Facebook Fudges Sinu parooli Teie mugavuse jaoks
Kui arvate, et teie parooli ainus õige versioon on täpne kapitalisatsioon ja kasutatav täht- / sümbolijärjestus, võite olla šokis. Facebook aktsepteerib teie parooli väikeseid variatsioone. Ja see on täiesti ohutu.
Paroolid on kergesti kasutatavad
Facebookil ja teistel saitidel nagu sellel on probleem. Nad tahaksid, et kasutaksite pikki ja keerulisi paroole, kuid neid on raske kirjutada. Sa peaksid seda kasutama paroolihalduriga, kuid enamik inimesi seda ei tee. Ja nende kahe teguri tõttu on parooli sisestamine tavaline.
Siis mida peaks Facebook tegema?
Kas nad peaksid keelama sisenemise lihtsalt sellepärast, et teie parool oli veidi välja lülitatud, ja petta teid teise katse all? Või peaksid nad tunnistama, et esitatud parool oli tõenäoliselt õige, kuid on veatu ja sujub teie reisi kassi gifidele ja beebi piltidele, ignoreerides viga?
Facebook hindab vigu paroolides
Nagu selgitab Londoni turvalisuse infrastruktuuri meeskonna endine tarkvaraarendaja Alec Muffet, valis Facebook viimase. Kui parool on korrektselt väga lähedal, võivad need lugeda täpseks. Selle reeglid on lihtsad. Facebook aktsepteerib vale parooli, kui see vastab mõnele neist tingimustest:
- Sul on sisselülitatud korgilukk ja kapitalisatsioonid tühistatakse.
- Sisestate parooli alguses või lõpus lisamärgi
- Parooli esimene märk peaks olema väiketähtedega, kuid kirjutasite selle suureks
Nagu näete, on need variatsioonid keskendatud põhipõhimõttele, mis tähendab, et parooli kirjutamisel kirjutatakse veidi. Mõnel juhul võib see olla automaatse korrigeerimise probleem, nagu näiteks esimese sõna täht, mida kapitaliseeritakse. Kui teie vale parool vastab nendele spetsiifilistele reeglitele, ei tea te, et probleem oli olemas - leiad end lihtsalt sisse logitud.
Oletame näiteks, et teie parool on "letMeIn". Facebook aktsepteerib ka "LETmEiN" (sest see on sirgjooneline lukustuse tühistamine) ja "LetMeIn" (sest see on vale kapital esimese kirja jaoks). Samuti aktsepteerib see selliseid muudatusi nagu "1letMeIn" ja "letMeIn2", sest need on õiged, välja arvatud lisatähis alguses või lõpus. Kuid see ei aktsepteeri “LETMEIN”, “letmein” või “12LetMeIn” üldse.
See protsess on endiselt turvaline
Seasontime / ShutterstockKõigepealt hakkab Facebooki parool leebema helendama ebakindlalt. Kuid sel juhul on tõde keerulisem. Kuigi on kerge mõelda vanade häkkerite kuritegude draamale, mis näitasid vaid minutite jooksul kiiret jõulist jõudu, arvasid parooli, ei häkkimine üldse nii. Olemas on brute sundimine tundmatuid paroole, kuid see on väga erinev telerist. Nagu xkcd ilmselt näitab, kui parooli pikkus suureneb, suureneb ka selle purunemise aeg eksponentsiaalselt. Keerukuse lisamine aitab, kuid mitte nii palju kui sa arvad.
Niisiis oleks üks stsenaariumidest, mida Facebook lubab, lisatähis parooli alguses või lõpus, veelgi raskem jõudu. Häkkeritel peaks juba olema parool, enne kui nad selle paroolile lisasid, ja lisatähis.
Eriti huvitav on mütsiluku stsenaarium. Ma katsetasin seda, kirjutades kõigepealt käsitsi oma parooli notepadisse, tagurdades juhtumi, seejärel kleepides selle tulemuse Facebooki. See keelas selle parooli. Siis lülitasin sulle lukud ja kirjutasin oma parooli nii, nagu oleks lukustus lukus olnud, nii et tagurpidi juht. See katse oli edukas ja ma olin sisse logitud. Facebook ei kontrolli mitte ainult seda, mida parool on, vaid seda, kuidas seda sisestate. Brute Force ei aita sellel stsenaariumil, kui see ei ole mütside lukustamise simuleerimine, mis oleks raskem kui tegeliku parooli otsimine.
Uuenda: Infoturbe konsultant Paul Moore meenutab Twitteris, et Facebook hoiab enamasti ainult teie algset parooli (nõuetekohaselt räsitud ja soolatud), mitte parooli variatsioone. Kui logite sisse logima, kontrollitakse seda oma algse parooliga. Kui see ei sobi, käivitab Facebook teie esitatud parooli nende variatsioonide kaudu. Näiteks, kui teie Caps Lock on sisse lülitatud, võtab Facebook teie esitatud parooli, tühistab tähtede suuruse ja üritab uuesti. Kui see ei toimi, proovib Facebook uuesti järgmise stsenaariumiga. Sisuliselt teeb Facebook seda, mida oleksite teinud, kui saite vale parooli sõnumi kontrollimisel vale parooli ja parandasid seda. See muudab kogu protsessi teie jaoks ebamugavamaks. See ei vähenda turvalisust, sest mõni õige paroolist on veel vajalik ja aktsepteeritud variatsioonid on kitsad.
Veelgi olulisem on see, et brute force meetodid ei ole peamine meetod sotsiaalsetele võrgustikele ja muudele kontodele juurdepääsuks. Sotsiaalse inseneri ja parooli prügila kasutamine on palju lihtsam. Kui teil on küsimusi parooli lähtestamise kohta, on korralik võimalus, et vähemalt mõned vastused on avalikult kättesaadavad. Kui teie lähtestamise küsimus on teie sünnikoht, ema neiupõlvenimi või keskkooli maskott, siis on võimalik vastuseid jälgida. Sel hetkel võib halb näitleja oma parooli lähtestada, mistõttu on vaja ära arvata või määrata parool ise.
Kahjuks kasutavad paljud inimesed endiselt sama e-posti ja parooli kombinatsiooni igal saidil, mis nõuab sisselogimise andmeid. Sa ei pea kaugele vaatama, et leida näiteks pärast andmete rikkumist. Kui kasutate sama e-posti ja parooli kombinatsiooni rohkem kui ühes kohas ja olete olnud aastaid, siis teie paroolid on haavatavus, mitte Facebooki eeskirjad.
Kui te ei ole kindel, kas olete olnud rikkumise ohver, minge aadressil haveibeenpwned.com ja kontrollige, kas teie parool on varastatud. Võimalik, et teil on vähemalt mõni konto ohtu kuskil.
Peaksite alati oma kontod turvaliselt kaitsma
Nicescene / Shutterstock.comKui olete endiselt mures selle pärast, et see poliitika jätab teid haavatavaks, on teil võimalik võtta samme. Esimene samm on peatada sama parooli kasutamine iga saidi jaoks. Selle asemel saate paroolihalduri ja lase tal luua unikaalsed pikad paroolid iga kasutatava saidi jaoks. Seejärel näete järgmine kord, kui näete, et teie kasutatav veebisait on ohustatud, saate muuta ainult ühe parooli ja tunda end turvaliselt, teades, et see üks tuntud parool ei tee häkkeritele mingit head.
Kui olete paroolid karmistanud, lülitage kahe teguri autentimine sisse mis tahes saidil, mis seda pakub. Facebook ei paku kahekordset autentimist, seega peaksite ka selle üles seadma. Parim kahefaktoriline autentimine sõltub teie nutitelefoni rakendusest, mis genereerib sageli uue koodi või füüsilise võtme, mida te endaga hoidate. Kuigi SMS-põhine kahefaktoriline autentimine on parem kui mitte midagi, on see endiselt sotsiaalsete tehnikate suhtes tundlik. Nii et kui sa võid tugineda autentijarakendusele või füüsilisele võtmele, peaksite seda tegema. Ja teil on olemas varukoopia, kui midagi juhtub telefoni või võtmega.
Selle kombinatsiooniga on teie konto palju turvalisem, hoolimata Facebooki paroolipoliitikast. Peaksite vähemalt kasutama paroolihaldurit ja unikaalset parooli, kuid nende kasutamine koos kahe faktoriga autentimisega on parem.
Ärge paanikas; Nautige mugavust
Mis puutub Facebooki parooli poliitikasse, siis on lihtne muretseda, et see on vähem turvaline, kuid reaalsus on see, et kasu ületab riskid. Turvalisus on tasakaalustav tegu. Mida rohkem te süsteemi lukustate, seda vähem on mugav juurdepääs. Aga kui lisate mugavamat juurdepääsu, kaotate turvalisuse. Trikk on saada õigeid summasid nii, et kaitsta teie kasutajaid ilma neid masendamata. Siin on Facebooki kasutaja kergesti viga ja see on ilmselt vastuvõetav otsus.