Facebook Fudges ο κωδικός σας για την ευκολία σας
Αν νομίζετε ότι η μόνη σωστή έκδοση του κωδικού σας είναι η ακριβής χρήση κεφαλαίων και η ακολουθία χαρακτήρων / συμβόλων που χρησιμοποιείτε, μπορεί να έχετε σοκ. Το Facebook θα δέχεται μικρές παραλλαγές του κωδικού σας, για την ευκολία σας. Και είναι απολύτως ασφαλές.
Οι κωδικοί πρόσβασης είναι εύκολοι στην ανίχνευση
Το Facebook και άλλες ιστοσελίδες σαν αυτό έχουν πρόβλημα. Θα ήθελαν να χρησιμοποιήσετε μακρινούς και περίπλοκους κωδικούς πρόσβασης, αλλά είναι δύσκολο να πληκτρολογήσετε. Θα πρέπει να χρησιμοποιείτε έναν διαχειριστή κωδικών πρόσβασης για να το φροντίσετε για εσάς, αλλά οι περισσότεροι άνθρωποι δεν το κάνουν. Και εξαιτίας αυτών των δύο παραγόντων, είναι συνηθισμένο να πληκτρολογείτε εσφαλμένα τον κωδικό πρόσβασής σας.
Σε αυτό το σημείο, τι πρέπει να κάνει το Facebook?
Σε περίπτωση που σας αρνηθούν την είσοδο μόνο επειδή ο κωδικός πρόσβασής σας ήταν ελαφρώς σβηστός και σας απογοητεύει με μια δεύτερη προσπάθεια; Ή θα πρέπει να αναγνωρίζουν ότι ο παρεχόμενος κωδικός πρόσβασης ήταν πιθανώς σωστός, αλλά με τυπογραφικό λάθος και να εξομαλύνετε το ταξίδι σας προς τα gif γάτας και τις εικόνες μωρών αγνοώντας το λάθος?
Το Facebook Αξιολογεί τα λάθη στους κωδικούς πρόσβασης
Όπως εξηγεί ο Alec Muffet, πρώην μηχανικός λογισμικού για την ομάδα ασφάλειας υποδομής στο Facebook Engineering στο Λονδίνο, το Facebook επέλεξε το τελευταίο. Εάν ο κωδικός πρόσβασής σας είναι πολύ κοντά για να διορθωθεί, μπορεί να το μετρήσει ως ακριβής. Οι κανόνες για αυτό είναι απλοί. Το Facebook θα δεχτεί έναν εσφαλμένο κωδικό πρόσβασης εάν πληροί οποιεσδήποτε από τις παρακάτω προϋποθέσεις:
- Έχετε ενεργοποιημένη την κεφαλή κλειδώματος και οι κεφαλαιοποιήσεις αντιστρέφονται.
- Εισάγετε έναν επιπλέον χαρακτήρα στην αρχή ή το τέλος ενός κωδικού πρόσβασης
- Ο πρώτος χαρακτήρας του κωδικού πρόσβασης πρέπει να είναι πεζά, αλλά πληκτρολογήσατε κεφαλαία
Όπως βλέπετε, όλες αυτές οι παραλλαγές επικεντρώνονται γύρω από τη βασική ιδέα της ελαφρά έλλειψης του κωδικού πρόσβασής σας κατά την πληκτρολόγηση. Σε ορισμένες περιπτώσεις, αυτό μπορεί να είναι ένα ζήτημα αυτόματης διόρθωσης, όπως το πρώτο γράμμα μιας λέξης που κεφαλαιοποιείται. Αν ο εσφαλμένος κωδικός πρόσβασης σας πληροί αυτούς τους συγκεκριμένους κανόνες, δεν θα ξέρετε ότι υπήρξε πρόβλημα - θα βρεθείτε μόνο στο λογαριασμό σας.
Για παράδειγμα, ας πούμε ότι ο κωδικός πρόσβασής σας είναι "letMeIn". Το Facebook θα δεχτεί επίσης το "LETmEiN" (επειδή πρόκειται για μια αντίστροφη κλειδαριά κλειδιού) και "LetMeIn" (επειδή αυτό είναι λάθος κεφάλαιο για το πρώτο γράμμα). Θα δεχτεί επίσης παραλλαγές όπως "1letMeIn" και "letMeIn2" επειδή αυτές είναι σωστές εκτός από έναν πρόσθετο χαρακτήρα στην αρχή ή το τέλος. Ωστόσο, δεν θα δεχτεί "LETMEIN", "letmein" ή "12LetMeIn" καθόλου.
Αυτή η διαδικασία είναι ακόμα ασφαλής
Εποχή / ShutterstockΣτην πρώτη κοκκινίζει, η ειλικρίνεια του κωδικού πρόσβασης του Facebook ακούγεται ανασφαλής. Αλλά σε αυτή την περίπτωση, η αλήθεια είναι πιο περίπλοκη. Αν και είναι εύκολο να σκεφτούμε παλιά δράματα εγκληματιών χάκερ που έδειχναν γρήγορη βίαιη δύναμη να μαντέψουν έναν κωδικό σε λίγα λεπτά, η πειρατεία δεν λειτουργεί καθόλου. Ο βίαιος εξαναγκασμός των άγνωστων κωδικών πρόσβασης υπάρχει, αλλά είναι πολύ διαφορετικό από αυτό που υπονοεί η τηλεόραση. Όπως δείχνει φανερά το xkcd, καθώς το μήκος ενός κωδικού αυξάνεται, ο χρόνος για να σπάσει αυξάνεται επίσης εκθετικά. Η προσθήκη της πολυπλοκότητας βοηθάει, αλλά όχι τόσο όσο σκεφτόσαστε.
Επομένως, ένα από τα σενάρια που επιτρέπει το Facebook, ένας επιπλέον χαρακτήρας στην αρχή ή στο τέλος του κωδικού πρόσβασης, θα ήταν ακόμη πιο δύσκολο να βλάψει τη δύναμη. Οι χάκερς θα χρειαστεί να έχουν ήδη τον σωστό κωδικό πρόσβασης πριν να το κάνουν στον κωδικό πρόσβασης, καθώς και έναν επιπλέον χαρακτήρα.
Ιδιαίτερο ενδιαφέρον παρουσιάζει το σενάριο κλειδώματος caps. Δοκίμασα αυτό αρχικά πληκτρολογώντας τον κωδικό πρόσβασής μου σε σημειωματάριο, αντιστρέφοντας την υπόθεση και στη συνέχεια τοποθετώντας το αποτέλεσμα στο Facebook. Αρνήθηκε αυτόν τον κωδικό πρόσβασης. Στη συνέχεια ενεργοποίησα τα caps lock και πληκτρολογούσα τον κωδικό μου σαν να ήταν κλειδωμένο το καπάκι, αντιστρέφοντας έτσι την υπόθεση. Αυτή η απόπειρα ήταν επιτυχής και ήμουν συνδεδεμένος. Το Facebook δεν ελέγχει μόνο τον κωδικό πρόσβασης αλλά και τον τρόπο εισαγωγής του. Η Brute Force δεν θα βοηθήσει σε αυτό το σενάριο, εκτός από την προσομοίωση caps lock, κάτι που θα ήταν πιο δύσκολο από το να στοχεύεις μόνο τον πραγματικό κωδικό πρόσβασης.
Εκσυγχρονίζω: Όπως ο σύμβουλος ασφάλειας πληροφοριών Paul Moore επισημαίνει στο Twitter, το Facebook είναι πιθανότερο να αποθηκεύει μόνο τον αρχικό σας κωδικό πρόσβασης (σωστά χυμένο και αλατισμένο) και όχι τις παραλλαγές του κωδικού πρόσβασής σας. Όταν υποβάλετε έναν κωδικό πρόσβασης για να συνδεθείτε, ελέγχεται από τον αρχικό σας κωδικό πρόσβασης. Εάν δεν ταιριάζει, το Facebook τρέχει τον κωδικό που έχετε υποβάλει μέσω αυτών των παραλλαγών. Για παράδειγμα, εάν το Caps Lock είναι ενεργοποιημένο, το Facebook παίρνει τον κωδικό που έχετε υποβάλει, αντιστρέφει την κεφαλαλγία των γραμμάτων και προσπαθεί ξανά. Εάν αυτό δεν λειτουργήσει, το Facebook προσπαθεί ξανά με το επόμενο σενάριο. Ουσιαστικά, το Facebook κάνει ό, τι θα κάνατε κάνοντας λήψη μηνύματος λάθους "λάθους" για τον έλεγχο τυχαίου σφάλματος στον πληκτρολογημένο κωδικό πρόσβασης και τη διόρθωσή του. Αυτό καθιστά όλη τη διαδικασία λιγότερο απογοητευτική για σας. Αυτό δεν μειώνει την ασφάλεια, επειδή υπάρχει ακόμα μια ιδέα για τον σωστό κωδικό πρόσβασης και οι αποδεκτές παραλλαγές είναι στενές.
Το πιο σημαντικό, οι μέθοδοι ωμής βίας δεν είναι η κύρια μέθοδος για να αποκτήσετε πρόσβαση σε κοινωνικά δίκτυα και άλλους λογαριασμούς. Οι χωματερές κοινωνικής μηχανικής και κωδικού πρόσβασης είναι πολύ απλούστερες στη χρήση. Εάν έχετε ερωτήσεις επαναφοράς κωδικού πρόσβασης, υπάρχει μια αξιοπρεπής ευκαιρία, τουλάχιστον ορισμένες από τις απαντήσεις είναι διαθέσιμες στο κοινό πληροφορίες. Εάν η ερώτησή σας για την επαναφορά αφορά τη γενέτειρά σας, το πατρικό όνομα της μητέρας ή τη μασκότ γυμνασίου, τότε είναι πιθανό να παρακολουθήσετε την απάντηση προς τα κάτω. Σε εκείνο το σημείο, ένας κακός ηθοποιός μπορεί να επαναφέρει τον κωδικό πρόσβασής σας, καθιστώντας απαραίτητη την εικασία ή τον προσδιορισμό του ίδιου του κωδικού πρόσβασης.
Δυστυχώς, πολλοί άνθρωποι εξακολουθούν να χρησιμοποιούν τον ίδιο συνδυασμό ηλεκτρονικού ταχυδρομείου και κωδικού πρόσβασης σε κάθε ιστότοπο που απαιτεί πιστοποιήσεις σύνδεσης. Δεν χρειάζεται να ψάχνετε πολύ για να βρεθείτε σε περίπτωση ύπαρξης παραβιάσεων δεδομένων. Εάν χρησιμοποιείτε τον ίδιο συνδυασμό ηλεκτρονικού ταχυδρομείου και κωδικού πρόσβασης σε περισσότερα από ένα μέρη και έχετε εδώ και χρόνια, τότε οι κωδικοί πρόσβασης είναι η ευπάθεια, όχι οι πολιτικές του Facebook.
Αν δεν είστε σίγουροι αν έχετε πέσει θύμα παραβίασης, μεταβείτε στο haveibeenpwned.com και ελέγξτε εάν ο κωδικός πρόσβασής σας έχει κλαπεί. Είναι πιθανό να είχατε τουλάχιστον κάποιους λογαριασμούς συμβιβασμένους κάπου.
Πρέπει να εξασφαλίζετε πάντα τους λογαριασμούς σας
Nicescene / Shutterstock.comΕάν εξακολουθείτε να ανησυχείτε ότι η πολιτική αυτή σας αφήνει ευάλωτους, υπάρχουν βήματα που μπορείτε να ακολουθήσετε. Το πρώτο βήμα είναι να σταματήσετε να χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης για κάθε τοποθεσία. Αντ 'αυτού, λάβετε έναν διαχειριστή κωδικών πρόσβασης και αφήστε τον να δημιουργήσει μοναδικούς μακρινούς κωδικούς πρόσβασης για κάθε διαφορετικό ιστότοπο που χρησιμοποιείτε. Στη συνέχεια, την επόμενη φορά που θα διαπιστώσετε ότι ένας ιστότοπος που χρησιμοποιήσατε έχει παραβιαστεί, μπορείτε να αλλάξετε ακριβώς αυτόν τον κωδικό πρόσβασης και να αισθανθείτε ασφαλής γνωρίζοντας ότι αυτός ο γνωστός κωδικός πρόσβασης δεν θα κάνει τους χάκερς κακό.
Αφού σκληρύνετε τους κωδικούς πρόσβασής σας, ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων σε κάθε τοποθεσία που σας προσφέρει. Το Facebook προσφέρει αυθεντικότητα δύο παραγόντων, οπότε πρέπει να το ρυθμίσετε και εκεί. Ο καλύτερος έλεγχος ταυτότητας δύο στοιχείων βασίζεται σε μια εφαρμογή με το smartphone που παράγει συχνά έναν νέο κωδικό ή ένα φυσικό κλειδί που κρατάτε μαζί σας. Ενώ ο έλεγχος ταυτότητας με δύο παράγοντες που βασίζεται σε SMS είναι καλύτερος από τίποτα, εξακολουθεί να είναι ευάλωτος στις τεχνικές κοινωνικής μηχανικής. Επομένως, αν μπορείτε να βασιστείτε σε μια εφαρμογή ελέγχου ταυτότητας ή σε ένα φυσικό κλειδί, θα πρέπει. Και να έχετε ένα αντίγραφο ασφαλείας σε περίπτωση που συμβεί κάτι με το τηλέφωνο ή το κλειδί σας.
Με αυτόν τον συνδυασμό, ο λογαριασμός σας είναι πολύ πιο ασφαλής, ανεξάρτητα από τις πολιτικές κωδικού πρόσβασης του Facebook. Θα πρέπει τουλάχιστον να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης και μοναδικούς κωδικούς πρόσβασης, αλλά χρησιμοποιώντας αυτές σε συνδυασμό με έλεγχο ταυτότητας δύο παραγόντων είναι καλύτερο.
Μην πανικοβληθείτε. Απολαύστε την ευκολία
Όσον αφορά την πολιτική κωδικού πρόσβασης του Facebook, είναι εύκολο να ανησυχείτε ότι είναι λιγότερο ασφαλές, αλλά η πραγματικότητα είναι τα οφέλη που αντισταθμίζουν τους κινδύνους. Η ασφάλεια είναι μια πράξη εξισορρόπησης. Όσο περισσότερο κλειδώνετε ένα σύστημα, τόσο λιγότερο εύκολη είναι η πρόσβαση. Αλλά καθώς προσθέτετε πιο εύκολη πρόσβαση, χάνετε ασφάλεια. Το κόλπο είναι να πάρει τα σωστά ποσά και από τα δύο για να προστατεύσει τους χρήστες σας χωρίς να τους απογοητεύει. Το Facebook έσφαλε από την πλευρά της ευκολίας του χρήστη εδώ, και αυτό είναι πιθανώς μια αποδεκτή απόφαση.