Вверх

Facebook подделывает ваш пароль для вашего удобства

4 февраля 2021 |

Facebook подделывает ваш пароль для вашего удобства

Facebook login screen

Если вы думаете, что единственно правильная версия вашего пароля — это точная последовательность заглавных букв и букв / символов, которые вы используете, вы можете быть в шоке. Facebook примет небольшие изменения вашего пароля для вашего удобства. И это совершенно безопасно.

Пароли легко ввести неверно

У Facebook и других подобных сайтов есть проблемы. Они хотят, чтобы вы использовали длинные и сложные пароли, но их сложно ввести. Вы должны использовать менеджер паролей, чтобы позаботиться об этом за вас, но большинство людей этого не делают. И из-за этих двух факторов часто неправильно вводят пароль.

Что делать в этот момент Facebook?

Должны ли они отказывать вам во входе только потому, что ваш пароль был немного неправильным, и расстраивать вас со второй попытки?Или им следует признать, что предоставленный пароль, вероятно, был правильным, но с опечаткой, и упростить ваш путь к гифкам с котиками и детскими картинками, проигнорировав ошибку?

Facebook оценивает ошибки в паролях

Как Алек Маффет, бывший инженер-программист компании Команда инфраструктуры безопасности в Facebook Engineering в Лондоне объясняет, что Facebook выбрал последнее. Если ваш пароль очень близок к правильному, они могут посчитать его точным. Правила для этого просты.Facebook примет неверный пароль, если он соответствует любому из следующих условий:

  • У вас включен режим Caps Lock, а заглавные буквы поменяны местами.
  • Вы вводите дополнительный символ в поле начало или конец пароля
  • Первый символ пароля должен быть в нижнем регистре, но вы ввели его с заглавной буквы

Как видите, все эти варианты сосредоточены вокруг базовая концепция небольшого отсутствия пароля при наборе. В некоторых случаях это может быть проблема автокоррекции, например, заглавная первая буква слова. Если ваш неправильно введенный пароль соответствует этим правилам, вы не узнаете, что возникла проблема — вы просто войдете в систему.

Например, допустим, ваш пароль — «letMeIn». Facebook также примет «LETmEiN» (потому что это прямая перестановка заглавной буквы) и «LetMeIn» (потому что это неправильная заглавная буква для первой буквы). Он также будет принимать такие варианты, как «1letMeIn» и «letMeIn2», потому что они верны, за исключением дополнительного символа в начале или в конце. Однако он вообще не принимает «LETMEIN», «letmein» или «12LetMeIn».

Этот процесс по-прежнему безопасен person looking at Facebook on a laptop Seasontime / Shutterstock

На первый взгляд, снисходительность пароля Facebook звучит небезопасно. Но в этом случае правда сложнее. В то время как легко вспомнить старые криминальные драмы о хакерах, в которых был показан быстрый перебор пароля за считанные минуты, взлом не работает таким образом. Грубая форсировка неизвестных паролей существует, но это совсем не то, что предполагает телевидение. Как хорошо известно xkcd, с увеличением длины пароля время его взлома также увеличивается в геометрической прогрессии. Добавление сложности помогает, но не так сильно, как вы думаете.

Таким образом, один из сценариев, которые допускает Facebook, дополнительный символ в начале или в конце пароля, будет еще сложнее подобрать. Хакерам уже потребуется правильный пароль, прежде чем они попадут в пароль, плюс дополнительный символ.

Особый интерес представляет сценарий Caps Lock. Я проверил это, сначала вручную набрав пароль в блокноте, изменив регистр в обратном порядке, а затем вставив результат в Facebook. Он отрицал этот пароль. Затем я включил Caps Lock и набрал свой пароль, как если бы Caps Lock был отключен, таким образом изменив регистр. Эта попытка была успешной, и я вошел в систему. Facebook не только проверяет пароль, но и то, как вы его вводите. Грубая сила не поможет в этом сценарии, за исключением имитации Caps Lock, что было бы сложнее, чем просто нацелиться на настоящий пароль.

Обновление. Как отмечает в Twitter консультант по информационной безопасности Пол Мур, Facebook, скорее всего, хранит только ваш исходный пароль (правильно хешированный и соленый), а не варианты вашего пароля. Когда вы отправляете пароль для входа в систему, он сравнивается с исходным паролем. Если он не совпадает, Facebook обрабатывает отправленный вами пароль через эти варианты. Например, если у вас включен Caps Lock, Facebook берет отправленный пароль, меняет заглавные буквы на обратный и пытается снова. Если это не сработает, Facebook попробует еще раз со следующим сценарием. По сути, Facebook делает то, что вы сделали бы, получив сообщение «неправильный пароль», — проверяет случайную ошибку в набранном пароле и исправляет ее. Это сделает весь процесс менее утомительным. Это не снижает уровень безопасности, поскольку все еще необходимо некоторое представление о правильном пароле, а принятые варианты узкие.

Что еще более важно, методы грубой силы не являются основным методом получения доступа к социальным сетям и другим учетные записи. Социальная инженерия и дампы паролей намного проще в использовании. Если у вас есть вопросы по сбросу пароля, есть большая вероятность, что по крайней мере некоторые из ответов являются общедоступной информацией. Если ваш вопрос сброса касается вашего места рождения, девичьей фамилии матери или школьного талисмана, то вы можете найти ответ. В тот момент, плохой актер может изменить свой пароль, что делает любую потребность угадать или определить сам пароль полностью спорно.

<р0> К сожалению, многие люди все еще используют один и тот же адрес электронной почты и комбинации паролей на каждом сайте, который требует учетные данные для входа. Вам не нужно далеко ходить, чтобы найти случай за экземпляром утечки данных. Если вы используете одну и ту же комбинацию адреса электронной почты и пароля более чем в одном месте и использовали это в течение многих лет, то уязвимостью являются ваши пароли, а не политика Facebook.

Если вы не уверены, что вы стали жертвой взлома, перейдите на сайт haveibeenpwned.com и проверьте, не был ли украден ваш пароль. Скорее всего, у вас был взломан хотя бы какой-то аккаунт.

Всегда защищайте свои аккаунты username and password logon Nicescene / Shutterstock.com

Если вас все еще беспокоит, что эта политика делает вас уязвимыми, вы можете предпринять некоторые шаги. Первый шаг — перестать использовать один и тот же пароль для всех сайтов. Вместо этого возьмите менеджер паролей и позвольте ему генерировать уникальные длинные пароли для каждого используемого вами сайта. Затем, когда вы в следующий раз увидите, что веб-сайт, который вы использовали, был взломан, вы можете изменить только этот пароль и чувствовать себя в безопасности, зная, что этот известный пароль не принесет хакерам никакой пользы.

После того, как вы укрепите свои пароли, включите двухфакторную аутентификацию на любом сайте, который ее предлагает. Facebook предлагает двухфакторную аутентификацию, поэтому вам также следует настроить ее там. Лучшая двухфакторная аутентификация полагается на приложение на вашем смартфоне, которое часто генерирует новый код, или физический ключ, который вы держите при себе. Хотя двухфакторная аутентификация на основе SMS лучше, чем ничего, она все же уязвима для методов социальной инженерии. Так что, если вы можете полагаться на приложение для аутентификации или физический ключ, вам следует это сделать. И имейте резервную копию на случай, если что-то случится с вашим телефоном или ключом.

С этой комбинацией ваша учетная запись будет намного безопаснее, независимо от политики паролей Facebook. Вы должны как минимум использовать менеджер паролей и уникальные пароли, но лучше использовать их в сочетании с двухфакторной аутентификацией.

Не паникуйте, наслаждайтесь удобством

Что касается политики паролей Facebook, легко беспокоиться, что она менее безопасна, но на самом деле преимущества перевешивают риски. Безопасность — это баланс. Чем больше вы блокируете систему, тем менее удобный доступ к ней. Но по мере того, как вы добавляете более удобный доступ, вы теряете безопасность. Хитрость заключается в том, чтобы получить правильное количество обоих, чтобы защитить ваших пользователей, не расстраивая их.Facebook ошибся в том, чтобы упростить пользователю задачу, и это, вероятно, приемлемое решение.

Facebook подделывает ваш пароль для вашего удобства


Напишите пару строк: