Facebook Fudges Sinun salasanasi kätevästi
Jos luulet, että salasanasi ainoa oikea versio on tarkka päällekkäisyys ja käyttämäsi kirjain / symboli-sekvenssi, saatat joutua järkytykseen. Facebook hyväksyy salasanasi pieniä muunnelmia. Ja se on täysin turvallista.
Salasanat ovat helppokäyttöisiä
Facebookilla ja muilla sivustoilla on ongelma. He haluavat, että käytät pitkiä ja monimutkaisia salasanoja, mutta niitä on vaikea kirjoittaa. Sinun pitäisi käyttää salasananhallintaa, jotta voit huolehtia siitä, mutta useimmat ihmiset eivät. Näiden kahden tekijän vuoksi on yleistä, että salasana ei ole käytössä.
Mitä sitten Facebookin pitäisi tehdä?
Pitäisikö heidän kieltää pääsyn vain siksi, että salasanasi oli hieman pois käytöstä, ja turhauttaa sinut toisella yrityksellä? Tai pitäisikö heidän tunnistaa, että annettu salasana oli todennäköisesti oikea, mutta virheellinen ja tasoittaa matkasi kissa-gifeihin ja vauvan kuviin jättämällä huomiotta virheen?
Facebook arvioi salasanojen virheitä
Kuten Alec Muffet, entinen ohjelmistoteknologi Facebook Engineeringin turvallisuusinfrastruktuuriryhmässä Lontoossa selittää, Facebook valitsi jälkimmäisen. Jos salasana on hyvin lähellä oikeaa, ne voivat laskea sen tarkkaksi. Säännöt ovat yksinkertaisia. Facebook hyväksyy väärän salasanan, jos se täyttää jonkin seuraavista ehdoista:
- Sinulla on korkki-lukko käytössä, ja pääominaisuudet peruutetaan.
- Syötä ylimääräinen merkki salasanan alkuun tai loppuun
- Salasanan ensimmäisen merkin tulisi olla pieniä kirjaimia, mutta kirjoitit sen suureksi
Kuten näette, nämä muunnelmat keskittyvät perusperiaatteeseen, jossa salasanasi puuttuu kirjoittamisen aikana. Joissakin tapauksissa tämä voi olla ongelma, joka koskee automaattista korjausta, kuten pääosan kirjaimen ensimmäinen kirjain. Jos virheellinen salasanasi täyttää nämä erityiset säännöt, et tiedä, että ongelma on olemassa - löydät itsesi kirjautuneena.
Oletetaan esimerkiksi, että salasanasi on "LetMeIn". Facebook hyväksyy myös "LETmEiN": n (koska se on suoraviivainen lippujen lukituksen peruutus) ja "LetMeIn" (koska se on virheellinen pääoma ensimmäiselle kirjaimelle). Se hyväksyy myös muutokset, kuten "1letMeIn" ja "letMeIn2", koska ne ovat oikeita paitsi ylimääräistä merkkiä alussa tai lopussa. Se ei kuitenkaan hyväksy "LETMEIN", "letmein" tai "12LetMeIn" lainkaan.
Tämä prosessi on edelleen turvallinen
Seasontime / ShutterstockAluksi blush, Facebookin salasana leikkimielisyyttä kuulostaa epävarmalta. Mutta tässä tapauksessa totuus on monimutkaisempi. Vaikka on helppo ajatella vanhoja hakkereiden rikollisnäyttelyitä, jotka näyttivät nopean raakaa voimaa arvaamalla salasanan pelkkänä minuuttina, hakkerointi ei toimi näin ollenkaan. Brute-pakottavia tuntemattomia salasanoja on olemassa, mutta se on hyvin erilainen kuin TV: n mukaan. Kuten xkcd tunnetusti osoittaa, kun salasanan pituus kasvaa, aika repeää sitä myös kasvaa eksponentiaalisesti. Monimutkaisuuden lisääminen auttaa, mutta ei niin paljon kuin luulisi.
Joten yksi Facebookin sallimista skenaarioista, ylimääräinen merkki salasanan alussa tai lopussa, olisi vieläkin vaikeampaa brutaalivoimalle. Hakkerit tarvitsevat jo oikean salasanan, ennen kuin ne siirtyivät salasanaan ja ylimääräiseen merkkiin.
Erityisen mielenkiintoista on korkki- lukitusskenaario. Testasin tämän kirjoittamalla ensin manuaalisesti salasanani muistiinpanoon, kääntämällä tapauksen ja liittämällä sen sitten Facebookiin. Se kielsi salasanan. Sitten otin korkin lukituksen käyttöön ja kirjoitin salasanani, koska korkki-lukko olisi pois päältä, mikä käänsi kotelon. Tämä yritys oli onnistunut, ja olin kirjautunut sisään. Facebook ei vain tarkista, mitä salasana on vaan miten se syötetään. Brute Force ei auta tässä skenaariossa, sillä se ei ole simuloinut korkkia, mikä olisi vaikeampaa kuin pelkän todellisen salasanan tavoittelu.
Päivittää: Kuten tietoturvakonsultti Paul Moore mainitsee Twitterissä, Facebook on useimmiten vain säilyttänyt alkuperäisen salasanasi (oikein hajautettu ja suolattu) eikä salasanasi muunnelmia. Kun lähetät salasanan kirjautuaksesi sisään, se tarkistetaan alkuperäisen salasanasi mukaan. Jos se ei täsmää, Facebook näyttää lähettämäsi salasanan näillä muunnelmilla. Jos esimerkiksi Caps Lock on käytössä, Facebook ottaa lähettämäsi salasanan, kääntää kirjainten suurennuksen ja yrittää uudelleen. Jos näin ei tapahdu, Facebook yrittää uudelleen seuraavan skenaarion avulla. Periaatteessa Facebook tekee sen, mitä olisit tehnyt, kun sait "väärän salasanan" -viestitarkistuksen vahingossa tapahtuneesta virheestä kirjoitetussa salasanassa ja korjaamalla sen. Tämä tekee koko prosessista vähemmän turhauttavaa sinulle. Tämä ei vähennä tietoturvaa, koska jonkin verran ideaa oikeasta salasanasta tarvitaan ja hyväksytyt muunnelmat ovat kapeita.
Vielä tärkeämpää on, että brute force -menetelmät eivät ole ensisijainen tapa saada sosiaalisia verkostoja ja muita tilejä. Sosiaalitekniikan ja salasanan kaatopaikat ovat paljon yksinkertaisempia käyttää. Jos sinulla on salasanan palauttamista koskevia kysymyksiä, on olemassa kohtuullinen mahdollisuus, että ainakin osa vastauksista on julkisesti saatavilla olevia tietoja. Jos palautuskysymyksesi koskee syntymäpaikkaa, äidin tyttären nimeä tai lukion maskotti, niin on mahdollista seurata vastausta. Silloin huono näyttelijä voi palauttaa salasanasi, jolloin on tarpeen arvata tai määrittää salasana itsessään täysin kiistanalaiseksi.
Valitettavasti monet ihmiset käyttävät edelleen samaa sähköposti- ja salasanayhdistelmää kaikissa sivustoissa, joissa tarvitaan kirjautumistietoja. Sinun ei tarvitse etsiä kaukaa, jos haluat löytää esimerkin tietojen rikkomisen jälkeen. Jos käytät samaa sähköposti- ja salasanayhdistelmää useammassa kuin yhdessä paikassa ja olet ollut vuosia, salasanat ovat haavoittuvuus, ei Facebookin käytäntö.
Jos et ole varma, oletko joutunut rikoksen uhriksi, siirry osoitteeseen haveibeenpwned.com ja tarkista, onko salasanasi varastettu. Mahdollisuudet ovat olleet ainakin jonkin verran vaarassa jonnekin.
Sinun tulee aina suojata tilisi
Nicescene / Shutterstock.comJos olet edelleen huolissaan siitä, että käytäntö jättää sinut haavoittuvaksi, voit ryhtyä toimiin. Ensimmäinen vaihe on lopettaa sama salasana jokaiselle sivustolle. Hanki sen sijaan salasanahallinta ja anna sen luoda ainutlaatuisia pitkiä salasanoja jokaiseen käyttämääsi sivustoon. Sitten, kun seuraavan kerran näet, että käyttämäsi verkkosivusto on vaarantunut, voit vaihtaa vain yhden salasanan ja tuntea olosi turvalliseksi tietäen, että tämä tunnettu salasana ei tee hakkereille mitään hyvää.
Kun olet koventanut salasanasi, ota käyttöön kaksitekijätodennus millä tahansa sivustolla, joka tarjoaa sen. Facebook ei tarjoa kahden tekijän todennusta, joten sinun pitäisi asettaa se myös siellä. Paras kahden tekijän todennus perustuu älypuhelimesi sovellukseen, joka luo uuden koodin usein tai fyysisen avaimen, jota pidät mukanasi. Vaikka tekstiviestipohjainen kaksitekijätodennus on parempi kuin mikään, se on edelleen haavoittuva sosiaalisen suunnittelun tekniikoille. Jos siis voit luottaa autentikaattorisovellukseen tai fyysiseen avaimeen, sinun pitäisi. Ja sinulla on varmuuskopio, jos jokin tapahtuu puhelimen tai avaimen kanssa.
Tällä yhdistelmällä tilisi on paljon turvallisempi riippumatta Facebookin salasanapolitiikoista. Sinun pitäisi ainakin käyttää salasananhallintaohjelmaa ja yksilöllisiä salasanoja, mutta kahden tekijän autentikoinnin yhdistäminen on parempi.
Älä paniikkia; Nauti mukavuudesta
Mitä tulee Facebookin salasanapolitiikkaan, on helppo huolehtia siitä, että se on vähemmän turvallista, mutta todellisuus on, että hyödyt ovat suuremmat kuin riskit. Turvallisuus on tasapainotus. Mitä enemmän lukitset järjestelmän, sitä vähemmän kätevää se on. Mutta kun lisäät kätevämmän pääsyn, menetät turvallisuuden. Temppu on saada oikeat määrät sekä suojaamaan käyttäjiä turhauttamatta niitä. Facebook teki tuskin käyttäjän helppouden puolella, ja se on luultavasti hyväksyttävä päätös.