Οθόνη σύνδεσης στο Facebook

Εάν πιστεύετε ότι η μόνη σωστή έκδοση του κωδικού πρόσβασής σας είναι η ακριβής χρήση κεφαλαίων και γραμμάτων γραμμάτων / συμβόλων που χρησιμοποιείτε, ενδέχεται να είστε σοκαρισμένοι. Το Facebook θα δεχτεί μικρές παραλλαγές του κωδικού πρόσβασής σας, για την εξυπηρέτησή σας. Και είναι απολύτως ασφαλές.

Οι κωδικοί πρόσβασης είναι εύκολο να κάνουν λάθος

Το Facebook και άλλοι ιστότοποι όπως αυτό έχουν πρόβλημα. Θα ήθελαν να χρησιμοποιείτε μεγάλους και περίπλοκους κωδικούς πρόσβασης, αλλά είναι δύσκολο να πληκτρολογηθούν. Θα πρέπει να χρησιμοποιείτε έναν διαχειριστή κωδικών πρόσβασης για να το φροντίσετε, αλλά οι περισσότεροι δεν το κάνουν. Και λόγω αυτών των δύο παραγόντων, είναι σύνηθες να πληκτρολογείτε λάθος τον κωδικό πρόσβασής σας.

Σε αυτό το σημείο τι πρέπει να κάνει το Facebook;

Πρέπει να σας αρνηθούν την είσοδο μόνο και μόνο επειδή ο κωδικός πρόσβασής σας ήταν ελαφρώς απενεργοποιημένος και να σας απογοητεύσει με μια δεύτερη προσπάθεια; Ή θα πρέπει να αναγνωρίσουν ότι ο παρεχόμενος κωδικός πρόσβασης ήταν πιθανώς σωστός, αλλά με ένα τυπογραφικό λάθος και να διευκολύνει το ταξίδι σας σε γάτες gif και φωτογραφίες μωρών αγνοώντας το λάθος;

Το Facebook αξιολογεί τα λάθη στους κωδικούς πρόσβασης

Όπως εξηγεί ο Alec Muffet, πρώην μηχανικός λογισμικού για την ομάδα υποδομών ασφαλείας στο Facebook Engineering στο Λονδίνο, το Facebook επέλεξε το τελευταίο. Εάν ο κωδικός πρόσβασής σας είναι πολύ κοντά στο σωστό, ενδέχεται να τον μετρήσουν ως ακριβές. Οι κανόνες για αυτό είναι απλοί. Το Facebook θα αποδεχτεί έναν λανθασμένο κωδικό πρόσβασης εάν πληροί οποιαδήποτε από αυτές τις προϋποθέσεις:

  • Έχετε ενεργοποιήσει το caps lock και οι κεφαλαιοποιήσεις αντιστρέφονται. Εισάγετε έναν επιπλέον χαρακτήρα στην αρχή ή στο τέλος ενός κωδικού πρόσβασης Ο πρώτος χαρακτήρας του κωδικού πρόσβασης πρέπει να είναι πεζός, αλλά τον πληκτρολογήσατε με κεφαλαία γράμματα

Όπως μπορείτε να δείτε, όλες αυτές οι παραλλαγές επικεντρώνονται στη βασική ιδέα του να χάνετε ελαφρώς τον κωδικό πρόσβασής σας κατά την πληκτρολόγηση. Σε ορισμένες περιπτώσεις, αυτό μπορεί να είναι ένα ζήτημα αυτόματης διόρθωσης, όπως το πρώτο γράμμα μιας λέξης με κεφαλαία γράμματα. Εάν ο κωδικός πρόσβασης που πληκτρολογήσατε εσφαλμένα πληροί αυτούς τους συγκεκριμένους κανόνες, δεν θα ξέρετε ότι υπήρχε πρόβλημα - απλώς θα συνδεθείτε.

Για παράδειγμα, ας υποθέσουμε ότι ο κωδικός πρόσβασής σας είναι "letMeIn". Το Facebook θα δεχτεί επίσης το "LETmEiN" (επειδή αυτό είναι ένα straight-top caps lock reversing) και το "LetMeIn" (επειδή αυτό είναι λάθος κεφάλαιο για το πρώτο γράμμα). Θα δεχτεί επίσης παραλλαγές όπως "1letMeIn" και "letMeIn2" επειδή αυτές είναι σωστές εκτός από έναν πρόσθετο χαρακτήρα στην αρχή ή στο τέλος. Ωστόσο, δεν θα δεχτεί καθόλου "LETMEIN", "letmein" ή "12LetMeIn".

Αυτή η διαδικασία είναι ακόμα ασφαλής

άτομο που βλέπει το Facebook σε φορητό υπολογιστή

Αρχικά, η ελαστικότητα του κωδικού πρόσβασης του Facebook ακούγεται ανασφαλής. Αλλά σε αυτήν την περίπτωση, η αλήθεια είναι πιο περίπλοκη. Παρόλο που είναι εύκολο να σκεφτεί κανείς παλιά δράματα εγκληματικών χάκερ που έδειξαν γρήγορη ωμή δύναμη να μαντέψουν έναν κωδικό πρόσβασης σε λίγα λεπτά, το hacking δεν λειτουργεί καθόλου έτσι. Υπάρχει βίαιος εξαναγκασμός άγνωστων κωδικών πρόσβασης, αλλά είναι πολύ διαφορετικός από ότι υπονοεί η τηλεόραση. Όπως καταδεικνύει το xkcd, καθώς αυξάνεται το μήκος ενός κωδικού πρόσβασης, ο χρόνος για να τον σπάσει αυξάνεται επίσης εκθετικά. Η προσθήκη πολυπλοκότητας βοηθά, αλλά όχι όσο νομίζετε.

Έτσι, ένα από τα σενάρια που επιτρέπει το Facebook, ένας επιπλέον χαρακτήρας στην αρχή ή στο τέλος του κωδικού πρόσβασης, θα ήταν ακόμη πιο δύσκολο να γίνει βίαιο. Οι χάκερ θα πρέπει ήδη να έχουν τον σωστό κωδικό πρόσβασης πριν φτάσουν στον κωδικό πρόσβασης και έναν επιπλέον χαρακτήρα.

Ιδιαίτερο ενδιαφέρον παρουσιάζει το σενάριο κλειδώματος κεφαλαίων. Το δοκίμασα πρώτα πληκτρολογώντας χειροκίνητα τον κωδικό πρόσβασής μου στο σημειωματάριο, αντιστρέφοντας τη θήκη και μετά επικολλώντας το αποτέλεσμα στο Facebook. Αρνήθηκε αυτόν τον κωδικό πρόσβασης. Στη συνέχεια, ενεργοποίησα το caps lock και πληκτρολόγησα τον κωδικό πρόσβασής μου σαν να ήταν κλειδωμένο το lock lock, αντιστρέφοντας έτσι την υπόθεση. Αυτή η προσπάθεια ήταν επιτυχής και συνδεθήκαμε. Το Facebook δεν ελέγχει μόνο ποιος είναι ο κωδικός πρόσβασης αλλά και πώς τον εισάγετε. Το Brute Force δεν θα βοηθήσει σε αυτό το σενάριο, εκτός από την προσομοίωση caps lock, κάτι που θα ήταν πιο δύσκολο από το να στοχεύουμε στον πραγματικό κωδικό πρόσβασης.

Ενημέρωση: Όπως επισημαίνει ο σύμβουλος ασφάλειας πληροφοριών Paul Moore στο Twitter, το Facebook πιθανότατα αποθηκεύει μόνο τον αρχικό κωδικό πρόσβασής σας (σωστά κατακερματισμένος και αλατισμένος) και όχι τις παραλλαγές του κωδικού πρόσβασής σας. Όταν υποβάλλετε έναν κωδικό πρόσβασης για να συνδεθείτε, ελέγχεται με τον αρχικό κωδικό πρόσβασης. Εάν δεν ταιριάζει, το Facebook εκτελεί τον κωδικό πρόσβασης που έχετε υποβάλει μέσω αυτών των παραλλαγών. Για παράδειγμα, εάν το Caps Lock είναι ενεργοποιημένο, το Facebook παίρνει τον κωδικό πρόσβασης που έχετε υποβάλει, αντιστρέφει την κεφαλαιοποίηση των γραμμάτων και προσπαθεί ξανά. Εάν αυτό δεν λειτουργήσει, το Facebook προσπαθεί ξανά με το επόμενο σενάριο. Ουσιαστικά, το Facebook κάνει ό, τι θα κάνατε όταν λάβατε ένα μήνυμα «λανθασμένου κωδικού πρόσβασης» - ελέγχοντας για τυχαίο σφάλμα στον πληκτρολογημένο κωδικό πρόσβασης και διορθώνοντάς τον. Αυτό καθιστά ολόκληρη τη διαδικασία λιγότερο απογοητευτική για εσάς. Αυτό δεν μειώνει την ασφάλεια, επειδή εξακολουθεί να απαιτείται κάποια ιδέα του σωστού κωδικού πρόσβασης και οι αποδεκτές παραλλαγές είναι περιορισμένες.

Το πιο σημαντικό είναι ότι οι μέθοδοι brute force δεν είναι η κύρια μέθοδος για να αποκτήσετε πρόσβαση σε κοινωνικά δίκτυα και άλλους λογαριασμούς. Η απόρριψη κοινωνικής μηχανικής και κωδικών πρόσβασης είναι πολύ πιο απλή στη χρήση. Εάν έχετε ερωτήσεις επαναφοράς κωδικού πρόσβασης, υπάρχει πιθανότητα τουλάχιστον μερικές από τις απαντήσεις να είναι δημόσια προσβάσιμες πληροφορίες. Εάν η ερώτησή σας για επαναφορά αφορά τη γενέτειρά σας, το πατρικό όνομα της μητέρας ή τη μασκότ γυμνασίου, τότε μπορείτε να παρακολουθήσετε την απάντηση. Σε αυτό το σημείο, ένας κακός ηθοποιός μπορεί να επαναφέρει τον κωδικό πρόσβασής σας, κάνοντας κάθε ανάγκη να μαντέψει ή να προσδιορίσει τον ίδιο τον κωδικό πρόσβασης.

Δυστυχώς, πολλά άτομα εξακολουθούν να χρησιμοποιούν τον ίδιο συνδυασμό email και κωδικού πρόσβασης σε κάθε ιστότοπο που απαιτεί διαπιστευτήρια σύνδεσης. Δεν χρειάζεται να κοιτάξετε μακριά για να βρείτε παράδειγμα μετά από παραβίαση δεδομένων. Εάν χρησιμοποιείτε τον ίδιο συνδυασμό email και κωδικού πρόσβασης σε περισσότερα από ένα μέρη και είστε εδώ και χρόνια, τότε οι κωδικοί πρόσβασής σας είναι η ευπάθεια και όχι οι πολιτικές του Facebook.

Εάν δεν είστε βέβαιοι εάν έχετε πέσει θύμα παραβίασης, μεταβείτε στη διεύθυνση hasibeenpwned.com και ελέγξτε εάν έχει κλαπεί ο κωδικός πρόσβασής σας. Οι πιθανότητες είναι ότι τουλάχιστον κάποιος λογαριασμός έχει παραβιαστεί κάπου.

Πρέπει πάντα να προστατεύετε τους λογαριασμούς σας

όνομα χρήστη και κωδικός πρόσβασης

Εάν εξακολουθείτε να ανησυχείτε ότι αυτή η πολιτική σας αφήνει ευάλωτους, υπάρχουν βήματα που μπορείτε να ακολουθήσετε. Το πρώτο βήμα είναι να σταματήσετε να χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης για κάθε ιστότοπο. Αντ 'αυτού, πάρτε έναν διαχειριστή κωδικών πρόσβασης και αφήστε τον να δημιουργήσει μοναδικούς μεγάλους κωδικούς πρόσβασης για κάθε διαφορετικό ιστότοπο που χρησιμοποιείτε. Στη συνέχεια, την επόμενη φορά που θα δείτε ότι ένας ιστότοπος που χρησιμοποιήσατε έχει παραβιαστεί, μπορείτε να αλλάξετε μόνο αυτόν τον κωδικό πρόσβασης και να αισθανθείτε ασφαλείς γνωρίζοντας ότι αυτός ο γνωστός κωδικός πρόσβασης δεν θα κάνει κανένα καλό στους χάκερ.

Αφού σκληρύνετε τους κωδικούς πρόσβασης, ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων σε οποιονδήποτε ιστότοπο που τον προσφέρει. Το Facebook προσφέρει έλεγχο ταυτότητας δύο παραγόντων, επομένως θα πρέπει να το ρυθμίσετε και εκεί. Ο καλύτερος έλεγχος ταυτότητας δύο παραγόντων βασίζεται σε μια εφαρμογή με το smartphone σας που δημιουργεί συχνά έναν νέο κωδικό ή ένα φυσικό κλειδί που κρατάτε μαζί σας. Ενώ ο έλεγχος ταυτότητας δύο παραγόντων που βασίζεται σε SMS είναι καλύτερος από το τίποτα, εξακολουθεί να είναι ευάλωτος στις τεχνικές κοινωνικής μηχανικής. Επομένως, εάν μπορείτε να βασιστείτε σε μια εφαρμογή ελέγχου ταυτότητας ή ένα φυσικό κλειδί, θα πρέπει. Και δημιουργήστε ένα αντίγραφο ασφαλείας σε περίπτωση που συμβεί κάτι με το τηλέφωνο ή το κλειδί σας.

Με αυτόν τον συνδυασμό, ο λογαριασμός σας είναι πολύ πιο ασφαλής ανεξάρτητα από τις πολιτικές κωδικών πρόσβασης του Facebook. Θα πρέπει τουλάχιστον να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης και μοναδικούς κωδικούς πρόσβασης, αλλά η χρήση αυτών σε συνδυασμό με τον έλεγχο ταυτότητας δύο παραγόντων είναι καλύτερη.

Μην πανικοβληθείτε. Απολαύστε την ευκολία

Όσον αφορά την πολιτική κωδικών πρόσβασης του Facebook, είναι εύκολο να ανησυχείτε ότι είναι λιγότερο ασφαλές, αλλά η πραγματικότητα είναι ότι τα οφέλη υπερτερούν των κινδύνων. Η ασφάλεια είναι μια πράξη εξισορρόπησης. Όσο περισσότερο κλειδώνετε ένα σύστημα, τόσο λιγότερο βολικό είναι να έχετε πρόσβαση. Αλλά καθώς προσθέτετε πιο βολική πρόσβαση, χάνετε την ασφάλεια. Το κόλπο είναι να λάβετε τα σωστά ποσά και των δύο για να προστατεύσετε τους χρήστες σας χωρίς να τους απογοητεύσετε. Το Facebook έκανε λάθος από την πλευρά της ευκολίας των χρηστών εδώ, και αυτή είναι πιθανώς μια αποδεκτή απόφαση.