Hjemmeside » hvordan » Facebook Fudges ditt passord for din bekvemmelighet

    Facebook Fudges ditt passord for din bekvemmelighet

    Hvis du tror at den eneste riktige versjonen av passordet ditt er den nøyaktige bokstaverings- og bokstavs- / symbolrekkefølgen du bruker, kan du være i et sjokk. Facebook vil godta små variasjoner av passordet ditt, for din bekvemmelighet. Og det er helt trygt.

    Passord er enkle å mistype

    Facebook og andre nettsteder som det har et problem. De vil at du skal bruke lange og kompliserte passord, men det er vanskelig å skrive. Du bør bruke en passordbehandling for å ta vare på det for deg, men de fleste gjør det ikke. Og på grunn av disse to faktorene er det vanlig å mistype passordet ditt.

    På det tidspunktet, hva skal Facebook gjøre?

    Bør de nekte deg oppføring bare fordi passordet ditt var litt av, og frustrer deg med et nytt forsøk? Eller burde de innse at det oppgitte passordet var sannsynligvis riktig, men med en skrivefeil og glatt din reise til kattegifs og babybilder ved å ignorere feilen?

    Facebook evaluerer feil i passord

    Som Alec Muffet, en tidligere programvareingeniør for sikkerhetsinfrastrukturlaget på Facebook Engineering i London, forklarer Facebook, at Facebook valgte sistnevnte. Hvis passordet ditt er svært nær korrekt, kan de telle det som nøyaktig. Reglene for dette er enkle. Facebook vil godta et feil passord dersom det oppfyller noen av disse betingelsene:

    • Du har hatt låseskap på, og kapitaliseringene reverseres.
    • Du skriver inn et ekstra tegn ved begynnelsen eller slutten av et passord
    • Den første tegn på passordet skal være små, men du skrev det aktivert

    Som du kan se, er disse variasjonene alle sentrert rundt det grunnleggende konseptet om litt manglende passord når du skriver. I noen tilfeller kan dette være et problem med autokorreksjon, slik at det første bokstaven i et ord blir kapitalisert. Hvis ditt feilpassede passord oppfyller disse spesifikke regler, vet du ikke at det var et problem - du vil bare finne deg selv logget inn.

    For eksempel, la oss si at passordet ditt er "letMeIn." Facebook vil også akseptere "LETmEiN" (fordi det er en straight-up caps lock reversal) og "LetMeIn" (fordi det er feil kapital for første bokstav). Det vil også akseptere variasjoner som "1letMeIn" og "letMeIn2" fordi de er korrekte bortsett fra et ekstra tegn i begynnelsen eller slutten. Det vil imidlertid ikke akseptere "LETMEIN", "letmein" eller "12LetMeIn" i det hele tatt.

    Denne prosessen er fortsatt sikker

    Seasontime / Shutterstock

    Ved første rødme, lyder Facebooks passordslidhet usikkert. Men i dette tilfellet er sannheten mer komplisert. Selv om det er lett å tenke på gamle hackerkriminalitetsdramaer som viste rask brute force å gjette på et passord på få minutter, virker ikke hacking på den måten i det hele tatt. Brute tvinger ukjente passord eksisterer, men det er veldig annerledes enn TV innebærer. Som xkcd demonstrerer berømt, da lengden på et passord øker, øker tiden for å sprekke det også eksponentielt. Å legge til kompleksitet hjelper, men ikke så mye som du kanskje tror.

    Så en av scenariene som Facebook tillater, en ekstra karakter i begynnelsen eller slutten av passordet, vil være enda vanskeligere å brute force. Hackere måtte allerede ha riktig passord før de gjorde det til passordet, pluss et ekstra tegn.

    Av spesiell interesse er Caps Lock-scenariet. Jeg testet dette ved å manuelt skrive inn passordet mitt i notisblokken, reversere saken og deretter klistre det resultatet inn i Facebook. Den nektet dette passordet. Jeg slått på caps lock og skrev inn passordet mitt som om cap lås var av, og dermed reverserte saken. Det forsøket var vellykket, og jeg var innlogget. Facebook kontrollerer ikke bare passordet, men hvordan du skriver det inn. Brute Force vil ikke hjelpe i det scenariet, kort for å simulere caps lock, noe som ville være vanskeligere enn bare å sikte på det faktiske passordet.

    Oppdater: Som informasjonssikkerhetskonsulent Paul Moore peker på Twitter, er Facebook mest sannsynlig bare lagring av ditt opprinnelige passord (riktig hashed og saltet) og ikke varianter av passordet ditt. Når du sender inn et passord for å logge inn, er det sjekket mot det opprinnelige passordet ditt. Hvis det ikke stemmer, kjører Facebook ditt innlagte passord gjennom disse variasjonene. For eksempel, hvis Caps Lock er på, tar Facebook ditt innlagte passord, reverserer bokstavs bokstavs bokstav og prøver igjen. Hvis det ikke virker, prøver Facebook igjen med neste scenario. I hovedsak gjør Facebook det du ville ha gjort ved å få et "feil passord" -melding-sjekke for en utilsiktet feil i det skrevne passordet og korrigere det. Det gjør hele prosessen mindre frustrerende for deg. Dette reduserer ikke sikkerheten, fordi noen ideer om riktig passord er fortsatt nødvendig, og de aksepterte variantene er smale.

    Enda viktigere er brute force metoder ikke den primære metoden for å få tilgang til sosiale nettverk og andre kontoer. Sosialteknikk og passorddumper er mye enklere å bruke. Hvis du har spørsmål om tilbakestilling av passord, er det en anstendig sjanse, i hvert fall noen av svarene er offentlig tilgjengelig informasjon. Hvis tilbakestillingsspørsmålet handler om fødestedet ditt, mors pikenavn eller videregående mascotte, så er det mulig å spore svaret nede. På det tidspunktet kan en dårlig skuespiller tilbakestille passordet ditt, noe som gjør at du trenger å gjette eller bestemme passordet selv helt.

    Dessverre bruker mange mennesker fortsatt samme e-post og passordkombinasjon på hvert nettsted som krever påloggingsinformasjon. Du trenger ikke å se langt for å finne forekomster etter forekomst av data brudd. Hvis du bruker samme e-post og passordkombinasjon på mer enn ett sted, og har vært i mange år, så er passordene dine sårbarhet, ikke Facebooks retningslinjer.

    Hvis du ikke er sikker på om du har vært utsatt for brudd, kan du gå til hasibeenpwned.com og se om passordet ditt er blitt stjålet. Sjansen er at du har hatt minst en eller annen konto på et eller annet sted.

    Du bør alltid sikre dine kontoer

    Nicescene / Shutterstock.com

    Hvis du fortsatt er bekymret for at denne policyen gir deg sårbare, er det trinn du kan ta. Det første trinnet er å slutte å bruke det samme passordet for hvert nettsted. I stedet får du en passordbehandling og la den generere unike, lange passord for hvert annet nettsted du bruker. Så neste gang du ser at et nettsted du brukte er blitt kompromittert, kan du endre det ene passordet og føle deg trygt og vite at dette kjente passordet ikke vil gjøre hackerne bra.

    Når du har herdet passordene dine, slår du på tofaktorautentisering på et hvilket som helst nettsted som tilbyr det. Facebook tilbyr tofaktorautentisering, så du bør sette den opp der også. Den beste tofaktorautentiseringen er avhengig av en app med smarttelefonen din som genererer en ny kode ofte eller en fysisk nøkkel du holder med deg. Mens SMS-basert tofaktorautentisering er bedre enn ingenting, er den fortsatt sårbar for sosialteknikk. Så hvis du kan stole på en autentiseringsapp eller en fysisk nøkkel, bør du. Og ta sikkerhetskopiering på plass dersom det skjer noe med telefonen eller nøkkelen.

    Med denne kombinasjonen er kontoen din langt tryggere, uavhengig av Facebooks passordpolicyer. Du bør i det minste bruke en passordbehandling og unike passord, men det er bedre å bruke dem i kombinasjon med tofaktorautentisering.

    Ikke panikk; Nyt komforten

    Når det gjelder Facebooks passordpolitikk, er det lett å bekymre deg for at det er mindre sikkert, men virkeligheten er fordelene oppveier risikoen. Sikkerhet er en balansehandling. Jo mer du låser et system, jo ​​mindre praktisk er det å få tilgang til. Men når du legger til mer praktisk tilgang, mister du sikkerheten. Trikset får de riktige mengdene for å beskytte brukerne uten å frustrere dem. Facebook feil på siden av brukervennlighet her, og det er sannsynligvis en akseptabel avgjørelse.

    Facebook introduserer en A.I. Assistent i sin Messenger App
    Facebook får en ny funksjon kalt Siste samtaler
    Facebook Chat Emoticons, Tips og triks for å forbedre samtalen
    Neste artikkel
    Facebook på arbeidsplassen Boon or Bane?
    Forrige artikkel
    Facebook Venner Hvor mange er for mange?