, da so vsaj nekateri odgovori javno dostopni. Če je vaše vprašanje za ponastavitev vaše rojstno mesto, materino dekliško ime ali maskota srednje šole, potem je mogoče slediti odgovoru. Na tej točki lahko slab igralec ponastavi vaše geslo, tako da mora ugibati ali ugotoviti, ali je geslo popolnoma sporno.

    Na žalost veliko ljudi še vedno uporablja enako kombinacijo e-pošte in gesla na vseh spletnih mestih, ki zahtevajo poverilnice za prijavo. Ni vam treba gledati daleč, da bi našli primer po kršitvi podatkov. Če uporabljate isto kombinacijo e-pošte in gesla na več kot enem mestu in ste bili v preteklih letih, potem so vaša gesla ranljivost in ne pravilniki Facebooka..

    Če niste prepričani, ali ste bili žrtev kršitve, pojdite na haveibeenpwned.com in preverite, ali je bilo vaše geslo ukradeno. Verjetno ste imeli vsaj nek račun ogrožen.

    Vedno morate zavarovati svoje račune

    Nicescene / Shutterstock.com

    Če ste še vedno zaskrbljeni, da ste zaradi te politike ranljivi, lahko ukrepate. Prvi korak je prenehanje uporabe istega gesla za vsako spletno mesto. Namesto tega dobite upravitelja gesel in pustite, da ustvari edinstvena dolga gesla za vsako drugo spletno mesto, ki ga uporabljate. Naslednjič, ko boste videli, da je spletno mesto, ki ste ga uporabljali, ogroženo, lahko spremenite samo to geslo in se počutite varno, če veste, da to znano geslo ne bo pomagalo hekerjem..

    Ko ste utrjevali gesla, vklopite preverjanje pristnosti z dvema faktorjema na katerem koli mestu, ki ga ponuja. Facebook ponuja avtentikacijo z dvema faktorjema, zato jo morate nastaviti tudi tam. Najboljše preverjanje pristnosti z dvema faktorjema temelji na aplikaciji s pametnim telefonom, ki pogosto ustvari novo kodo ali fizični ključ, ki ga imate pri sebi. Medtem ko je dvofaktorska avtentikacija na osnovi SMS boljša kot nič, je še vedno ranljiva za tehnike socialnega inženiringa. Torej, če se lahko zanesete na aplikacijo za overjanje ali fizični ključ, bi morali. Imate rezervno kopijo, če se kaj zgodi s telefonom ali ključem.

    S to kombinacijo je vaš račun veliko bolj varen, ne glede na pravilnike o geslih Facebooka. Uporabiti morate vsaj upravitelja gesel in edinstvena gesla, toda z uporabo teh v kombinaciji z avtentikacijo z dvema faktorjema je bolje.

    Ne panike; Uživajte v priročnosti

    Kot je za politiko gesel Facebook, je enostavno skrbeti, da je manj varna, vendar je realnost koristi odtehtajo tveganja. Varnost je ravnotežje. Bolj ko zaklepate sistem, manj dostopen je dostop. Toda ko dodate bolj udoben dostop, izgubite varnost. Trik je pridobivanje pravih zneskov za zaščito uporabnikov, ne da bi jih frustrirali. Facebook je na strani uporabnika naredil napako in to je verjetno sprejemljiva odločitev.