Якщо ви вважаєте, що єдиною правильною версією вашого пароля є точна літера та послідовність літер/символів, які ви використовуєте, ви можете бути в шоці. Facebook прийме незначні зміни вашого пароля для вашої зручності. І це абсолютно безпечно.
Паролі легко ввести помилково
Facebook та інші подібні сайти мають проблему. Вони хотіли б, щоб ви використовували довгі та складні паролі, але їх важко ввести. Ви повинні використовувати менеджер паролів, щоб подбати про це за вас, але більшість людей цього не роблять. І через ці два фактори часто помиляються введення пароля.
Що в цей момент має робити Facebook?
Чи повинні вони відмовити вам у вході лише тому, що ваш пароль був трохи неправильний, і розчарувати вас з другої спроби? Або вони повинні визнати, що наданий пароль, ймовірно, правильний, але з опечаткою, і спростити вашу подорож до GIF-файлів котів і малюнків дітей, ігноруючи помилку?
Facebook оцінює помилки в паролях
Як Алек Маффет, пояснює колишній інженер-програміст команди інфраструктури безпеки Facebook Engineering у Лондоні, Facebook вибрав останнє. Якщо ваш пароль дуже близький до правильного, вони можуть вважати його точним. Правила для цього прості. Facebook прийме неправильний пароль, якщо він відповідає будь-якій із цих умов:
У вас увімкнено Caps Lock, а великі літери змінено.
Ви вводите додатковий символ на початку або в кінці пароля
Перший символ пароля має бути малим, але ви ввели його з великої літери
Як бачите, усі ці варіанти зосереджені на основній концепції дещо пропущеного пароля під час введення. У деяких випадках це може бути проблемою автовиправлення, наприклад, коли перша літера слова пишеться з великої літери. Якщо ваш неправильно введений пароль відповідає цим конкретним правилам, ви не дізнаєтеся, що виникла проблема — ви просто ввійдете в систему.
Наприклад, припустимо, що ваш пароль «letMeIn». Facebook також прийме «LETmEiN» (оскільки це пряма зміна caps lock) і «LetMeIn» (оскільки це неправильна велика літера для першої літери). Він також приймає такі варіанти, як «1letMeIn» та «letMeIn2», оскільки вони правильні, за винятком додаткового символу на початку або в кінці. Однак він взагалі не приймає «LETMEIN», «letmein» або «12LetMeIn».
Цей процес все ще безпечний
На перший погляд, поблажливість до пароля Facebook звучить небезпечно. Але в даному випадку істина складніша. Хоча легко згадати старі кримінальні драми про хакерів, які показували швидке підбір пароля за лічені хвилини, злом взагалі не працює таким чином. Підбір невідомих паролів існує, але він дуже відрізняється від того, що передбачає телевізор. Як xkcd чудово демонструє, оскільки довжина пароля збільшується, час його зламу також збільшується в геометричній прогресії. Додавання складності допомагає, але не настільки, як ви думаєте.
Тож один із сценаріїв, які допускає Facebook, — додатковий символ на початку або в кінці пароля, було б ще важче застосувати грубою силою. Хакерам уже знадобиться правильний пароль, перш ніж вони встановлять пароль і додатковий символ.
Особливий інтерес представляє сценарій caps lock. Я перевірив це, спочатку вручну ввівши свій пароль у блокнот, перевернувши регістр, а потім вставивши цей результат у Facebook. Він відхилив цей пароль. Потім я ввімкнув Caps Lock і ввів свій пароль, ніби Caps Lock вимкнено, таким чином повернувши регістр. Ця спроба була успішною, і я ввійшов у систему. Facebook перевіряє не лише пароль, а й те, як ви його вводите. Brute Force не допоможе в цьому сценарії, за винятком імітації caps lock, що було б складніше, ніж просто націлюватися на справжній пароль.
Оновлення: як зазначає консультант з інформаційної безпеки Пол Мур Twitter, Facebook, швидше за все, зберігає лише ваш оригінальний пароль (належним чином хешований та підсолений), а не варіанти вашого пароля. Коли ви вводите пароль для входу, він перевіряється на відповідність оригінальному паролю. Якщо він не збігається, Facebook запускає ваш надісланий пароль за допомогою цих варіантів. Наприклад, якщо у вас увімкнено Caps Lock, Facebook бере ваш надісланий пароль, змінює великі літери та повторює спробу. Якщо це не спрацює, Facebook спробує ще раз із наступним сценарієм. По суті, Facebook робить те, що ви зробили б, отримавши повідомлення про «неправильний пароль», — перевіряє випадкову помилку у введеному паролі та виправляє його. Це робить весь процес менш неприємним для вас. Це не зменшує безпеку, тому що все ще потрібна певна ідея правильного пароля, а допустимі варіанти є вузькими.
Що ще важливіше, методи грубої сили не є основним методом отримання доступу до соціальних мереж та інших акаунтів. Соціальна інженерія та дампи паролів набагато простіші у використанні. Якщо у вас є запитання щодо скидання пароля, є пристойна ймовірність, що принаймні деякі відповіді є загальнодоступною інформацією. Якщо ваше запитання щодо скидання стосується вашого місця народження, дівочого прізвища матері або талісмана середньої школи, тоді можна відстежити відповідь. У цей момент поганий актор може скинути ваш пароль, що робить будь-яку потребу вгадати або визначити сам пароль цілком спірним.
На жаль, багато людей все ще використовують ту саму комбінацію електронної пошти та пароля на кожному сайті, для якого потрібні облікові дані для входу. Вам не потрібно далеко шукати, щоб знайти екземпляр за екземпляром злому даних. Якщо ви використовуєте одну і ту саму комбінацію електронної пошти та пароля в кількох місцях і використовуєте це роками, то ваші паролі є вразливими місцями, а не політикою Facebook.
Якщо ви не впевнені, чи стали ви жертвою порушення, перейдіть до haveibeenpwned.com і перевірте, чи не вкрали ваш пароль. Швидше за все, у вас десь був скомпрометований принаймні якийсь обліковий запис.
Ви завжди повинні захищати свої облікові записи
Якщо ви все ще переживаєте, що ця політика залишає вас уразливими, ви можете вжити заходів. Перший крок — припинити використовувати однакові паролі для кожного сайту. Замість цього придбайте менеджер паролів і дозвольте йому генерувати унікальні довгі паролі для кожного сайту, який ви використовуєте. Потім, наступного разу, коли ви побачите, що веб-сайт, який ви використовували, зламано, ви можете змінити лише цей пароль і відчувати себе в безпеці, знаючи, що цей один відомий пароль не принесе хакерам користі.
Після того, як ви посилите свої паролі, увімкніть двофакторну автентифікацію на будь-якому сайті, який її пропонує. Facebook пропонує двофакторну аутентифікацію, тому ви також повинні налаштувати її там. Найкраща двофакторна аутентифікація покладається на програму на вашому смартфоні, яка часто генерує новий код, або на фізичний ключ, який ви зберігаєте при собі. Хоча двофакторна аутентифікація на основі SMS краще, ніж нічого, вона все ще вразлива до методів соціальної інженерії. Тож якщо ви можете покладатися на програму аутентифікації або фізичний ключ, ви повинні. І створіть резервну копію на випадок, якщо щось трапиться з вашим телефоном або ключем.
Завдяки цій комбінації ваш обліковий запис буде набагато безпечнішим, незалежно від політики паролів Facebook. Ви повинні принаймні використовувати менеджер паролів та унікальні паролі, але краще використовувати їх у поєднанні з двофакторною автентифікацією.
Не панікуйте; Насолоджуйтесь зручністю
Що стосується політики Facebook щодо паролів, то легко хвилюватися, що вона менш безпечна, але реальність така, що переваги переважають ризики. Безпека – це балансування. Чим більше ви заблокуєте систему, тим менш зручним буде доступ до неї. Але якщо ви додасте зручніший доступ, ви втратите безпеку. Хитрість полягає в тому, щоб отримати потрібну кількість обох, щоб захистити своїх користувачів, не розчаровуючи їх. Facebook допустив помилку щодо зручності для користувачів, і це, ймовірно, прийнятне рішення.