Facebook Fudges Jūsu parole Jūsu ērtībai
Ja jūs domājat, ka vienīgā pareizā paroles versija ir precīza kapitalizācija un burtu / simbolu secība, ko izmantojat, jums var būt šoks. Jūsu ērtībai Facebook pieņems nelielas paroles izmaiņas. Un tas ir pilnīgi droši.
Paroles ir viegli lietojamas
Facebook un citām vietnēm, piemēram, tā ir problēma. Viņi vēlas, lai jūs izmantotu garas un sarežģītas paroles, bet tās ir grūti ierakstīt. Jums vajadzētu izmantot paroles pārvaldnieku, lai to rūpētos par jums, bet lielākā daļa cilvēku to nedara. Un tāpēc, ka šie divi faktori ir nepareizi, jūsu parole netiek ievadīta.
Tajā brīdī, ko vajadzētu darīt Facebook?
Ja viņi liedz jums ievadīt tikai tāpēc, ka jūsu parole ir nedaudz izslēgta, un jūs neapmierināt ar otru mēģinājumu? Vai arī viņiem jāatzīst, ka sniegtā parole, visticamāk, ir pareiza, bet ar nepareizu kļūdu un vienmērīgu braucienu uz kaķu gifiem un bērnu attēliem, ignorējot kļūdu?
Facebook novērtē kļūdas parolēs
Kā paskaidroja Alec Muffet, bijušais programmatūras inženieris drošības infrastruktūru komandai Facebook Engineering Londonā, Facebook izvēlējās pēdējo. Ja jūsu parole ir ļoti tuvu pareizai, tās var uzskatīt to par precīzu. To noteikumi ir vienkārši. Facebook pieņems nepareizu paroli, ja tā atbilst kādam no šiem nosacījumiem:
- Ir ieslēgta vāciņu bloķēšana, un kapitalizācija tiek mainīta.
- Paroles sākumā vai beigās ievadāt papildu rakstzīmi
- Paroles pirmajai rakstzīmei vajadzētu būt mazajiem burtiem, bet to ievadījāt kapitalizētā veidā
Kā redzat, šīs variācijas ir centrētas ap pamatkoncepciju, kad mašīnrakstīšanas laikā trūkst jūsu paroles. Dažos gadījumos tas var būt automātiskas korekcijas jautājums, piemēram, lielā burta pirmais burts. Ja jūsu nederīgā parole atbilst šiem īpašajiem noteikumiem, jūs nezināt, ka radās problēma.
Piemēram, pieņemsim, ka jūsu parole ir “letMeIn”. Facebook arī pieņems “LETmEiN” (jo tas ir taisnās vāciņu bloķēšanas atcelšana) un „LetMeIn” (jo tas ir nepareizs kapitāls pirmajam burtam). Tā pieņems arī tādus variantus kā “1letMeIn” un “letMeIn2”, jo tie ir pareizi, izņemot papildu rakstzīmi sākumā vai beigās. Tomēr tas vispār nepieņems “LETMEIN”, “letmein” vai “12LetMeIn”.
Šis process joprojām ir drošs
Seasontime / ShutterstockSākotnēji noskūties, Facebook paroles saudzīgums izklausās nedroši. Bet šajā gadījumā patiesība ir sarežģītāka. Kaut gan ir viegli iedomāties vecās hakeru noziegumu drāmas, kas parādīja ātru brutālu spēku, kas minūti paroles laikā tikai minūšu laikā, hacking vispār nedarbojas. Pastāv brutālas nezināmas paroles, taču tas ir ļoti atšķirīgs no TV. Tā kā xkcd slaveni parāda, ka paroles garums palielinās, eksponenciāli palielinās arī laiks, lai kreka. Sarežģītības pievienošana palīdz, bet ne tik daudz, cik jūs varētu domāt.
Tāpēc viens no scenārijiem, ko Facebook atļauj, papildu raksturs paroles sākumā vai beigās būtu vēl grūtāks. Hackeriem jau ir jābūt pareizai parolei, pirms tie tiek ievadīti parolē, kā arī papildu raksturs.
Īpaši interesanti ir vāciņu bloķēšanas scenārijs. Es to izmēģināju, vispirms manuāli ievadot savu paroli notepad, atkārtojot lietu, pēc tam ielīmējot šo rezultātu Facebook. Tā noraidīja šo paroli. Tad es ieslēdzu vāciņu slēdzeni un ierakstīju savu paroli, it kā vāciņu bloķēšana būtu izslēgta, tādējādi mainot lietu. Šis mēģinājums bija veiksmīgs, un es biju pieteicies. Facebook ne tikai pārbauda, kas ir parole, bet arī kā to ievadāt. Brutālie spēki nepalīdzēs šajā scenārijā, nespējot simulēt vāciņu bloķēšanu, kas būtu grūtāk, nekā tikai mērķēt uz faktisko paroli.
Atjaunināt: Tā kā informācijas drošības konsultants Pauls Moore norāda uz čivināt, Facebook visdrīzāk tikai saglabā jūsu sākotnējo paroli (pareizi sakopts un sālīts), nevis jūsu paroles variācijas. Kad iesniedzat paroli, lai pieteiktos, tā tiek pārbaudīta, izmantojot sākotnējo paroli. Ja tas neatbilst, Facebook, izmantojot šīs izmaiņas, vada jūsu iesniegto paroli. Piemēram, ja jūsu Caps Lock ir ieslēgts, Facebook ņem jūsu iesniegto paroli, apvērš burtu lielo burtu un mēģina vēlreiz. Ja tas nedarbojas, Facebook mēģina vēlreiz ar nākamo scenāriju. Būtībā Facebook dara to, ko jūs būtu darījuši, saņemot „nepareizu paroli”, pārbaudot nejaušu kļūdu ievadītajā parolē un labojot to. Tas padara visu procesu mazāk neapmierinošu. Tas nesamazina drošību, jo joprojām ir nepieciešama kāda ideja par pareizo paroli, un pieņemtie varianti ir šauri.
Vēl svarīgāk ir tas, ka brutālu spēku metodes nav galvenā metode, lai piekļūtu sociālajiem tīkliem un citiem kontiem. Sociālās inženierijas un paroles izgāztuves ir daudz vienkāršākas izmantot. Ja jums ir jautājumi paroles atiestatīšanai, ir pienācīga iespēja, ka vismaz dažas atbildes ir publiski pieejamas. Ja jūsu atiestatīšanas jautājums ir par jūsu dzimšanas vietu, mātes pirmslaulību uzvārdu vai vidusskolas talismansu, tad ir iespējams izsekot atbildi uz leju. Tajā brīdī slikts aktieris var atiestatīt savu paroli, liekot uzminēt vai noskaidrot paroli pilnībā.
Diemžēl daudzi cilvēki joprojām izmanto to pašu e-pasta un paroles kombināciju katrā vietnē, kur nepieciešama pieteikšanās informācija. Jums nav jāmeklē tālu, lai atrastu piemēru pēc datu pārkāpumu gadījuma. Ja izmantojat to pašu e-pasta un paroles kombināciju vairāk nekā vienā vietā, un esat bijis vairākus gadus, tad jūsu paroles ir neaizsargātība, nevis Facebook politika.
Ja neesat pārliecināts, vai esat bijis pārkāpuma upuris, dodieties uz haveibeenpwned.com un pārbaudiet, vai jūsu parole ir nozagta. Iespējams, ka kaut kur esat bijis vismaz zināms konts.
Vienmēr jāaizsargā konti
Nicescene / Shutterstock.comJa jūs joprojām uztraucaties par to, ka šī politika atstāj jūs neaizsargātu, ir iespējams veikt pasākumus. Pirmais solis ir pārtraukt to pašu paroli katrai vietnei. Tā vietā iegūstiet paroles pārvaldnieku un ļaujiet tai radīt unikālas garas paroles katrai citai vietnei, ko izmantojat. Pēc tam nākamreiz, kad redzēsiet, ka jūsu izmantotā vietne ir apdraudēta, jūs varat mainīt tikai vienu paroli un justies droši, zinot, ka šī viena pazīstamā parole darīs hackers nekādu labumu.
Kad esat nostiprinājis savas paroles, ieslēdziet divu faktoru autentifikāciju jebkurā vietnē, kas to piedāvā. Facebook piedāvā divfaktoru autentifikāciju, tāpēc jums vajadzētu to iestatīt arī tur. Labākā divu faktoru autentifikācija balstās uz lietotni ar viedtālruni, kas bieži ģenerē jaunu kodu vai fizisku atslēgu, ko jūs glabājat kopā ar jums. Lai gan īsziņu balstīta divu faktoru autentifikācija ir labāka nekā nekas, tā joprojām ir neaizsargāta pret sociālo inženierijas tehniku. Tātad, ja jūs varat paļauties uz autentifikācijas lietotni vai fizisku atslēgu, jums vajadzētu. Un, ja kaut kas notiek ar tālruni vai taustiņu, ir jābūt dublējumkopijai.
Izmantojot šo kombināciju, jūsu konts ir daudz drošāks neatkarīgi no Facebook paroles politikām. Jums vajadzētu vismaz izmantot paroles pārvaldnieku un unikālās paroles, bet to izmantošana, izmantojot kombināciju ar divu faktoru autentifikāciju, ir labāka.
Vai nav panikas; Izbaudiet ērtību
Attiecībā uz Facebook paroles politiku, tas ir viegli uztraukties, ka tas ir mazāk drošs, bet patiesība ir ieguvumi, kas pārsniedz riskus. Drošība ir līdzsvarošanas akts. Jo vairāk jūs bloķējat sistēmu, jo mazāk ērti piekļūt. Bet, pievienojot ērtāku piekļuvi, jūs zaudējat drošību. Triks ir iegūt pareizās summas, lai aizsargātu jūsu lietotājus, neapgrūtinot tos. Šeit šeit Facebook kļūdījās, un tas, iespējams, ir pieņemams lēmums.