Багато хто з нас вважає, що пароль є непорушною послідовністю символів, де кожна літера і знак мають значення. Але Facebook підходить до цього питання з іншого боку, допускаючи незначні відхилення від вашого “ідеального” пароля, щоб зробити процес входу зручнішим. І, як не дивно, це є цілком безпечним.
Легкість помилок при введенні пароля
Вебсайти, як Facebook, стикаються з дилемою. З одного боку, вони заохочують нас використовувати складні та довгі паролі для підвищення безпеки. З іншого боку, такі паролі часто важко запам’ятати та правильно ввести. Менеджери паролів можуть допомогти, але більшість користувачів ними не користуються, що призводить до частих помилок при введенні.
Отже, як Facebook повинен реагувати на таку ситуацію?
Чи варто відмовляти користувачам у доступі через незначну помилку в паролі, викликаючи роздратування? Або, можливо, краще визнати, що введений пароль, ймовірно, вірний, але з друкарською помилкою, і спростити процес входу, ігноруючи неточності?
Аналіз помилок у паролях від Facebook
Як пояснив Алек Маффет, колишній інженер з безпеки Facebook, компанія обрала другий шлях. Якщо ваш пароль дуже близький до правильного, Facebook може вважати його дійсним. Правила досить прості. Facebook прийме пароль з помилкою, якщо:
- Ви випадково ввімкнули Caps Lock.
- Ви додали зайвий символ на початку або в кінці пароля.
- Перша літера пароля повинна бути малою, але ви ввели її великою.
Всі ці умови враховують типові помилки при наборі тексту. Іноді це може бути автозаміна, що змінює регістр першої літери. Якщо ваш введений пароль відповідає цим критеріям, ви навіть не помітите, що допустили помилку – ви просто увійдете в систему.
Наприклад, якщо ваш пароль “MySecret”, Facebook також прийме “MYsECrEt” (через Caps Lock) і “mySecret” (неправильний регістр першої літери). Варіанти “1MySecret” або “MySecret2” також будуть прийняті, оскільки це додавання одного символу на початку чи в кінці. Проте “MYSECRET”, “mysecret” або “12MySecret” будуть відхилені.
Безпека залишається на висоті
Може здатися, що така поблажливість до помилок у паролях є небезпечною. Але ситуація складніша. Хоча у фільмах про хакерів підбір паролів зображують як просту операцію, в реальності це зовсім не так. Підбір паролів методом грубої сили існує, але він набагато складніший, ніж показують на екранах. Як чудово показано у xkcd, зі збільшенням довжини пароля час, необхідний для його злому, зростає в геометричній прогресії. Складність пароля також має значення, хоч і не таке велике, як ви могли б подумати.
Тож, дозволяючи зайвий символ на початку або в кінці пароля, Facebook не створює додаткової вразливості. Хакерам все одно знадобиться правильний пароль, перш ніж вони зможуть підібрати його з додатковим символом.
Ситуація з Caps Lock також цікава. Я провів експеримент, спочатку ввівши свій пароль у блокнот зі зміненим регістром, а потім скопіювавши його у Facebook. Цей пароль було відхилено. Потім я ввімкнув Caps Lock і ввів свій пароль так, ніби Caps Lock вимкнений, таким чином, повернувши регістр. Ця спроба була успішною. Facebook не тільки перевіряє сам пароль, а й те, як ви його вводите. Метод грубої сили тут не спрацює, оскільки потрібно імітувати введення пароля з Caps Lock, що складніше, ніж просто намагатися підібрати пароль.
Оновлення: за словами консультанта з інформаційної безпеки Пола Мура в Twitter, Facebook зберігає тільки оригінальний пароль (захешований та з “сіллю”), а не його варіанти. Коли ви вводите пароль, він спочатку порівнюється з оригінальним. Якщо збігу немає, Facebook застосовує варіанти, наприклад, змінюючи регістр, якщо у вас ввімкнено Caps Lock. По суті, Facebook робить те, що ви зробили б, отримавши повідомлення про “неправильний пароль”: перевіряє наявність випадкових помилок і намагається їх виправити. Це робить процес менш напруженим для користувача, не знижуючи безпеку, оскільки все ще потрібен правильний пароль, а допустимі варіанти обмежені.
Методи грубої сили не є основним способом злому соціальних мереж. Соціальна інженерія та крадіжка даних є набагато простішими. Якщо ви забули пароль, то відповіді на запитання для відновлення пароля часто можна знайти у відкритому доступі. Якщо запитання стосується місця народження, дівочого прізвища матері, чи улюбленого талісмана школи, то зловмисники можуть знайти цю інформацію і скинути ваш пароль. Таким чином, необхідність підбору пароля відпадає.
На жаль, багато користувачів все ще використовують однакову комбінацію електронної пошти та пароля на різних сайтах. Пошук випадків крадіжки даних не займе багато часу. Якщо ви роками використовуєте одну і ту ж комбінацію для кількох сайтів, то ваша слабкість не в політиці Facebook, а у вас самих.
Якщо ви не впевнені, чи не постраждали від крадіжки даних, відвідайте haveibeenpwned.com і перевірте, чи не з’явився ваш пароль у витоках даних. Можливо, один із ваших облікових записів вже скомпрометовано.
Завжди дбайте про безпеку своїх акаунтів
Якщо вас все ще турбує політика Facebook, ви можете вжити додаткових заходів. По-перше, перестаньте використовувати однакові паролі для всіх сайтів. Натомість почніть користуватися менеджером паролів, який генеруватиме унікальні та довгі паролі для кожного сайту. Тоді, якщо трапиться витік даних, ви зможете змінити пароль лише на цьому сайті, не турбуючись про інші.
По-друге, увімкніть двофакторну аутентифікацію на всіх сайтах, де це можливо. Facebook також пропонує двофакторну аутентифікацію, тому обов’язково налаштуйте її. Найбезпечніший варіант – використання програми аутентифікації на смартфоні, яка часто генерує новий код, або фізичного ключа. Хоча SMS-аутентифікація краща, ніж нічого, вона вразлива до соціальної інженерії. Якщо є можливість використовувати програму або фізичний ключ, то краще вибрати їх. Не забудьте створити резервну копію на випадок, якщо щось станеться з вашим телефоном або ключем.
Завдяки цим заходам ваш обліковий запис буде набагато безпечнішим, незалежно від політики Facebook. Принаймні, використовуйте менеджер паролів та унікальні паролі. Але краще використовувати їх у поєднанні з двофакторною аутентифікацією.
Без паніки, насолоджуйтесь зручністю
Політика Facebook щодо паролів може здатися менш безпечною, але реальність така, що переваги від зручності переважують ризики. Безпека – це баланс. Чим більше ви захищаєте систему, тим менш зручним буде доступ до неї. Але якщо ви спрощуєте доступ, ви ризикуєте безпекою. Секрет полягає в тому, щоб досягти потрібного балансу, щоб захистити користувачів і не розчаровувати їх. Facebook обрав зручність, і це, ймовірно, правильне рішення.