Facebook Fudges dit kodeord for din bekvemmelighed
Hvis du tror, at den eneste korrekte version af dit kodeord er den nøjagtige kapitalisering og bogstav / symbolsekvens du bruger, kan du være i et chok. Facebook vil acceptere små variationer af dit kodeord, for din bekvemmelighed. Og det er helt sikkert.
Passwords er nemme at mistype
Facebook og andre websteder som det har et problem. De vil gerne have dig til at bruge lange og komplicerede adgangskoder, men det er svært at skrive. Du skal bruge en adgangskodeadministrator til at tage sig af det for dig, men de fleste mennesker gør det ikke. Og på grund af disse to faktorer er det almindeligt at mistype din adgangskode.
På det tidspunkt hvad skal Facebook gøre?
Skal de nægte dig adgang, bare fordi din adgangskode var lidt ude og frustrere dig med et andet forsøg? Eller skal de erkende, at den angivne adgangskode var sandsynligvis korrekt, men med en typografi og glatte din rejse til kat gifs og baby billeder ved at ignorere fejlen?
Facebook evaluerer fejl i adgangskoder
Som Alec Muffet, en tidligere software ingeniør for sikkerhedsinfrastrukturholdet på Facebook Engineering i London forklarer, valgte Facebook sidstnævnte. Hvis din adgangskode er meget tæt på korrekt, kan de tælle den som korrekt. Reglerne for dette er ligetil. Facebook accepterer en forkert adgangskode, hvis den opfylder en af disse betingelser:
- Du har kasketlås tændt, og kapitaliseringerne vender tilbage.
- Du indtaster et ekstra tegn i begyndelsen eller slutningen af et kodeord
- Den første karakter af adgangskoden skal være små bogstaver, men du har skrevet den aktiveret
Som du kan se, er disse variationer alle centreret omkring det grundlæggende koncept om lidt manglende dit kodeord, når du skriver. I nogle tilfælde kan dette være et problem med autokorrektion, ligesom det første bogstav i et ord bliver aktiveret. Hvis din mistyped kodeord opfylder disse specifikke regler, ved du ikke, at der var et problem. Du finder bare dig selv logget ind.
For eksempel, lad os sige, at dit kodeord er "letMeIn." Facebook accepterer også "LETmEiN" (fordi det er en omvendt caps lock reversal) og "LetMeIn" (fordi det er forkert kapital til første bogstav). Det accepterer også variationer som "1letMeIn" og "letMeIn2", fordi de er korrekte med undtagelse af et ekstra tegn i begyndelsen eller slutningen. Det accepterer dog ikke "LETMEIN", "letmein" eller "12LetMeIn" overhovedet.
Denne proces er stadig sikker
Seasontime / ShutterstockVed første rødme lyder Facebooks password lethed usikkert. Men i dette tilfælde er sandheden mere kompliceret. Selvom det er nemt at tænke på gamle hackerkriminalitetsdramaer, der viste hurtig brute force gætte på et kodeord på få minutter, virker hacking slet ikke sådan. Brute tvinger ukendte adgangskoder eksisterer, men det er meget anderledes end tv indebærer. Som xkcd demonstrerer berømt, når længden af en adgangskode stiger, øges klokkeslættet også eksponentielt. Tilføjelse af kompleksitet hjælper, men ikke så meget som du måske tror.
Så en af scenarierne, som Facebook tillader, et ekstra tegn i begyndelsen eller slutningen af adgangskoden, ville være endnu sværere at brute force. Hackere ville allerede nødt til at have den korrekte adgangskode, før de gjorde det til adgangskoden plus et ekstra tegn.
Af særlig interesse er caps lock-scenariet. Jeg testede dette ved først at manuelt skrive min adgangskode i notesblok, vende sagen og derefter indsætte det pågældende resultat i Facebook. Det nægtede adgangskoden. Jeg tændte derefter caps lås og skrev min adgangskode, som om cap lås var slukket og dermed reversere sagen. Det forsøg var vellykket, og jeg blev logget ind. Facebook kontrollerer ikke kun, hvad adgangskoden er, men hvordan du indtaster det. Brute Force vil ikke hjælpe i det scenario, uden at simulere caps lås, hvilket ville være sværere end blot at sigte på den egentlige adgangskode.
Opdatering: Som informationskonsulent Paul Moore påpeger på Twitter, er Facebook for det meste sandsynligvis kun gemt dit originale kodeord (korrekt hashed og saltet) og ikke varianterne af dit kodeord. Når du sender en adgangskode til at logge ind, er den tjekket mod din oprindelige adgangskode. Hvis det ikke stemmer overens, kører Facebook din indsendte adgangskode gennem disse variationer. For eksempel, hvis din Caps Lock er aktiveret, tager Facebook din indsendte adgangskode, reverserer bogstavernes bogstaver og prøver igen. Hvis det ikke virker, prøver Facebook igen med det næste scenario. I det væsentlige gør Facebook det, som du ville have gjort ved at få en "forkert adgangskode" besked-kontrol af en utilsigtet fejl i den indtastede adgangskode og korrigere den. Det gør hele processen mindre frustrerende for dig. Dette mindsker ikke sikkerheden, fordi der stadig er en vis ide om den korrekte adgangskode, og de accepterede variationer er smalle.
Endnu vigtigere er brute force metoder ikke den primære metode til at få adgang til sociale netværk og andre konti. Social engineering og password dumps er meget enklere at bruge. Hvis du har spørgsmål om tilbagestilling af adgangskode, er der en anstændig chance, at mindst nogle af svarene er offentligt tilgængelige oplysninger. Hvis dit nulstillingsspørgsmål handler om din fødested, moderens pigenavn eller gymnasiet, så er det muligt at spore svaret nede. På det tidspunkt kan en dårlig skuespiller nulstille din adgangskode, hvilket gør det nødvendigt at gætte eller bestemme selve adgangskoden selv.
Desværre bruger mange mennesker stadig den samme e-mail og adgangskodekombination på hvert websted, der kræver loginoplysninger. Du behøver ikke at se langt for at finde forekomst efter forekomst af databrud. Hvis du bruger den samme e-mail- og adgangskombination på mere end et sted og har været i mange år, så er dine adgangskoder sårbarheden, ikke Facebooks politikker.
Hvis du ikke er sikker på, om du har været offer for et brud, skal du gå til haveibeenpwned.com og kontrollere, om dit password er blevet stjålet. Chancerne er, at du i hvert fald har haft en eller anden konto i fare.
Du bør altid sikre dine konti
Nicescene / Shutterstock.comHvis du stadig er bekymret over, at denne politik efterlader dig sårbar, er der trin, du kan tage. Det første skridt er at stoppe med at bruge samme adgangskode til hvert websted. I stedet får du en adgangskodeadministrator og lad det generere unikke lange adgangskoder til alle de forskellige websteder, du bruger. Så næste gang du ser, at et websted du har brugt, er blevet kompromitteret, kan du bare ændre det ene kodeord og føle dig trygt ved at vide, at dette ene kendte kodeord ikke vil gøre hackerne noget godt.
Når du har hærdet dine adgangskoder, skal du aktivere tofaktorautentificering på ethvert websted, der tilbyder det. Facebook tilbyder tofaktorautentificering, så du bør også opsætte det der. Den bedste tofaktorautentificering er afhængig af en app med din smartphone, der genererer en ny kode ofte eller en fysisk nøgle, du holder med dig. Mens SMS-baseret tofaktorautentificering er bedre end ingenting, er den stadig sårbar over for teknikker til social teknik. Så hvis du kan stole på en autentiseringsapp eller en fysisk nøgle, skal du. Og få en backup på plads, hvis der sker noget med din telefon eller nøgle.
Med denne kombination er din konto langt mere sikker uanset Facebooks adgangskodepolitik. Du skal i det mindste bruge en adgangskodeadministrator og unikke adgangskoder, men det er bedre at bruge dem i kombination med tofaktorautentificering.
Ikke panik; Nyd bekvemmeligheden
Med hensyn til Facebooks adgangskodepolitik er det let at bekymre sig om, at det er mindre sikkert, men virkeligheden er fordelene opvejer risiciene. Sikkerhed er en balancehandling. Jo mere du låser et system, jo mindre praktisk er det at få adgang til. Men som du tilføjer mere bekvem adgang, mister du sikkerhed. Tricket får de rigtige mængder af begge til at beskytte dine brugere uden at frustrere dem. Facebook fejlagtigt på siden af brugervenlighed her, og det er nok en acceptabel beslutning.