Фацебоок фудгес вашу лозинку за вашу удобност
Ако мислите да је једина исправна верзија ваше лозинке тачна капитализација и редослијед слова / симбола који користите, можда сте у шоку. Фацебоок ће прихватити мале варијације ваше лозинке, ради ваше удобности. И савршено је сигурно.
Лозинке су лако погрешне
Фацебоок и други сајтови попут њега имају проблем. Желе да користите дугачке и компликоване лозинке, али оне су тешке за куцање. Требало би да користите менаџер лозинки да бисте се побринули за то, али већина људи то не чини. И због тих два фактора, уобичајено је да погрешно унесете лозинку.
У том тренутку шта треба да уради Фацебоок?
Да ли би требало да вам ускрате унос само зато што је ваша лозинка била мало искључена, и вас фрустрирали другим покушајем? Или би требало да препознају да је дата лозинка вероватно тачна, али да је погрешно откуцана грешка и олакшати путовање до мачке и беби слике игноришући грешку?
Фацебоок процењује грешке у лозинкама
Као што објашњава Алец Муффет, бивши софтверски инжењер за сигурносну инфраструктуру на Фацебоок Енгинееринг у Лондону, Фацебоок је изабрао друго. Ако је ваша лозинка веома близу исправљања, они је могу сматрати тачним. Правила за ово су јасна. Фацебоок ће прихватити погрешну лозинку ако испуњава било који од ових услова:
- Укључили сте закључавање поклопаца, а капитализације су обрнуте.
- На почетку или крају лозинке уносите додатни знак
- Први знак лозинке треба да буде мален, али сте га откуцали великим словима
Као што можете видети, све ове варијације су усредсређене на основни концепт незнатног недостатка лозинке приликом куцања. У неким случајевима, ово може бити питање аутоматског исправљања, као прво слово ријечи која се капитализира. Ако ваша погрешно унесена лозинка задовољава ова специфична правила, нећете знати да је дошло до проблема - једноставно ћете се пријавити.
На пример, рецимо да је ваша лозинка "летМеИн." Фацебоок ће такође прихватити "ЛЕТМЕиН" (зато што је то преокретање правоугаоних капа) и "ЛетМеИн" (јер то је нетачан капитал за прво слово). Такође ће прихватити варијације као што су "1летМеИн" и "летМеИн2" јер су оне тачне, осим додатног знака на почетку или крају. Међутим, он уопште неће прихватити „ЛЕТМЕИН“, „летмеин“ или „12ЛетМеИн“.
Овај процес је још увек сигуран
Сеасонтиме / СхуттерстоцкНа први поглед, Фацебоок-ова лозинка благостања звучи несигурно. Али у овом случају, истина је компликованија. Иако је лако замислити старе драме хакерских злочина које су показивале брзу силу нагађања за лозинку у само неколико минута, хаковање уопште не функционише на тај начин. Грубо присиљавање непознатих лозинки постоји, али је веома различито од ТВ импликација. Као што ккцд славно демонстрира, како се дужина лозинке повећава, вријеме за крекање се такођер повећава експоненцијално. Додавање сложености помаже, али не онолико колико мислите.
Дакле, један од сценарија које Фацебоок дозвољава, додатни карактер на почетку или крају лозинке, био би још тежи за грубу силу. Хакери би већ морали да имају исправну лозинку пре него што су дошли до лозинке и додатног карактера.
Од посебног интереса је сценариј цапс лоцк. Тестирао сам ово тако што сам прво ручно унио лозинку у нотепад, преокренуо случај, а затим налепио тај резултат на Фацебоок. Он је одбио ту лозинку. Затим сам укључио цапс лоцк и откуцао своју лозинку као да је закључавање капице искључено, чиме је случај окренут уназад. Тај покушај је био успешан, и ја сам био пријављен. Фацебоок није само проверавао шта је лозинка, већ и како је уносите. Бруте Форце неће помоћи у том сценарију, без симулације закључавања капа, што би било теже него само циљање стварне лозинке.
ажурирање: Као што консултант за информациону безбедност Паул Мооре истиче на Твиттер-у, Фацебоок је углавном вероватно само складиштење ваше оригиналне лозинке (правилно исфорсиране и сољене), а не и варијација ваше лозинке. Када пошаљете лозинку за пријаву, она се провјерава у односу на оригиналну лозинку. Ако се не подудара, Фацебоок покреће вашу послану лозинку преко ових варијација. На пример, ако је Цапс Лоцк укључен, Фацебоок преузима вашу пријављену лозинку, обрће капитализацију слова и покушава поново. Ако то не успије, Фацебоок покушава поново са сљедећим сценаријем. У суштини, Фацебоок ради оно што би сте урадили након што сте добили „погрешну лозинку“ за провјеру поруке за случајну грешку у куцању лозинке и исправку. То чини цијели процес мање фрустрирајућим за вас. Ово не смањује сигурност, јер је још увијек потребна идеја о исправној лозинки и прихваћене варијације су уске.
Још важније, методе бруталне силе нису примарни метод за приступ друштвеним мрежама и другим рачунима. Социјални инжењеринг и депоније лозинки су много једноставнији за употребу. Ако имате питања за поништавање лозинке, постоји пристојна шанса да су барем неки од одговора јавно доступни. Ако је ваше питање о поновном постављању везано за ваше родно мјесто, мајчино дјевојачко презиме или маскоту средње школе, онда је могуће пратити одговор. У том тренутку, лош глумац може да ресетује вашу лозинку, чинећи било какву потребу да погоди или одреди саму лозинку у потпуности.
Нажалост, многи људи још увијек користе исту комбинацију е-поште и лозинке на свим веб-локацијама које захтијевају вјеродајнице за пријаву. Не морате гледати далеко да бисте пронашли примјере након примјера кршења података. Ако користите исту комбинацију е-поште и лозинке на више од једног места, а већ годинама, онда су ваше лозинке рањивост, а не смернице за Фацебоок.
Ако нисте сигурни да ли сте били жртва кршења, идите на хавеибеенпвнед.цом и проверите да ли је ваша лозинка украдена. Вјероватно сте негдје имали барем неки компромитирани рачун.
Увек треба да обезбедите своје рачуне
Ницесцене / Схуттерстоцк.цомАко сте још увијек забринути да вас ова политика оставља рањивим, постоје кораци које можете подузети. Први корак је да престанете да користите исту лозинку за сваки сајт. Уместо тога, дођите до менаџера лозинки и дозволите да генерише јединствене дуге лозинке за сваки други сајт који користите. Затим, следећи пут када видите да је веб локација коју сте користили компромитована, можете да промените само ту лозинку и да се осећате безбедно знајући да ова позната лозинка неће учинити хакере добрим.
Након што сте учврстили своје лозинке, укључите аутентификацију са два фактора на било ком сајту који га нуди. Фацебоок нуди аутентификацију у два фактора, тако да је и ви морате поставити тамо. Најбоља аутентикација са два фактора заснива се на апликацији са паметним телефоном која често генерише нови код или физички кључ који имате са собом. Иако је аутентикација са два фактора заснована на СМС-у боља него ништа, још увек је подложна техникама социјалног инжењеринга. Дакле, ако се можете ослонити на апликацију за аутентификацију или физички кључ, требали бисте. И имате резервну копију у случају да се нешто догоди са вашим телефоном или кључем.
Са овом комбинацијом, ваш налог је далеко сигурнији без обзира на политику лозинки за Фацебоок. У најмању руку треба да користите менаџер лозинки и јединствене лозинке, али боље је користити их у комбинацији са аутентификацијом у два фактора.
Дон'т Паниц; Ењои тхе Цонвениенце
Што се тиче лозинке за Фацебоок, лако је бринути да је мање сигурна, али стварност је да користи превазилазе ризике. Безбедност је балансирање. Што више блокирате систем, то му је лакше приступити. Али како додајете лакши приступ, губите сигурност. Трик је да добијете праву количину како бисте заштитили своје кориснике без да их фрустрирате. Фацебоок је погријешио на страни корисника, а то је вјеројатно прихватљива одлука.