Можда ћете се изненадити ако мислите да је тачна верзија ваше лозинке она која је уписана са прецизним великим словима и редоследом знакова. Фацебоок, ради ваше удобности, прихвата мање одступања у вашој шифри. И то је потпуно сигурно.
Зашто је лако погрешити приликом уноса лозинке?
Фацебоок, као и сличне платформе, суочава се са изазовом. Желе да користите сложене и дугачке лозинке, али оне нису једноставне за куцање. Иако би требало да се ослањате на менаџере лозинки, већина корисника то не чини. Комбинација ова два фактора често доводи до грешака при уносу лозинке.
Шта би Фацебоок требало да уради у таквој ситуацији?
Да ли би требало да одбије ваш приступ због мале грешке у лозинки, изазивајући фрустрацију приликом следећег покушаја? Или би требало да препозна да је лозинка највероватније тачна, али са мањом грешком при куцању, и омогући ваш приступ слатким мацама и фотографијама беба, занемарујући грешку?
Фацебоок толерише грешке у лозинкама
Како објашњава Алек Муфет, бивши инжењер за безбедност на Фејсбуку, ова платформа је изабрала другу опцију. Ако је ваша шифра веома слична исправној, Фацебоок је може прихватити као такву. Правила су једноставна: Фацебоок прихвата неисправну лозинку ако је испуњен један од следећих услова:
- Велика слова су унета обрнуто.
- Додатни знак је унет на почетку или крају лозинке.
- Први знак је требало да буде мало слово, али је унет као велико.
Као што примећујете, све ове промене се врте око идеје о мањој грешци при куцању. У неким ситуацијама, ово може бити последица аутоматске корекције, као што је аутоматско претварање првог слова у велико. Ако ваша грешком унета лозинка одговара овим правилима, нећете ни приметити грешку – једноставно ћете се пријавити на свој налог.
На пример, претпоставимо да је ваша лозинка „примерЛозинке“. Фацебоок ће прихватити и „ПРИМЕРлОЗИНКЕ“ (обрнута велика слова), као и „ПримерЛозинке“ (грешка у великом слову). Такође ће прихватити „1примерЛозинке“ и „примерЛозинке2“ јер се разликују само у додатном знаку на почетку или крају. Међутим, неће прихватити „ПРИМЕРЛОЗИНКЕ“, „примерлозинке“ или „12ПримерЛозинке“.
Зашто је овај процес и даље сигуран?
На први поглед, чини се да Фацебооково попуштање са лозинкама није сигурно. Међутим, ситуација је мало сложенија. Иако можете помислити на филмове у којима хакери брзо пробијају шифре у року од неколико минута, стварност је потпуно другачија. „Бруте форце“ напади, односно покушавање свих могућих комбинација, постоје, али нису као на филму. Као што xkcd јасно показује, са повећањем дужине лозинке, време потребно за њено пробијање расте невероватном брзином. Компликованост помаже, али не толико колико можда мислите.
Дакле, један од сценарија које Фејсбук дозвољава, додатни знак на почетку или крају шифре, био би још тежи за „бруте форце“ напад. Хакери би већ морали да знају тачну лозинку пре него што би дошли до фазе са додатним знаком.
Случај са великим словима је посебно интересантан. Тестирао сам ово тако што сам прво унео лозинку ручно у бележницу, променио сва слова у супротна, и затим копирао резултат на Фацебоок. Овај покушај није успео. Затим сам укључио „caps lock“ и укуцао своју шифру као да је „caps lock“ искључен, тиме сам заправо обрнуо случај. Овај покушај је био успешан и пријавио сам се. Фацебоок не проверава само лозинку, већ и начин на који је уносите. „Бруте форце“ неће помоћи у овом сценарију, осим да симулира „caps lock“, што је теже него да се иде на праву шифру.
Ажурирање: Како је истакао консултант за информациону безбедност Пол Мур на Твитеру, Фацебоок углавном чува само вашу оригиналну лозинку (правилно хеширану и „посољену“), а не њене варијације. Када унесете шифру да бисте се пријавили, она се проверава у односу на оригиналну. Ако се не поклапа, Фацебоок покреће вашу унету шифру кроз ове варијације. На пример, ако је „caps lock“ укључен, Фацебоок узима вашу унету шифру, мења велика слова и покушава поново. Ако ни то не успе, Фацебоок испробава следећи сценарио. У суштини, Фацебоок ради оно што бисте ви урадили када бисте добили поруку „погрешна лозинка“ – проверавајући евентуалне грешке у куцању и исправљајући их. Ово чини цео процес мање фрустрирајућим. Ово не угрожава сигурност, јер је и даље потребна нека идеја о исправној шифри, а прихваћене варијације су врло ограничене.
Још важније, методе „бруте форце“ нису главни начин за добијање приступа налозима на друштвеним мрежама. Социјални инжењеринг и цурења лозинки су много чешћи и једноставнији. Ако имате питања о ресетовању лозинке, велика је вероватноћа да су неки од одговора јавно доступни. Ако се ваше питање за ресетовање односи на место рођења, мајчино девојачко презиме или име маскоте средње школе, одговор се лако може пронаћи. У том тренутку, злонамерна особа може да ресетује вашу лозинку, чинећи свако нагађање или утврђивање шифре потпуно непотребним.
Нажалост, многи и даље користе исту комбинацију адресе е-поште и шифре за сваку локацију која захтева пријаву. Не морате далеко да тражите да бисте пронашли примере повреде података. Ако користите исту комбинацију е-поште и шифре на више од једног места и то годинама, онда су ваше шифре слабост, а не политика Фацебоока.
Ако нисте сигурни да ли сте били жртва кршења података, посетите haveibeenpwned.com и проверите да ли је ваша шифра украдена. Шансе су да је барем један ваш налог компромитован негде.
Како обезбедити свој налог
Ако сте и даље забринути због тога што вас ова политика чини рањивим, можете предузети неке кораке. Први је да престанете да користите исту лозинку за сваку локацију. Уместо тога, набавите менаџер лозинки и нека он генерише јединствене, дугачке лозинке за сваку локацију коју користите. Затим, следећи пут када сазнате да је веб локација коју користите компромитована, можете да промените само ту једну шифру и будете сигурни знајући да та позната шифра неће бити од користи хакерима.
Када ојачате своје шифре, укључите двофакторску аутентификацију на било којој локацији која нуди ту опцију. Фацебоок нуди двофакторску аутентификацију, па би требало да је подесите и тамо. Најбоља двофакторска аутентификација се ослања на апликацију за паметне телефоне која често генерише нови код или физички кључ који носите са собом. Иако је двофакторска аутентификација заснована на СМС-у боља од ничега, она је и даље рањива на технике социјалног инжењеринга. Дакле, ако се можете ослонити на апликацију за аутентификацију или физички кључ, требало би. И имајте резервну копију за случај да се нешто деси са вашим телефоном или кључем.
Са овом комбинацијом, ваш налог је много сигурнији, без обзира на политику лозинки на Фацебооку. У најмању руку, требало би да користите менаџер лозинки и јединствене шифре, али је боље користити оне у комбинацији са двофакторском аутентификацијом.
Не паничите, уживајте у погодностима
Што се тиче Фацебоокове политике лозинки, лако је бринути да је мање сигурна, али реалност је да су предности веће од ризика. Безбедност је игра балансирања. Што више закључавате систем, мање је погодан за коришћење. Међутим, како повећавате практичност, губите на сигурности. Тајна је у томе да постигнете праву равнотежу између оба, како бисте заштитили кориснике, а да их при томе не фрустрирате. Чини се да је Фацебоок овде стао на страну лакоће коришћења, и то је вероватно разумљива одлука.