פייסבוק fudges הסיסמה שלך עבור הנוחות שלך
אם אתה חושב שהגרסה הנכונה היחידה של הסיסמה שלך היא האותיות המדויקות ורצף אות / סמל שבו אתה משתמש, ייתכן שאתה בהלם. פייסבוק תקבל שינויים קלים של הסיסמה שלך, לנוחותך. וזה בטוח לגמרי.
סיסמאות קל Mistype
בפייסבוק ובאתרים אחרים כמו זה יש בעיה. הם רוצים שתשתמש בסיסמאות ארוכות ומורכבות, אך קשה להקליד אותם. אתה צריך להשתמש במנהל סיסמה כדי לטפל בזה בשבילך, אבל רוב האנשים לא. ובגלל שני גורמים אלה, זה נפוץ להטעות את הסיסמה שלך.
בשלב זה מה צריך לעשות פייסבוק?
האם הם צריכים להכחיש לך כניסה רק בגלל הסיסמה שלך היה קצת off, ולסכל אותך עם ניסיון שני? או שהם צריכים לזהות את הסיסמה שסופקה היה נכון נכון, אבל עם שגיאת הקלדה להחליק את המסע אל החתול gifs ותמונות התינוק על ידי התעלמות הטעות?
פייסבוק מעריך טעויות בסיסמאות
כפי שאלק מאפט, מהנדס תוכנה לשעבר של צוות תשתיות האבטחה בפייסבוק בהנדסה בלונדון, מסביר כי פייסבוק בחרה באחרונה. אם הסיסמה שלך קרובה מאוד לתיקון, הם עשויים לספור אותה כמדויקת. הכללים לכך הם פשוטים. פייסבוק תקבל סיסמה שגויה אם היא עונה על כל התנאים הבאים:
- יש לך נעילת פקקים מופעלת, והיוון באותיות היפוך.
- אתה מזין תו נוסף בהתחלה או בסיום של סיסמה
- התו הראשון של הסיסמה צריך להיות קטן, אבל הקלדת אותו באותיות רישיות
כפי שאתם יכולים לראות, וריאציות אלה ממוקדות סביב הרעיון הבסיסי של מעט חסר הסיסמה שלך בעת ההקלדה. במקרים מסוימים, זה עשוי להיות בעיה של תיקון נכון, כמו האות הראשונה של מילה להיות באותיות רישיות. אם הסיסמה המוטעית שלך עומדת בכללים הספציפיים האלה, לא תדע שהיתה בעיה - אתה תמצא את עצמך מחובר.
לדוגמה, נניח שהסיסמה שלך היא "letMeIn". פייסבוק גם יקבל "LETMEiN" (כי זה היפוך נעילת כובעים ישרה) ו "LetMeIn" (כי זה הון שגוי עבור האות הראשונה). זה גם יקבל וריאציות כמו "1letMeIn" ו "letMeIn2" כי אלה נכונים למעט תו נוסף בתחילת או בסוף. עם זאת, הוא לא יקבל "LETMEIN", "letmein", או "12 LetMeIn" בכלל.
תהליך זה עדיין מאובטח
העונה / Shutterstockבהתחלה, סומק הסיסמה של פייסבוק נשמע לא מאובטח. אבל במקרה זה, האמת מסובכת יותר. אמנם קל לחשוב על הדרמות הישנות של פשע האקרים שהראו כוח פראי מהיר מנחש סיסמה רק דקות, פריצה לא עובד ככה בכלל. סיסמאות לא מוכרות מאלצות את הסיסמאות הקיימות, אבל זה שונה בהרבה מהטלוויזיה. כמו xkcd מפורסם מדגים, כמו אורך של סיסמה מגדילה, הזמן לפצח אותו גם מגדיל באופן אקספוננציאלי. הוספת המורכבות עוזרת, אבל לא כמו שאתה יכול לחשוב.
אז אחד התרחישים כי פייסבוק מאפשר, אופי נוסף בתחילת או בסוף הסיסמה, יהיה קשה יותר כוח הזרוע. האקרים כבר היו צריכים לקבל את הסיסמה הנכונה לפני שהם עשו את זה על הסיסמה בתוספת אופי נוסף.
עניין מיוחד הוא תסמונת מנעולים מכסה. בדקתי את זה על ידי הראשון ידנית להקליד את הסיסמה שלי לתוך פנקס, להפוך את המקרה, ולאחר מכן להדביק את התוצאה לתוך פייסבוק. הוא דחה את הסיסמה. אחר כך הדלקתי את נעילת הקופסאות והקלדתי את הסיסמא כאילו נעילת הכובע נעלמה, וכך להפוך את המקרה. ניסיון זה היה מוצלח, ואני מחובר. פייסבוק הוא לא רק לבדוק מה הסיסמה היא אלא איך אתה מזין את זה. כוח פראי לא יעזור בתרחיש זה, קצר של הדמיה מנעולים מנעול, אשר יהיה קשה יותר מאשר רק מכוון עבור הסיסמה בפועל.
עדכון: כמו יועץ אבטחת מידע פול מור מצביע על טוויטר, פייסבוק הוא סביר להניח רק לאחסן את הסיסמה המקורית (כראוי hashed ומלוח) ולא את וריאציות של הסיסמה שלך. כאשר אתה שולח סיסמה כדי להיכנס, היא מסומנת נגד הסיסמה המקורית שלך. אם זה לא תואם, פייסבוק מפעילה את הסיסמה שנשלחו באמצעות וריאציות אלה. לדוגמה, אם ה- Caps Lock פועל, פייסבוק לוקח את הסיסמה שנשלחו, הופך את האותיות באותיות רישיות, ומנסה שוב. אם זה לא עובד, פייסבוק מנסה שוב עם התרחיש הבא. בעיקרו של דבר, פייסבוק עושה את מה שאתה היית עושה על מקבל הודעת שגיאה "שגיאה" הודעה לבדיקת שגיאה מקרית הסיסמה מוקלדת ולתקן אותו. זה עושה את התהליך כולו פחות מתסכל בשבילך. זה לא מקטין את האבטחה, כי עדיין יש צורך ברעיון כלשהו לגבי הסיסמה הנכונה והוריאציות המקובלות הן צרות.
חשוב יותר, שיטות כוח הזרוע הם לא השיטה העיקרית כדי לקבל גישה לרשתות חברתיות וחשבונות אחרים. הנדסה חברתית ואת המזבלות הסיסמה הם הרבה יותר פשוט לשימוש. אם יש לך שאלות לאיפוס סיסמה, יש סיכוי סביר לפחות חלק מהתשובות הן מידע נגיש לציבור. אם השאלה שלך איפוס הוא על מקום הלידה שלך, שם הנעורים של אמא, או קמע בית הספר התיכון, אז אפשר לעקוב אחר התשובה למטה. בשלב זה, שחקן גרוע יכול לאפס את הסיסמה שלך, מה שהופך כל צורך לנחש או לקבוע את הסיסמה עצמה לחלוטין לשוחח.
למרבה הצער, אנשים רבים עדיין משתמשים באותו שילוב דוא"ל וסיסמה בכל אתר המחייב אישורי כניסה. אתה לא צריך להסתכל רחוק כדי למצוא למשל לאחר מקרה של הפרות נתונים. אם אתה משתמש באותו שילוב של דוא"ל וסיסמה ביותר ממקום אחד, ונמשך שנים, הסיסמאות שלך הן הפגיעות, ולא המדיניות של Facebook.
אם אתה לא בטוח אם אתה כבר קורבן של הפרה, ללכת haveibeenpwned.com ולבדוק אם הסיסמה שלך נגנב. רוב הסיכויים שיש לך לפחות קצת חשבון נפרץ איפשהו.
אתה תמיד צריך לאבטח את החשבונות שלך
Nicescene / Shutterstock.comאם אתה עדיין מודאג שמדיניות זו מותירה אותך פגיע, ישנם צעדים שתוכל לנקוט. השלב הראשון הוא להפסיק להשתמש באותה סיסמה עבור כל אתר. במקום זאת, לקבל מנהל סיסמאות ולתת לו ליצור סיסמאות ארוכות ייחודי עבור כל אתר אחר אתה משתמש. לאחר מכן, בפעם הבאה שתראה שהאתר שבו השתמשת נפגע, תוכל לשנות רק את הסיסמה הזו ולהרגיש בטוח בידיעה שסיסמא אחת ידועה זו לא תעשה את ההאקרים כל טוב.
לאחר הקשחת הסיסמאות שלך, הפעל אימות של שני גורמים בכל אתר שמציע אותו. פייסבוק מציעה אימות שני גורמים, אז אתה צריך להגדיר אותו שם גם כן. האימות הטוב ביותר של שני גורמים מסתמך על אפליקציה עם הטלפון החכם שמייצר קוד חדש לעתים קרובות או מפתח פיזי שבו אתה שומר. בעוד אימות המבוסס על SMS של שני גורמים הוא טוב יותר מכלום, הוא עדיין פגיע לטכניקות של הנדסה חברתית. אז אם אתה יכול לסמוך על יישום אותנטור או מפתח פיזי, אתה צריך. ויש גיבוי במקום במקרה קורה משהו עם הטלפון או המפתח.
באמצעות שילוב זה, החשבון שלך מאובטח הרבה יותר, ללא תלות במדיניות הסיסמה של Facebook. אתה צריך לכל הפחות להשתמש במנהל סיסמאות וסיסמאות ייחודיות, אבל באמצעות אלה בשילוב עם אימות שני גורמים עדיף.
אין פאניקה; תיהנו מהנוחות
באשר למדיניות הסיסמה של פייסבוק, קל לדאוג שזה פחות מאובטח, אבל המציאות היא היתרונות עולים על הסיכונים. הביטחון הוא מעשה איזון. ככל שאתה נועל את המערכת, פחות נוח זה לגשת. אבל ככל שתוסיף גישה נוחה יותר, אתה מאבד את האבטחה. הטריק הוא מקבל את הכמויות הנכונות של שניהם כדי להגן על המשתמשים שלך ללא מתסכל אותם. פייסבוק שגה בצד של נוחות המשתמש כאן, וזה כנראה החלטה מקובלת.