Facebook pretvara vašu zaporku u Vašu udobnost
Ako mislite da je jedina ispravna inačica vaše zaporke točna upotreba velikih i malih slova / simbola, možda ste u šoku. Facebook će prihvatiti male varijacije vaše zaporke radi vaše udobnosti. I to je savršeno sigurno.
Lozinke su lako pogrešne
Facebook i druge stranice poput njega imaju problem. Željeli biste da koristite duge i komplicirane lozinke, ali to je teško unijeti. Trebali biste koristiti upravitelja zaporki da biste se pobrinuli za to, ali većina ljudi to ne čini. Zbog tih dvaju čimbenika uobičajeno je da pogrešno ukucavate zaporku.
U tom trenutku što treba učiniti Facebook?
Trebaju li ti uskratiti unos samo zato što je tvoja lozinka malo isključena, i frustrira te drugim pokušajem? Ili bi trebali prepoznati da je zajamčena zaporka točna, ali s pogrešnom pravopisnom pogreškom i glatkom putovanju do mačke gif i bebi slika zanemarivanjem pogreške?
Facebook procjenjuje pogreške u zaporkama
Kao što objašnjava Alec Muffet, bivši softverski inženjer tima za sigurnosnu infrastrukturu na Facebook Engineering u Londonu, Facebook je odabrao drugo. Ako je vaša lozinka vrlo blizu ispraviti, oni je mogu smatrati točnima. Pravila za ovo su jasna. Facebook će prihvatiti pogrešnu lozinku ako ispunjava bilo koji od ovih uvjeta:
- Uključili ste zaključavanje poklopaca i obrnute su kapitalizacije.
- Na početku ili kraju zaporke unosite dodatni znak
- Prvi znak lozinke trebao bi biti malim slovima, ali ste ga upisali velikim slovima
Kao što možete vidjeti, ove varijacije su usredotočene oko osnovnog koncepta da vam je mala lozinka pri upisivanju. U nekim slučajevima to može biti problem s automatskim ispravljanjem, poput prvog slova riječi koja se kapitalizira. Ako vaša pogrešno unesena lozinka zadovoljava ta specifična pravila, nećete znati da je došlo do problema - jednostavno ćete se prijaviti.
Na primjer, recimo da je vaša lozinka "letMeIn." Također će prihvatiti varijacije poput "1letMeIn" i "letMeIn2" jer su točne, osim dodatnog znaka na početku ili kraju. Međutim, neće uopće prihvatiti "LETMEIN", "letmein" ili "12LetMeIn".
Taj je proces još uvijek siguran
Seasontime / ShutterstockNa prvi pogled, Facebookova lozinka blagosti zvuči nesigurno. Ali u ovom slučaju, istina je složenija. Iako je lako zamisliti stare drame hakerskih zločina koje su pokazivale brzu silu nagađanja za lozinku u samo nekoliko minuta, sjeckanje uopće ne funkcionira na taj način. Grubo prisiljavanje nepoznatih lozinki ne postoji, ali je vrlo drukčije od onoga što TV implicira. Kao što xkcd slavno demonstrira, kako se duljina lozinke povećava, vrijeme za ispucavanje također raste eksponencijalno. Dodavanje složenosti pomaže, ali ne onoliko koliko možda mislite.
Dakle, jedan od scenarija koje Facebook dopušta, dodatni znak na početku ili kraju lozinke, bio bi još teži za grubu silu. Hakeri bi već trebali imati ispravnu lozinku prije nego što su došli do zaporke plus dodatni znak.
Od posebnog interesa je scenarij caps lock. Ovo sam testirao tako da sam ručno upisao svoju lozinku u bilježnicu, preokrenuo slučaj, a zatim rezultat zalijepio u Facebook. On je odbio tu lozinku. Zatim sam uključio zaključavanje kapica i upisao svoju lozinku kao da je zaključavanje poklopca isključeno, čime je slučaj zaustavljen. Taj je pokušaj bio uspješan, a ja sam bio prijavljen. Facebook ne samo da provjerava što je lozinka, nego i kako je unesete. Brute Force neće pomoći u tom scenariju, osim u simulaciji zaključavanja kapa, što bi bilo teže nego samo ciljanje stvarne lozinke.
ažuriranje: Kao što savjetnik za informacijsku sigurnost Paul Moore ističe na Twitteru, Facebook je najvjerojatnije samo pohranio vašu izvornu lozinku (ispravno raspršenu i soljenu), a ne varijacije vaše lozinke. Kada pošaljete lozinku za prijavu, ona se provjerava prema izvornoj zaporci. Ako se ne podudara, Facebook pokreće vašu poslanu lozinku putem ovih varijacija. Na primjer, ako je Caps Lock uključen, Facebook uzima vašu poslanu lozinku, obrće velika slova slova i pokušava ponovno. Ako to ne uspije, Facebook pokušava ponovno sa sljedećim scenarijem. U suštini, Facebook radi ono što biste vi učinili nakon dobivanja "pogrešne lozinke" za provjeru poruke za slučajnu pogrešku u upisanoj lozinki i njezinu ispravku. To za vas čini cijeli proces manje frustrirajućim. To ne smanjuje sigurnost, jer je još uvijek potrebna određena ideja ispravne lozinke i prihvaćene varijacije su uske.
Još važnije, metode brutalne sile nisu primarna metoda za pristup društvenim mrežama i drugim računima. Društveni inženjering i deponije lozinki mnogo su jednostavniji za korištenje. Ako imate pitanja za poništavanje zaporke, postoji prilična šansa da su barem neki od odgovora javno dostupni. Ako je vaše pitanje o ponovnom postavljanju vezano uz vaše rodno mjesto, majčino djevojačko prezime ili maskotu srednje škole, moguće je pratiti odgovor. U tom trenutku, loš glumac može poništiti vašu lozinku, čineći svaku potrebu da pogađa ili određuje samu lozinku u potpunosti.
Nažalost, mnogi ljudi još uvijek koriste istu kombinaciju e-pošte i zaporke na svakoj web-lokaciji koja zahtijeva vjerodajnice za prijavu. Ne morate gledati daleko da biste pronašli primjerak nakon primjera kršenja podataka. Ako koristite istu kombinaciju e-pošte i zaporke na više od jednog mjesta, a već godinama, lozinke su ranjivost, a ne pravila tvrtke Facebook.
Ako niste sigurni jeste li bili žrtva kršenja, idite na haveibeenpwned.com i provjerite je li vaša lozinka ukradena. Vjerojatno ste negdje imali barem neki kompromitirani račun.
Trebali biste uvijek osigurati račune
Nicescene / Shutterstock.comAko ste još uvijek zabrinuti da vas ova pravila ostavljaju ranjivima, postoje koraci koje možete poduzeti. Prvi korak je prestati koristiti istu lozinku za svaku web-lokaciju. Umjesto toga, dođite do upravitelja zaporki i pustite ga da generira jedinstvene duge zaporke za svaku različitu web-lokaciju koju koristite. Zatim, sljedeći put kada vidite da je web-lokacija koju ste koristili ugrožena, možete promijeniti samo tu zaporku i sigurno se osjećati znajući da ova poznata zaporka neće učiniti dobro hakerima.
Nakon što ste učvrstili zaporke, uključite autentifikaciju s dva faktora na bilo kojoj web-lokaciji koja to nudi. Facebook nudi autentifikaciju u dva faktora, tako da je trebate postaviti i tamo. Najbolja autentifikacija s dva faktora temelji se na aplikaciji s pametnim telefonom koja često generira novi kôd ili fizički ključ koji imate kod sebe. Iako je dvostruka autentikacija temeljena na SMS-u bolja nego ništa, još je uvijek podložna tehnikama socijalnog inženjeringa. Dakle, ako se možete osloniti na aplikaciju za autentifikaciju ili fizički ključ, trebali biste. Imajte sigurnosnu kopiju u slučaju da se nešto dogodi s vašim telefonom ili ključem.
S ovom kombinacijom vaš je račun daleko sigurniji bez obzira na pravila o zaporkama za Facebook. Trebali biste barem koristiti upravitelja zaporki i jedinstvene lozinke, ali bolje je koristiti one u kombinaciji s autentifikacijom s dva faktora.
Ne paniči; Uživajte u udobnosti
Što se tiče politike lozinki za Facebook, lako je brinuti da je manje sigurna, ali stvarnost je da prednosti nadmašuju rizike. Sigurnost je čin ravnoteže. Što više zatvarate sustav, to mu je lakše pristupiti. No, dok dodajete praktičniji pristup, gubite sigurnost. Trik je dobiti prave iznose kako biste zaštitili svoje korisnike bez da ih frustrirate. Facebook je pogriješio na strani korisnika, a to je vjerojatno prihvatljiva odluka.