Ако мислите да је једина исправна верзија ваше лозинке тачна велика слова и редослед слова/симбола које користите, можда ћете бити у шоку. Фацебоок ће прихватити мале варијације ваше лозинке, ради ваше удобности. И савршено је безбедно.
Преглед садржаја
Лозинке је лако погрешити
Фацебоок и други слични сајтови имају проблем. Желели би да користите дугачке и компликоване лозинке, али их је тешко укуцати. Требало би да користите менаџер лозинки да се побрине за то уместо вас, али већина људи то не чини. И због та два фактора, уобичајено је да погрешно унесете лозинку.
Шта би у том тренутку требало да уради Фацебоок?
Да ли би требало да вам одбију улазак само зато што је ваша лозинка била мало погрешна и да вас фрустрирају другим покушајем? Или би требало да препознају да је дата лозинка вероватно тачна, али са грешком у куцању и да олакшају ваше путовање до гифова мачака и слика беба игнорисањем грешке?
Фацебоок процењује грешке у лозинкама
Као што Алец Муффет, објашњава бивши софтверски инжењер за тим за безбедносну инфраструктуру у Фацебоок инжењерингу у Лондону, Фацебоок је изабрао ово друго. Ако је ваша лозинка веома близу тачне, можда ће је сматрати тачном. Правила за ово су једноставна. Фацебоок ће прихватити нетачну лозинку ако испуњава било који од ових услова:
Укључена су вам велика слова, а велика слова су обрнута.
Унесите додатни знак на почетку или на крају лозинке
Први знак лозинке треба да буде мала слова, али сте га уписали великим словима
Као што видите, све ове варијације су усредсређене на основни концепт малог недостатка лозинке приликом куцања. У неким случајевима, ово може бити проблем аутоисправке, као што је прво слово речи велико. Ако ваша погрешно унета лозинка испуњава ова специфична правила, нећете знати да је постојао проблем – само ћете се наћи пријављени.
На пример, рецимо да је ваша лозинка „летМеИн“. Фацебоок ће такође прихватити „ЛЕТмЕиН“ (јер је то директан преокрет) и „ЛетМеИн“ (јер је то погрешно велико слово). Такође ће прихватити варијације попут „1летМеИн“ и „летМеИн2“ јер су оне тачне осим додатног знака на почетку или на крају. Међутим, уопште неће прихватити „ЛЕТМЕИН“, „летмеин“ или „12ЛетМеИн“.
Овај процес је и даље безбедан
На први поглед, Фацебоокова попустљивост лозинке звучи несигурно. Али у овом случају, истина је компликованија. Иако је лако помислити на старе хакерске криминалне драме које су показале брзо грубо погађање лозинке за само неколико минута, хаковање уопште не функционише на тај начин. Грубо форсирање непознатих лозинки постоји, али је веома другачије него што ТВ имплицира. Као што ккцд чувено демонстрира, како се дужина лозинке повећава, време за њено пробијање такође расте експоненцијално. Додавање сложености помаже, али не онолико колико мислите.
Дакле, један од сценарија које Фацебоок дозвољава, додатни карактер на почетку или на крају лозинке, било би још теже наметнути грубом силом. Хакери би већ морали да имају тачну лозинку пре него што дођу до лозинке плус додатни знак.
Од посебног интереса је сценарио са великим словима. Тестирао сам ово тако што сам прво ручно укуцао своју лозинку у бележницу, обрнуо случај, а затим налепио тај резултат на Фацебоок. Одбио је ту лозинку. Затим сам укључио цапс лоцк и откуцао своју лозинку као да је цапс лоцк искључен, чиме сам обрнуо случај. Тај покушај је био успешан и ја сам пријављен. Фацебоок не само да проверава која је лозинка већ и како је уносите. Бруте Форце неће помоћи у том сценарију, осим симулације цапс лоцк-а, што би било теже него само циљање на стварну лозинку.
Ажурирање: Као што консултант за безбедност информација Пол Мур истиче Твиттер, Фацебоок углавном чува само вашу оригиналну лозинку (исправно хеширану и посољену), а не варијације ваше лозинке. Када пошаљете лозинку да бисте се пријавили, она се проверава у односу на вашу оригиналну лозинку. Ако се не подудара, Фацебоок покреће вашу послату лозинку кроз ове варијације. На пример, ако је ваш Цапс Лоцк укључен, Фацебоок узима вашу послату лозинку, преокреће велика слова и покушава поново. Ако то не успије, Фацебоок покушава поново са сљедећим сценаријем. У суштини, Фацебоок ради оно што бисте урадили када бисте добили поруку о „погрешној лозинки“ – проверавајући случајну грешку у унетој лозинци и исправљајући је. То чини цео процес мање фрустрирајућим за вас. Ово не смањује сигурност, јер је и даље потребна нека идеја о исправној лозинки, а прихваћене варијације су уске.
Што је још важније, методе грубе силе нису примарни метод за приступ друштвеним мрежама и другим налозима. Социјални инжењеринг и думпови лозинки су много једноставнији за употребу. Ако имате питања о ресетовању лозинке, постоји пристојна шанса да су бар неки од одговора јавно доступне информације. Ако се ваше питање за ресетовање односи на место рођења, девојачко презиме мајке или маскоту средње школе, онда је могуће пронаћи одговор. У том тренутку, лош актер може да ресетује вашу лозинку, чинећи да свака потреба за погађањем или одређивањем лозинке буде потпуно спорна.
Нажалост, многи људи и даље користе исту комбинацију е-поште и лозинке на свакој локацији за коју су потребни акредитиви за пријаву. Не морате да тражите далеко да бисте пронашли пример за примером повреде података. Ако користите исту комбинацију е-поште и лозинке на више од једног места, и већ годинама, онда су ваше лозинке рањивост, а не Фацебоок-ова политика.
Ако нисте сигурни да ли сте били жртва кршења, идите на хавеибеенпвнед.цом и проверите да ли вам је лозинка украдена. Шансе су да сте бар неки налог негде компромитовали.
Увек треба да обезбедите своје налоге
Ако сте и даље забринути да вас ова политика чини рањивим, постоје кораци које можете предузети. Први корак је да престанете да користите исту лозинку за сваку локацију. Уместо тога, набавите менаџер лозинки и пустите га да генерише јединствене дугачке лозинке за сваку другу локацију коју користите. Затим, следећи пут када видите да је веб локација коју сте користили компромитована, можете да промените само ту једну лозинку и осећате се безбедно знајући да ова позната лозинка неће бити од користи хакерима.
Након што ојачате своје лозинке, укључите двофакторску аутентификацију на било којој локацији која је нуди. Фацебоок нуди двофакторну аутентификацију, тако да би требало да је поставите и тамо. Најбоља двофакторска аутентификација се ослања на апликацију са паметним телефоном која често генерише нови код или физички кључ који држите са собом. Иако је двофакторска аутентификација заснована на СМС-у боља него ништа, она је и даље рањива на технике друштвеног инжењеринга. Дакле, ако се можете ослонити на апликацију за аутентификацију или физички кључ, требало би. И имајте резервну копију у случају да се нешто деси са вашим телефоном или кључем.
Са овом комбинацијом, ваш налог је далеко безбеднији без обзира на Фацебоок политику лозинки. У најмању руку би требало да користите менаџер лозинки и јединствене лозинке, али је боље користити оне у комбинацији са двофакторском аутентификацијом.
Не паничите; Уживајте у погодностима
Што се тиче Фацебоок-ове политике лозинки, лако је бринути да је мање безбедна, али реалност је да су предности веће од ризика. Безбедност је балансирање. Што више закључавате систем, мање је погодан за приступ. Али како додајете практичнији приступ, губите сигурност. Трик је у томе да добијете праве количине оба да бисте заштитили своје кориснике, а да их не фрустрирате. Фацебоок је овде погрешио на страни лакоће корисника, и то је вероватно прихватљива одлука.