Facebook fonde la tua password per la tua convenienza
Se pensi che l'unica versione corretta della tua password sia l'esatta maiuscola e la sequenza di lettere / simboli che usi, potresti essere in uno shock. Facebook accetterà piccole variazioni della tua password, per tua comodità. Ed è perfettamente sicuro.
Le password sono facili da riconoscere
Facebook e altri siti come questo hanno un problema. Vorrebbero che tu usassi password lunghe e complicate, ma quelle sono difficili da scrivere. Dovresti usare un gestore di password per prenderti cura di te per te, ma la maggior parte delle persone no. E a causa di questi due fattori, è normale digitare la tua password.
A quel punto cosa dovrebbe fare Facebook?
Dovrebbero negarti l'entrata solo perché la tua password era leggermente fuori e ti frustri con un secondo tentativo? O dovrebbero riconoscere che la password fornita era probabilmente corretta ma con un errore di battitura e liscia il tuo viaggio verso le gif di gatti e le foto dei bambini ignorando l'errore?
Facebook valuta gli errori nelle password
Come spiega Alec Muffet, ex ingegnere del software per l'infrastruttura di sicurezza di Facebook Engineering a Londra, Facebook ha scelto quest'ultimo. Se la tua password è molto vicina alla corretta, potrebbero contarla come accurata. Le regole per questo sono semplici. Facebook accetterà una password errata se soddisfa una delle seguenti condizioni:
- Hai attivato il blocco maiuscole e le maiuscole sono invertite.
- Immetti un carattere in più all'inizio o alla fine di una password
- Il primo carattere della password deve essere in minuscolo, ma è stato digitato in maiuscolo
Come potete vedere, queste variazioni sono tutte incentrate sul concetto di base di perdere leggermente la password durante la digitazione. In alcuni casi, questo potrebbe essere un problema di correzione automatica, come la prima lettera di una parola che viene scritta in maiuscolo. Se la tua password digitata in modo errato rispetta queste regole specifiche, non saprai che c'è stato un problema: ti troverai appena registrato.
Ad esempio, supponiamo che la tua password sia "letMeIn." Facebook accetterà anche "LETmEiN" (perché si tratta di un'inversione di blocco maiuscole dirette) e "LetMeIn" (perché è la maiuscola errata per la prima lettera). Accetterà anche variazioni come "1MeMeIn" e "letMeIn2" perché sono corrette tranne che per un carattere aggiuntivo all'inizio o alla fine. Tuttavia, non accetta affatto "LETMEIN", "letmein" o "12LetMeIn".
Questo processo è ancora sicuro
Seasontime / ShutterstockA prima vista, la parola d'ordine della password di Facebook sembra insicura. Ma in questo caso, la verità è più complicata. Mentre è facile pensare ai vecchi drammi criminali degli hacker che mostravano una forza bruta veloce che indovinava una password in pochi minuti, l'hacking non funziona affatto così. Esiste la forzatura brutale di password sconosciute, ma è molto diversa da quanto implica la TV. Come xkcd dimostra notoriamente, con l'aumentare della lunghezza di una password, anche il tempo di craccarlo aumenta esponenzialmente. Aggiungere complessità aiuta, ma non tanto quanto si potrebbe pensare.
Quindi, uno degli scenari consentiti da Facebook, un personaggio in più all'inizio o alla fine della password, sarebbe ancora più difficile per la forza bruta. Gli hacker avrebbero già bisogno della password corretta prima di passare alla password più un carattere extra.
Di particolare interesse è lo scenario di blocco dei tappi. Ho provato questo digitando prima la mia password manualmente nel blocco note, invertendo il caso, quindi incollando quel risultato in Facebook. Ha negato quella password. Ho quindi attivato il blocco maiuscole e digitato la mia password come se il blocco del tappo fosse spento, invertendo così il caso. Quel tentativo ha avuto successo, e ho effettuato l'accesso. Facebook non sta solo controllando la password ma come la inserisci. La forza bruta non aiuterà in questo scenario, a meno di simulare il blocco delle maiuscole, il che sarebbe più difficile del semplice mirare alla password effettiva.
Aggiornare: Come informa Paul Moore, consulente per la sicurezza delle informazioni su Twitter, Facebook probabilmente memorizza solo la tua password originale (correttamente hash e salata) e non le varianti della tua password. Quando invii una password per accedere, viene controllata con la tua password originale. Se non corrisponde, Facebook esegue la tua password inviata attraverso queste variazioni. Ad esempio, se il Blocco maiuscole è attivo, Facebook accetta la password inviata, annulla la maiuscola delle lettere e riprova. Se questo non funziona, Facebook ci riprova con lo scenario successivo. Essenzialmente, Facebook sta facendo ciò che avresti fatto per ottenere una "password errata" che verificava un errore accidentale nella password digitata e la correggeva. Ciò rende l'intero processo meno frustrante per te. Ciò non diminuisce la sicurezza, perché è ancora necessaria un'idea della password corretta e le variazioni accettate sono strette.
Ancora più importante, i metodi di forza bruta non sono il metodo principale per accedere ai social network e ad altri account. L'ingegneria sociale e i dump delle password sono molto più semplici da usare. Se hai domande di reimpostazione della password, c'è una buona possibilità che almeno alcune delle risposte siano informazioni accessibili pubblicamente. Se la tua domanda di ripristino riguarda la tua città natale, il nome da nubile della madre o la mascotte del liceo, è possibile rintracciare la risposta. A quel punto, un cattivo attore può reimpostare la password, facendo in modo che non sia necessario indovinare o determinare la stessa password.
Sfortunatamente, molte persone usano ancora la stessa combinazione di email e password in ogni sito che richiede credenziali di accesso. Non è necessario guardare lontano per trovare un'istanza dopo l'istanza di violazioni dei dati. Se stai utilizzando la stessa combinazione di email e password in più di un luogo e lo sei da anni, le tue password sono la vulnerabilità, non le politiche di Facebook.
Se non sei sicuro di essere stato vittima di una violazione, vai su haveibeenpwned.com e controlla se la tua password è stata rubata. È probabile che tu abbia almeno qualche account compromesso da qualche parte.
Dovresti sempre proteggere i tuoi account
Nicescene / Shutterstock.comSe sei ancora preoccupato che questa politica ti lasci vulnerabile, ci sono dei passi da fare. Il primo passo è smettere di usare la stessa password per ogni sito. Invece, ottenere un gestore di password e lasciar generare lunghe password uniche per ogni sito diverso che si utilizza. Quindi, la prossima volta che vedi che un sito web che hai usato è stato compromesso, puoi cambiare solo quella password e sentirti sicuro sapendo che questa password conosciuta non farà bene agli hacker.
Dopo aver indurito le password, attiva l'autenticazione a due fattori in qualsiasi sito che la offre. Facebook offre l'autenticazione a due fattori, quindi dovresti configurarlo anche lì. La migliore autenticazione a due fattori si basa su un'app con il tuo smartphone che genera frequentemente un nuovo codice o una chiave fisica che tieni con te. Mentre l'autenticazione a due fattori basata su SMS è meglio di niente, è ancora vulnerabile alle tecniche di ingegneria sociale. Quindi, se puoi fare affidamento su un'app autenticatore o su una chiave fisica, dovresti. E avere un backup in atto nel caso in cui qualcosa accade con il telefono o la chiave.
Con questa combinazione, il tuo account è molto più sicuro a prescindere dalle norme sulle password di Facebook. Dovresti almeno usare un gestore di password e password univoche, ma usare quelle in combinazione con l'autenticazione a due fattori è meglio.
Non fare il panico; Goditi la convenienza
Per quanto riguarda la politica delle password di Facebook, è facile temere che sia meno sicura, ma la realtà è che i benefici superano i rischi. La sicurezza è un atto di bilanciamento. Più blocchi un sistema, meno è conveniente accedere. Ma quando aggiungi un accesso più conveniente, perdi sicurezza. Il trucco sta nel prendere le giuste quantità di entrambi per proteggere i tuoi utenti senza frustrarli. Facebook ha commesso un errore sul lato della facilità utente qui, e questa è probabilmente una decisione accettabile.