Ha úgy gondolja, hogy jelszavának egyetlen helyes verziója a pontos nagybetűs írás és betű-/szimbólum-sorozat, sokkot kaphat. A Facebook az Ön kényelme érdekében elfogadja jelszavának csekély módosításait. És teljesen biztonságos.
Tartalomjegyzék
A jelszavakat könnyű félreírni
A Facebookon és más hasonló oldalakon van egy probléma. Azt szeretnék, ha hosszú és bonyolult jelszavakat használna, de ezeket nehéz begépelni. Jelszókezelőt kellene használnod, hogy gondoskodjon erről, de a legtöbben nem teszik ezt. E két tényező miatt gyakran előfordul, hogy rosszul írja be a jelszavát.
Ilyenkor mit tegyen a Facebook?
Meg kell tagadniuk a belépést csak azért, mert a jelszava kissé hibás volt, és meg kell hiúsítaniuk egy második próbálkozással? Vagy fel kell ismerniük, hogy a megadott jelszó valószínűleg helyes volt, de elírást tartalmazott, és a hiba figyelmen kívül hagyásával simítsák fel az utat a macskagifekhez és babaképekhez?
A Facebook kiértékeli a jelszavak hibáit
Mint Alec Muffet, a londoni Facebook Engineering biztonsági infrastruktúra csapatának korábbi szoftvermérnöke elmagyarázza, a Facebook az utóbbit választotta. Ha a jelszava nagyon közel áll a helyeshez, akkor pontosnak számíthatják. A szabályok erre egyértelműek. A Facebook elfogadja a helytelen jelszót, ha az megfelel az alábbi feltételek bármelyikének:
A caps lock be van kapcsolva, és a nagybetűk megfordulnak.
A jelszó elején vagy végén egy plusz karaktert ír be
A jelszó első karakterének kisbetűnek kell lennie, de nagybetűvel írta be
Amint láthatja, ezek a változatok mind arra az alapgondolatra összpontosítanak, hogy gépelés közben kissé hiányzik a jelszó. Bizonyos esetekben ez az automatikus javítás problémája lehet, például egy szó első betűje nagybetűs. Ha hibásan beírt jelszava megfelel ezeknek a szabályoknak, akkor nem fogja tudni, hogy probléma történt – csak bejelentkezve találja magát.
Tegyük fel például, hogy a jelszava „letMeIn”. A Facebook elfogadja a „LETmEiN”-t (mivel ez a nagybetűs zár felfordítása) és a „LetMeIn”-t (mivel ez helytelen az első betűnél). Elfogadja az olyan változatokat is, mint az „1letMeIn” és a „letMeIn2”, mert ezek helyesek, kivéve egy további karaktert az elején vagy végén. A „LETMEIN”, „letmein” vagy „12LetMeIn” kifejezést azonban egyáltalán nem fogadja el.
Ez a folyamat továbbra is biztonságos
Első ránézésre bizonytalannak hangzik a Facebook jelszóengedékenysége. De ebben az esetben az igazság bonyolultabb. Míg könnyen elképzelhetőek a régi hacker-bűnügyi drámák, amelyek gyors, nyers erővel, percek alatt kitalált jelszót mutattak be, a hackelés egyáltalán nem így működik. Létezik az ismeretlen jelszavak durva kényszerítése, de ez egészen más, mint amit a TV sugall. Mint xkcd híresen bemutatja, a jelszó hosszának növekedésével a feltörési idő is exponenciálisan növekszik. A komplexitás növelése segít, de nem annyira, mint gondolná.
Így a Facebook által megengedett egyik forgatókönyvet, egy extra karaktert a jelszó elején vagy végén még nehezebb lenne nyers erővel végrehajtani. A hackereknek már rendelkezniük kell a helyes jelszóval, mielőtt hozzáférnének a jelszóhoz, plusz egy további karakterhez.
Különösen érdekes a caps lock forgatókönyv. Ezt úgy teszteltem, hogy először manuálisan beírtam a jelszavamat a Jegyzettömbbe, megfordítottam az esetet, majd beillesztettem az eredményt a Facebookba. Megtagadta ezt a jelszót. Ezután bekapcsoltam a caps lockot, és úgy írtam be a jelszavamat, mintha a cap lock ki lenne kapcsolva, így fordítottam a helyzetet. Ez a kísérlet sikeres volt, és bejelentkeztem. A Facebook nem csak azt ellenőrzi, hogy mi a jelszó, hanem azt is, hogyan adja meg. A Brute Force ebben a forgatókönyvben nem segít, csak a caps lock szimulációja, ami nehezebb lenne, mint a tényleges jelszó megcélzása.
Frissítés: Paul Moore információbiztonsági tanácsadó rámutat Twitter, a Facebook valószínűleg csak az eredeti jelszavát tárolja (megfelelően kivonatolva és sózott), és nem a jelszó változatait. Amikor elküld egy jelszót a bejelentkezéshez, azt a rendszer összeveti az eredeti jelszóval. Ha nem egyezik, a Facebook ezeken a változatokon keresztül futtatja a beküldött jelszavát. Például, ha a Caps Lock be van kapcsolva, a Facebook elveszi a beküldött jelszavát, megfordítja a nagybetűket, és újra próbálkozik. Ha ez nem működik, a Facebook újra próbálkozik a következő forgatókönyvvel. Lényegében a Facebook azt csinálja, amit te tettél volna, ha „rossz jelszó” üzenetet kap – ellenőrzi, hogy nincs-e véletlen hiba a beírt jelszóban, és kijavítja azt. Így az egész folyamat kevésbé frusztráló lesz az Ön számára. Ez nem csökkenti a biztonságot, mert még mindig szükség van a helyes jelszóra, és az elfogadott variációk szűkek.
Ennél is fontosabb, hogy a brute force módszerek nem az elsődleges módszer a közösségi hálózatokhoz és más fiókokhoz való hozzáféréshez. A social engineering és a jelszókiíratások használata sokkal egyszerűbb. Ha jelszó-visszaállítással kapcsolatos kérdései vannak, jó esély van arra, hogy a válaszok legalább egy része nyilvánosan hozzáférhető információ. Ha a visszaállítással kapcsolatos kérdése a szülőhelyére, anyja leánykori nevére vagy a középiskolai kabalára vonatkozik, akkor megtalálhatja a választ. Ezen a ponton a rossz szereplő visszaállíthatja a jelszavát, így a jelszó kitalálása vagy meghatározása teljesen vitathatatlan.
Sajnos sokan még mindig ugyanazt az e-mail-cím és jelszó kombinációt használják minden olyan webhelyen, amelyhez bejelentkezési adatokra van szükség. Nem kell messzire keresnie, hogy az adatszivárgás eseteit egymás után találja meg. Ha egynél több helyen használja ugyanazt az e-mail-cím és jelszó kombinációt, és már évek óta használja, akkor a jelszavak jelentik a sebezhetőséget, nem pedig a Facebook irányelvei.
Ha nem biztos abban, hogy jogsértés áldozata lett-e, látogasson el ide haveibeenpwned.com és ellenőrizze, hogy nem lopták-e el jelszavát. Valószínűleg legalább egy fiókja feltört valahol.
Mindig védje fiókját
Ha továbbra is attól tart, hogy ez az irányelv sebezhetővé teszi Önt, néhány lépést megtehet. Az első lépés az, hogy ne használja ugyanazt a jelszót minden webhelyen. Ehelyett szerezzen be egy jelszókezelőt, és hagyja, hogy egyedi hosszú jelszavakat generáljon minden használt webhelyhez. Amikor legközelebb azt látja, hogy egy használt webhelyet feltörtek, csak ezt az egy jelszót módosíthatja, és biztonságban érezheti magát, tudva, hogy ez az ismert jelszó nem tesz jót a hackereknek.
Miután megerősítette jelszavait, kapcsolja be a kétfaktoros hitelesítést minden olyan webhelyen, amely ezt kínálja. A Facebook kéttényezős hitelesítést kínál, ezért ott is be kell állítania. A legjobb kéttényezős hitelesítés az okostelefonon lévő alkalmazáson alapul, amely gyakran generál új kódot, vagy egy fizikai kulcson, amelyet magánál tart. Bár az SMS-alapú kéttényezős hitelesítés jobb a semminél, még mindig ki van téve a social engineering technikáknak. Tehát ha támaszkodhat egy hitelesítő alkalmazásra vagy egy fizikai kulcsra, akkor ezt kell tennie. És legyen biztonsági másolat arra az esetre, ha valami történne a telefonjával vagy a kulcsával.
Ezzel a kombinációval fiókja sokkal biztonságosabb, függetlenül a Facebook jelszószabályzatától. Használjon legalább jelszókezelőt és egyedi jelszavakat, de jobb, ha ezeket kétfaktoros hitelesítéssel kombinálja.
Ne essen pánikba; Élvezze a kényelmet
Ami a Facebook jelszópolitikáját illeti, könnyű attól tartani, hogy kevésbé biztonságos, de a valóság az, hogy az előnyök felülmúlják a kockázatokat. A biztonság kiegyensúlyozó tevékenység. Minél jobban zárol egy rendszert, annál kevésbé kényelmes hozzáférni. De a kényelmesebb hozzáféréssel elveszíti a biztonságot. A trükk abban rejlik, hogy mindkettőből megfelelő mennyiséget szerezzen be, hogy megvédje a felhasználókat anélkül, hogy frusztrálná őket. A Facebook itt tévedett a felhasználói könnyedség oldalán, és ez valószínűleg elfogadható döntés.