Laman » bagaimana untuk » Facebook Fudges Kata Laluan Anda untuk Kemudahan Anda

    Facebook Fudges Kata Laluan Anda untuk Kemudahan Anda

    Jika anda fikir satu-satunya versi kata laluan yang betul adalah permodalan tepat dan urutan huruf / simbol yang anda gunakan, anda mungkin terkejut. Facebook akan menerima sedikit variasi kata laluan anda, untuk kemudahan anda. Dan ia sangat selamat.

    Kata Laluan Mudah Untuk Mistype

    Facebook dan laman web lain seperti itu mempunyai masalah. Mereka ingin anda menggunakan kata laluan yang panjang dan rumit, tetapi mereka sukar untuk menaip. Anda harus menggunakan pengurus kata laluan untuk mengurusnya untuk anda, tetapi kebanyakan orang tidak. Dan kerana kedua-dua faktor tersebut, adalah perkara biasa untuk mengetik kata laluan anda.

    Pada ketika itu, apa yang perlu Facebook lakukan?

    Sekiranya mereka menafikan anda masuk hanya kerana kata laluan anda sedikit di luar, dan menggagalkan anda dengan percubaan kedua? Atau haruskah mereka menyedari bahawa kata laluan yang disediakan mungkin betul tetapi dengan kesilapan menaip dan melancarkan perjalanan anda ke cat gifs dan gambar bayi dengan mengabaikan kesilapan?

    Facebook Menilai Kesalahan dalam Kata Laluan

    Sebagai Alec Muffet, bekas jurutera perisian untuk pasukan infrastruktur keselamatan di Facebook Engineering di London menerangkan, Facebook memilih yang terakhir. Jika kata laluan anda sangat hampir dengan betul, mereka boleh mengira ia tepat. Peraturan untuk ini adalah mudah. Facebook akan menerima kata laluan yang salah jika ia memenuhi mana-mana syarat berikut:

    • Anda mempunyai kunci caps dihidupkan, dan huruf besar dibalikkan.
    • Anda memasukkan watak tambahan pada awal atau akhir kata laluan
    • Watak pertama kata laluan harus huruf kecil, tetapi anda menaipnya huruf besar

    Seperti yang anda lihat, variasi ini semua berpusat di sekitar konsep asas yang sedikit hilang kata laluan anda semasa menaip. Dalam sesetengah kes, ini mungkin menjadi isu autocorrect, seperti huruf pertama perkataan yang dimodalkan. Jika kata laluan salah laku anda memenuhi peraturan khusus ini, anda tidak akan tahu ada masalah-anda akan mendapati diri anda log masuk.

    Sebagai contoh, katakan kata laluan anda adalah "letMeIn." Facebook juga akan menerima "LETmEiN" (kerana itu adalah kunci litar belakang lurus) dan "LetMeIn" (kerana modal yang salah untuk huruf pertama). Ia juga akan menerima variasi seperti "1letMeIn" dan "letMeIn2" kerana mereka adalah betul kecuali untuk watak tambahan pada awal atau akhir. Walau bagaimanapun, ia tidak akan menerima "LETMEIN", "letmein", atau "12LetMeIn" sama sekali.

    Proses ini masih selamat

    Seasontime / Shutterstock

    Pada permulaan pertama, kata laluan kata laluan Facebook tidak selamat. Tetapi dalam kes ini, kebenarannya lebih rumit. Walaupun mudah untuk berfikir tentang drama jenayah penggodam lama yang memperlihatkan kuasa brute yang cepat meneka pada kata laluan dalam beberapa minit, penggodaman tidak berfungsi dengan cara itu sama sekali. Kata-katak memaksa kata-kata yang tidak diketahui tidak wujud, tetapi ia sangat berbeza daripada yang ditunjukkan oleh TV. Seperti yang dinyatakan oleh xkcd, sebagai panjang kata laluan bertambah, masa untuk memecahnya juga meningkat dengan pesat. Menambah kerumitan membantu, tetapi tidak sebanyak yang anda fikirkan.

    Jadi salah satu daripada senario yang membolehkan Facebook, watak tambahan pada permulaan atau akhir kata laluan, akan menjadi lebih sukar untuk memaksa. Peretas sudah perlu mempunyai kata laluan yang betul sebelum mereka membuat kata laluan tersebut ditambah dengan aksara tambahan.

    Kepentingan tertentu ialah senario kunci huruf besar. Saya telah menguji ini dengan terlebih dahulu menaip kata laluan saya ke dalam notepad, membalikkan kes itu, kemudian menampal hasil itu ke Facebook. Ia menafikan kata laluan itu. Saya kemudian menghidupkan kunci caps dan menaip kata laluan saya seolah-olah kunci cap telah dimatikan, dengan itu membalikkan kes itu. Percubaan itu berjaya, dan saya telah masuk. Facebook bukan sahaja memeriksa kata laluan tetapi bagaimana anda memasukkannya. Pasukan Brute tidak akan membantu dalam senario itu, kekurangan penutup kunci simulasi, yang akan lebih sukar daripada hanya bertujuan untuk kata laluan yang sebenarnya.

    Kemas kini: Sebagai perunding keselamatan maklumat Paul Moore menunjukkan di Twitter, Facebook kebanyakannya hanya menyimpan kata laluan asal anda (betul dimudahkan dan asin) dan bukan variasi kata laluan anda. Apabila anda menghantar kata laluan untuk log masuk, ia ditandakan dengan kata laluan asal anda. Sekiranya ia tidak sepadan, Facebook menjalankan kata laluan anda yang dihantar melalui variasi ini. Contohnya, jika Caps Lock anda dihidupkan, Facebook mengambil kata laluan anda yang dikemukakan, membalik huruf kapital, dan cuba lagi. Jika itu tidak berfungsi, Facebook cuba lagi dengan senario seterusnya. Pada asasnya, Facebook sedang melakukan apa yang anda akan lakukan apabila mendapat "kata laluan yang salah" mesej-semak ralat ralat dalam kata laluan yang diketik dan membetulkannya. Itu menjadikan keseluruhan proses kurang mengecewakan untuk anda. Ini tidak mengurangkan keselamatan, kerana beberapa idea kata laluan yang betul masih diperlukan dan variasi yang diterima sempit.

    Lebih penting lagi, kaedah kekerasan bukan kaedah utama untuk mendapatkan akses kepada rangkaian sosial dan akaun lain. Kemusnahan kejuruteraan sosial dan kata laluan jauh lebih mudah digunakan. Jika anda mempunyai soalan reset kata laluan, ada peluang yang baik sekurang-kurangnya beberapa jawapan adalah maklumat yang boleh diakses secara umum. Sekiranya persoalan semula anda mengenai tempat kelahiran anda, nama ibu ibu, atau maskot sekolah tinggi, maka mungkin untuk menjejaki jawapannya. Pada ketika itu, seorang pelaku jahat boleh menetapkan semula kata laluan anda, membuat apa-apa keperluan untuk meneka atau menentukan kata laluan itu sendiri sepenuhnya.

    Malangnya, ramai orang masih menggunakan gabungan e-mel dan kata laluan yang sama di setiap laman web yang memerlukan kelayakan login. Anda tidak perlu melihat jauh untuk mencari contoh selepas pelanggaran data. Jika anda menggunakan gabungan e-mel dan kata laluan yang sama di lebih daripada satu tempat, dan telah bertahun-tahun, maka kata laluan anda adalah kelemahan, bukan dasar Facebook.

    Jika anda tidak pasti sama ada anda telah menjadi mangsa pelanggaran, pergi ke hasibeenpwned.com dan semak untuk mengetahui sama ada kata laluan anda telah dicuri. Kemungkinan anda mempunyai sekurang-kurangnya beberapa akaun dikompromikan di suatu tempat.

    Anda Perlu Sentiasa Mengamanahkan Akaun Anda

    Nicescene / Shutterstock.com

    Sekiranya anda masih bimbang bahawa dasar ini membuat anda terdedah, terdapat langkah yang anda boleh ambil. Langkah pertama ialah berhenti menggunakan kata laluan yang sama untuk setiap laman web. Sebaliknya, dapatkan pengurus kata laluan dan biarkan ia menghasilkan kata laluan panjang yang unik untuk setiap laman web yang anda gunakan. Kemudian, apabila anda melihat bahawa laman web yang anda gunakan telah dikompromi, anda boleh menukar kata laluan tersebut dan berasa selamat mengetahui bahawa kata laluan yang diketahui ini tidak akan melakukan apa-apa kebocoran peretas.

    Selepas anda mengeras kata laluan anda, aktifkan pengesahan dua faktor di mana-mana tapak yang menawarkannya. Facebook tidak menawarkan pengesahan dua faktor, jadi anda perlu menetapkannya di sana juga. Pengesahan dua faktor terbaik bergantung pada aplikasi dengan telefon pintar anda yang menjana kod baru dengan kerap atau kunci fizikal yang anda simpan dengan anda. Walaupun pengesahan dua faktor berasaskan SMS lebih baik daripada apa-apa, ia masih terdedah kepada teknik kejuruteraan sosial. Jadi jika anda boleh bergantung kepada aplikasi pengesah atau kunci fizikal, anda harus. Dan mempunyai sandaran jika terdapat sesuatu yang berlaku dengan telefon atau kunci anda.

    Dengan kombinasi ini, akaun anda jauh lebih selamat tanpa mengira dasar kata laluan Facebook. Sekurang-kurangnya sekurang-kurangnya anda harus menggunakan pengurus kata laluan dan kata laluan yang unik, tetapi menggunakan kombinasi dalam dua pengesahan dengan lebih baik.

    Jangan Panik; Nikmati Kemudahan

    Bagi dasar kata laluan Facebook, mudah dibimbangi bahawa ia kurang selamat, tetapi realiti adalah manfaat yang melebihi risiko. Keselamatan adalah tindakan mengimbangi. Semakin anda mengunci sistem, semakin mudah untuk mengaksesnya. Tetapi semasa anda menambah akses yang lebih mudah, anda kehilangan keselamatan. Caranya ialah mendapatkan jumlah yang tepat untuk melindungi pengguna anda tanpa mengecewakan mereka. Facebook salah di sisi pengguna mudah di sini, dan itu mungkin keputusan yang boleh diterima.