Facebook Fudges ditt lösenord för ditt bekvämlighet
Om du tror att den enda korrekta versionen av ditt lösenord är den exakta bokstaven och bokstaven / symbolföljden du använder kan du vara i chock. Facebook kommer att acceptera små variationer av ditt lösenord, för din bekvämlighet. Och det är helt säkert.
Lösenord är lätta att misstänka
Facebook och andra webbplatser som det har ett problem. De skulle vilja att du använder långa och komplicerade lösenord, men de är svåra att skriva. Du bör använda en lösenordshanterare för att ta hand om det för dig, men de flesta gör det inte. Och på grund av dessa två faktorer är det vanligt att du misstänker ditt lösenord.
På den tiden vad ska Facebook göra?
Skulle de neka dig inmatning bara för att ditt lösenord var lite av och frustrera dig med ett andra försök? Eller ska de erkänna att det angivna lösenordet troligen var korrekt men med ett typsnitt och släta din resa till kattgubbar och bebisbilder genom att ignorera misstaget?
Facebook utvärderar misstag i lösenord
Som Alec Muffet, en tidigare mjukvaruingenjör för säkerhetsinfrastrukturlaget på Facebook Engineering i London, förklarar, valde Facebook den senare. Om ditt lösenord är mycket nära att rätta, kan de räkna det som korrekt. Reglerna för detta är enkla. Facebook kommer att acceptera ett felaktigt lösenord om det uppfyller något av följande villkor:
- Du har kepslås påslagen och kapitaliseringarna är omvända.
- Du anger ett extra tecken i början eller slutet av ett lösenord
- Lösenordets första tecken bör vara små bokstäver, men du skrev det aktiverat
Som du kan se är dessa variationer alla centrerade kring det grundläggande begreppet att något saknar ditt lösenord när du skriver. I vissa fall kan detta vara ett problem med autokorrigering, som att en första bokstav i ett ord aktiveras. Om ditt felaktiga lösenord uppfyller dessa specifika regler vet du inte att det var ett problem. Du hittar bara dig själv inloggad.
Till exempel, låt oss säga att ditt lösenord är "letMeIn." Facebook kommer också att acceptera "LETmEiN" (eftersom det är en straight-up caps lock reversal) och "LetMeIn" (eftersom det är felaktigt kapital för första bokstaven). Det kommer också att acceptera variationer som "1letMeIn" och "letMeIn2" eftersom de är korrekta förutom ett extra tecken i början eller slutet. Det accepterar emellertid inte "LETMEIN", "letmein" eller "12LetMeIn" alls.
Denna process är fortfarande säker
Seasontime / ShutterstockVid första rodnad låter Facebooks lösenordsljud osäkert. Men i det här fallet är sanningen mer komplicerad. Även om det är lätt att tänka på gamla hackerbrott dramaserier som visade snabb brute force gissar på ett lösenord på bara några minuter, fungerar hacking inte alls alls. Brute-tvingande okända lösenord existerar, men det är väldigt annorlunda än vad TV betyder. Som xkcd demonstrerar berömt, när längden på ett lösenord ökar, ökar tiden för att spricka den också exponentiellt. Att lägga till komplexitet hjälper, men inte så mycket som du kanske tror.
Så en av scenarierna som Facebook tillåter, ett extra tecken i början eller slutet av lösenordet, skulle vara ännu svårare att brute force. Hackare skulle redan behöva ha rätt lösenord innan de gjorde det till lösenordet plus ett extra tecken.
Av särskilt intresse är Caps Lock-scenariot. Jag testade detta genom att manuellt skriva mitt lösenord i anteckningsblock, reversera fallet och klistra in det där resultatet i Facebook. Den nekade det lösenordet. Sedan slog jag på kepslås och skrev mitt lösenord som om locket var avstängt och sålunda reverserade fallet. Det försöket lyckades, och jag var inloggad. Facebook kontrollerar inte bara vad lösenordet är men hur du anger det. Brute Force hjälper inte i det scenariot, utan att simulera caps lock, vilket skulle vara svårare än att bara rikta sig till själva lösenordet.
Uppdatering: Som informationskonsulent Paul Moore på Twitter, Facebook är mest sannolikt att endast lagra ditt ursprungliga lösenord (korrekt hashed och saltat) och inte varianterna av ditt lösenord. När du skickar in ett lösenord för att logga in, är det kontrollerat mot ditt ursprungliga lösenord. Om det inte matchar, kör Facebook ditt inlämnade lösenord genom dessa variationer. Till exempel, om din Caps Lock är på, tar Facebook ditt inlämnade lösenord, reverserar bokstävernas bokstavs bokstav och försöker igen. Om det inte fungerar, försöker Facebook igen med nästa scenario. I huvudsak gör Facebook vad du skulle ha gjort när du får ett felmeddelande "Fel lösenord" -kollar efter ett oavsiktligt fel i det skrivna lösenordet och korrigerar det. Det gör hela processen mindre frustrerande för dig. Detta minskar inte säkerheten, eftersom en viss uppfattning om rätt lösenord fortfarande behövs och de accepterade variationerna är smala.
Viktigare är att brute force-metoder inte är den primära metoden för att få tillgång till sociala nätverk och andra konton. Socialteknik och lösenordsdump är mycket enklare att använda. Om du har frågor om återställning av lösenord är det en anständig chans att åtminstone några av svaren är allmänt tillgänglig information. Om din återställningsfråga handlar om din födelseplats, mors mamma eller skola mascot, så är det möjligt att spåra svaret nere. Då kan en dålig skådespelare återställa ditt lösenord, vilket gör att du inte behöver gissa eller bestämma lösenordet helt och hållet.
Tyvärr använder många fortfarande samma e-post och lösenordskombination på varje sajt som kräver inloggningsuppgifter. Du behöver inte titta långt för att hitta instans efter instans av dataöverträdelser. Om du använder samma e-post och lösenordskombination på mer än ett ställe, och har varit i flera år, är dina lösenord sårbarheten, inte Facebooks policy.
Om du är osäker på om du har blivit utsatt för ett brott, gå till hasibeenpwned.com och kontrollera om ditt lösenord har blivit stulen. Chansen är att du har haft åtminstone något konto som äventyras någonstans.
Du bör alltid säkra dina konton
Nicescene / Shutterstock.comOm du fortfarande är orolig för att denna policy leder dig sårbar, finns det steg du kan ta. Det första steget är att sluta använda samma lösenord för varje webbplats. Istället får du en lösenordshanterare och låter den generera unika långa lösenord för varje annan webbplats du använder. Då nästa gång du ser att en webbplats du använde har äventyras kan du bara ändra det enda lösenordet och känna dig tryggt och veta att det här kända lösenordet inte gör hackarna något bra.
När du har härdat lösenordet kan du aktivera tvåfaktorsautentisering på vilken webbplats som helst. Facebook erbjuder tvåfaktors autentisering, så du borde också ställa in den där också. Den bästa tvåfaktorsautentiseringen är beroende av en app med din smartphone som genererar en ny kod ofta eller en fysisk nyckel som du håller med dig. Medan SMS-baserad tvåfaktorsautentisering är bättre än ingenting, är den fortfarande sårbar för socialtekniksteknik. Så om du kan lita på en autentiseringsapp eller en fysisk nyckel, borde du. Och få en backup på plats om något händer med din telefon eller nyckel.
Med den här kombinationen är ditt konto mycket säkrare oavsett Facebooks lösenordspolicy. Du bör åtminstone använda en lösenordshanterare och unika lösenord, men det är bättre att använda dem i kombination med tvåfaktors autentisering.
Inte panik; Njut av bekvämligheten
När det gäller Facebooks lösenpolitik, är det lätt att oroa sig för att det är mindre säkert, men verkligheten är fördelarna överväger riskerna. Säkerhet är en balansräkning. Ju mer du låser ner ett system, desto mindre är det tillträde. Men när du lägger till mer bekväm tillgång, förlorar du säkerheten. Tricket får rätt mängd både för att skydda dina användare utan att frustrera dem. Facebook fel på sidan av användarvänlighet här, och det är förmodligen ett acceptabelt beslut.