Facebook Fudges A jelszavát a kényelemért
Ha úgy gondolja, hogy a jelszavának egyetlen helyes változata a pontos kapitalizáció és a betű / szimbólum sorozat, amit használ, lehet, hogy sokkol. A Facebook elfogadja a jelszó kis változatait, az Ön kényelme érdekében. És teljesen biztonságos.
A jelszavak egyszerűek
A Facebook és más olyan oldalak, mint az ilyenek, problémát okoznak. Hosszú és bonyolult jelszavakat szeretnének használni, de ezeket nehezen írhatjuk be. Jelszókezelőt kell használnia, hogy gondoskodjon róla, de a legtöbb ember nem. A két tényező miatt gyakori a jelszavát.
Akkor mit kell tennie a Facebook-nak?
Ha csak azért tagadják meg a belépést, mert a jelszavát kissé leállták, és egy második kísérletet okoznak? Vagy fel kell ismerniük, hogy a megadott jelszó valószínűleg helyes, de hibás és zökkenőmentes útja a macska-gifeknek és a kisbabáknak azáltal, hogy figyelmen kívül hagyja a hibát?
Facebook értékeli a jelszavakat
Ahogy Alec Muffet, a londoni Facebook Engineering biztonsági infrastruktúra csapatának korábbi szoftverfejlesztője elmagyarázza, a Facebook az utóbbi választotta. Ha a jelszó nagyon közel áll a helyesbítéshez, pontosnak tekinthetik. Ennek szabályai egyszerűek. A Facebook helytelen jelszót fogad el, ha az megfelel a fenti feltételek bármelyikének:
- A kupakzár be van kapcsolva, és a nagybetűk megfordulnak.
- Egy extra karaktert ad meg a jelszó elején vagy végén
- A jelszó első karakterének kisbetűsnek kell lennie, de beírta azt nagybetűvel
Mint látható, ezek a variációk az alapkoncepció köré összpontosítanak, amikor a gépelés közben kissé hiányzik a jelszó. Bizonyos esetekben ez lehet az automatikus javítás kérdése, mint például egy nagybetűs szó első betűje. Ha a hibás jelszó megfelel ezeknek a konkrét szabályoknak, akkor nem fogja tudni, hogy probléma merült fel - csak bejelentkezett.
Tegyük fel például, hogy a jelszó „letMeIn”. A Facebook elfogadja a „LETmEiN” -et (mert ez egy egyenes sapka zárolás visszavonása) és a „LetMeIn” (mert ez az első betű a tőke nem megfelelő). Elfogadja a „1letMeIn” és a „letMeIn2” változatokat is, mivel ezek helyesek, kivéve egy további karaktert az elején vagy végén. Ugyanakkor egyáltalán nem fogad el „LETMEIN”, „letmein” vagy „12LetMeIn”.
Ez a folyamat még mindig biztonságos
Seasontime / ShutterstockElőször blush, a Facebook jelszava lenience hangja bizonytalan. De ebben az esetben az igazság bonyolultabb. Míg a régi hacker bűnözési drámákról könnyen gondolkodhatunk, amelyek a perceken belül gyors jelzést mutatnak, a hackelés egyáltalán nem működik. A Brute kényszerítő ismeretlen jelszavak léteznek, de ez nagyon különbözik a TV-től. Ahogy az xkcd híresen mutatja be, ahogy a jelszó hossza nő, a repedés ideje is exponenciálisan nő. A bonyolultság növelése segít, de nem annyira, mint gondolná.
Tehát az egyik forgatókönyv, amit a Facebook engedélyez, egy extra karakter a jelszó elején vagy végén még nehezebb lenne a nyers erőre. A hackereknek már meg kell adniuk a helyes jelszót, mielőtt a jelszót hozzáadták volna, plusz egy extra karaktert.
Különösen érdekes a sapkák zárolási forgatókönyve. Ezt teszteltem úgy, hogy először kézzel írtam a jelszót a jegyzettömbbe, megfordítva az ügyet, majd beillesztettem az eredményt a Facebookra. Elutasította a jelszót. Ezután bekapcsoltam a kupakzárat, és beírtam a jelszavamat, mintha a sapkazár ki lett volna kapcsolva, ezáltal megfordítva az ügyet. Ez a kísérlet sikeres volt, és be voltam jelentkezve. A Facebook nem csak ellenőrzi, hogy mi a jelszó, hanem hogyan adja meg. A Brute Force nem segít ebben a forgatókönyvben, a sapkák zárolásának hiányában, ami nehezebb, mint a tényleges jelszó megadása.
frissítés: Paul Moore, az információbiztonsági tanácsadó a Twitteren rámutat, hogy a Facebook valószínűleg csak az eredeti jelszavát tárolja (megfelelően megkötött és sózott), és nem a jelszó variációit. Amikor bejelentkezik a jelszó megadására, az eredeti jelszavával ellenőrizhető. Ha ez nem egyezik, a Facebook ezen a variáción keresztül futtatja a benyújtott jelszót. Ha például a Caps Lock be van kapcsolva, a Facebook a megadott jelszót veszi fel, megfordítja a betűk nagybetűjét, és megpróbálja újra. Ha ez nem működik, a Facebook újra megpróbál a következő forgatókönyvvel. A Facebook lényegében azt tette, amit tett volna, ha „rossz jelszót” kaptál-e a gépelt jelszó hibás hibájából, és kijavítaná azt. Ez kevésbé frusztrálja az egész folyamatot. Ez nem csökkenti a biztonságot, mert még mindig szükség van a megfelelő jelszóra, és az elfogadott változatok szűkek.
Ennél is fontosabb, hogy a brute force módszerek nem az elsődleges módszer a szociális hálózatok és más fiókok eléréséhez. A szociális mérnöki és jelszó-kidobások sokkal egyszerűbbek. Ha jelszó-visszaállítási kérdései vannak, akkor van egy tisztességes esély, hogy legalább néhány válasz nyilvánosan hozzáférhető információ. Ha az Ön reset-kérdése születési helyéről, anyja leánykori nevéről vagy középiskolai kabalájáról szól, akkor lehetséges, hogy nyomon követjük a választ. Abban a pillanatban, egy rossz színész visszaállíthatja a jelszavát, és szükségtelenné teszi a jelszót, vagy maga a jelszót.
Sajnos sokan még mindig ugyanazt az e-mailt és jelszót kombinálják minden olyan webhelyen, amelyhez bejelentkezési adatok szükségesek. Nem kell messzire néznie, ha az adatvesztési esetek példányát keresne. Ha egynél több helyen ugyanazt az e-mailt és jelszót használjuk, és már évek óta használják, akkor a jelszavakat a biztonsági rés, nem pedig a Facebook irányelvek.
Ha nem biztos abban, hogy megsértés áldozata volt, látogasson el a haveibeenpwned.com oldalra, és ellenőrizze, hogy ellopta-e a jelszavát. Valószínű, hogy valahol legalább valamilyen számla van.
Mindig biztosítsa a fiókjait
Nicescene / Shutterstock.comHa még mindig aggódik, hogy ez a szabályzat kiszolgáltatott, akkor lépéseket tehet. Az első lépés az, hogy hagyja abba ugyanazt a jelszót minden oldalon. Ehelyett kapjon egy jelszókezelőt, és hagyja, hogy egyedi hosszú jelszavakat készítsen minden különböző webhelyen. Ezután, amikor legközelebb meglátja, hogy egy használt webhelyet veszélyeztettek, megváltoztathatja azt az egyetlen jelszót, és biztonságban érzi magát, ha tudjuk, hogy ez az egyik ismert jelszó nem teszi a hackereknek semmit..
Miután megkeményedte a jelszavakat, kapcsolja be a két faktorú hitelesítést bármelyik webhelyen, amely azt kínálja. A Facebook kétfaktoros hitelesítést kínál, így azt is be kell állítani. A legjobb két faktorú hitelesítés egy okostelefonra épülő alkalmazásra támaszkodik, amely gyakran új kódot generál, vagy egy fizikai kulcsot, melyet Ön tart. Míg az SMS alapú két faktorú hitelesítés jobb, mint a semmi, még mindig érzékeny a szociális mérnöki technikákra. Tehát, ha hitelesítő alkalmazásra vagy fizikai kulcsra támaszkodhat. És készítsen biztonsági másolatot, ha valami történik a telefonnal vagy a billentyűvel.
Ezzel a kombinációval a fiókja sokkal biztonságosabb, függetlenül a Facebook jelszavairól. Legalább jelszókezelőt és egyedi jelszavakat kell használnia, de a két tényezővel történő hitelesítéssel kombinált fájlok használata jobb.
Ne pánik; Élvezze a kényelmet
Ami a Facebook jelszavas politikáját illeti, könnyű aggódni, hogy kevésbé biztonságos, de a valóság az, hogy az előnyök meghaladják a kockázatokat. A biztonság kiegyensúlyozó aktus. Minél inkább zárol egy rendszert, annál kevésbé kényelmes a hozzáférés. De ha kényelmesebb hozzáférést ad, elveszíti a biztonságot. A trükk a megfelelő összegek megszerzése mind a védelme érdekében a felhasználókat anélkül, hogy frusztrálná őket. Itt a Facebook hibás a felhasználó könnyedén, és ez valószínűleg elfogadható döntés.