Facebook Fudges sua senha para sua conveniência

Se você acha que a única versão correta da sua senha é a exata capitalização e letra / seqüência de símbolos que você usa, você pode estar em choque. O Facebook aceitará pequenas variações de sua senha, para sua conveniência. E é perfeitamente seguro.

As senhas são fáceis de misturar

O Facebook e outros sites como ele têm um problema. Eles gostariam que você usasse senhas longas e complicadas, mas essas são difíceis de digitar. Você deve usar um gerenciador de senhas para cuidar disso, mas a maioria das pessoas não. E por causa desses dois fatores, é comum digitar sua senha.

Nesse ponto, o que o Facebook deve fazer?

Eles devem negar sua entrada apenas porque sua senha estava um pouco fora e frustrar você com uma segunda tentativa? Ou eles devem reconhecer que a senha fornecida provavelmente estava correta, mas com um erro de digitação e suavizar sua jornada para gifs e fotos de bebês ignorando o erro?

Facebook avalia erros em senhas

Alec Muffet, ex-engenheiro de software da equipe de infraestrutura de segurança da Facebook Engineering em Londres, explica que o Facebook escolheu o segundo. Se a sua senha estiver muito próxima da correta, ela pode ser considerada correta. As regras para isso são simples. O Facebook aceitará uma senha incorreta se ela atender a uma dessas condições:

• Você bloqueou o Caps Lock e as capitalizações estão invertidas.
• Você insere um caractere extra em o início ou o fim de uma senha
• O primeiro caractere da senha deve estar em minúscula, mas você digitou em maiúsculas

Como você pode ver, todas essas variações são centralizadas em torno do conceito básico de perder um pouco sua senha ao digitar. Em alguns casos, isso pode ser um problema de autocorreção, como a primeira letra de uma palavra sendo capitalizada. Se a sua senha digitada incorretamente atende a essas regras específicas, você não saberá se houve um problema - você simplesmente estará logado.

Por exemplo, digamos que sua senha seja "letMeIn". O Facebook também aceite “LETmEiN” (porque é uma reversão de caps lock em linha reta) e “LetMeIn” (porque é o capital incorreto para a primeira letra). Ele também aceita variações como "1letMeIn" e "letMeIn2" porque elas estão corretas, exceto por um caractere adicional no início ou no final. No entanto, ele não aceita “LETMEIN”, “letmein” ou “12LetMeIn”.

Este processo ainda é seguro

primeiro blush, lenience de senha do Facebook parece inseguro. Mas neste caso, a verdade é mais complicada. Embora seja fácil pensar em dramas de crimes de hackers antigos que mostraram força bruta rapidamente adivinhando uma senha em apenas alguns minutos, o hacking não funciona dessa maneira. Forças brutas forçando senhas desconhecidas existem, mas é muito diferente do que a TV implica. Como demonstra o xkcd, à medida que o comprimento de uma senha aumenta, o tempo para quebrá-la também aumenta exponencialmente. Adicionar complexidade ajuda, mas não tanto quanto você imagina.

Assim, um dos cenários permitidos pelo Facebook, um caractere extra no início ou no final da senha, seria ainda mais difícil para a força bruta. Os hackers já precisariam ter a senha correta antes de chegarem à senha, além de um caractere extra.

De particular interesse é o cenário de caps lock. Eu testei isso primeiro digitando manualmente minha senha no bloco de notas, invertendo o caso e depois colando esse resultado no Facebook. Ele negou essa senha. Em seguida, liguei o caps lock e digitei minha senha como se o bloqueio do bloco estivesse desligado, invertendo assim o caso. Essa tentativa foi bem-sucedida, e eu estava logado. O Facebook não está apenas verificando qual é a senha, mas como você a insere. O Brute Force não ajudará nesse cenário, menos do que simular o caps lock, o que seria mais difícil do que apenas apontar para a senha real.

Mais importante ainda, os métodos de força bruta não são o principal método para ganhar acesso a redes sociais e outras contas. A engenharia social e os dumps de senhas são muito mais simples de usar. Se você tiver perguntas de redefinição de senha, há uma boa chance de que pelo menos algumas das respostas sejam informações publicamente acessíveis. Se sua pergunta de redefinição for sobre seu local de nascimento, nome de solteira da mãe ou mascote do ensino médio, é possível rastrear a resposta. Nesse ponto, um mau ator pode redefinir sua senha, fazendo com que qualquer necessidade de adivinhar ou determinar a própria senha seja totalmente irrelevante.

Infelizmente, muitas pessoas ainda usam a mesma combinação de e-mail e senha em todos os sites que exigem credenciais de login. Você não precisa procurar muito para encontrar instâncias após ocorrências de violações de dados. Se você usa a mesma combinação de e-mail e senha em mais de um lugar e há anos, suas senhas são a vulnerabilidade, não as políticas do Facebook.

Se você não tem certeza se está Se você foi vítima de uma violação, acesse o site www.ibemibeenpwned.com e verifique se sua senha foi roubada. É provável que você tenha pelo menos alguma conta comprometida em algum lugar.

Você deve sempre proteger suas contas

Se ainda estiver preocupado com essa política deixa você vulnerável, há passos que você pode dar. O primeiro passo é parar de usar a mesma senha para todos os sites. Em vez disso, obtenha um gerenciador de senhas e deixe gerar senhas longas exclusivas para cada site diferente que você usa. Então, na próxima vez que você ver que um site que você usou foi comprometido, você pode alterar apenas essa senha e se sentir seguro sabendo que essa senha conhecida não servirá para os hackers.

Depois de endureça suas senhas, ative a autenticação de dois fatores em qualquer site que a ofereça. O Facebook oferece autenticação de dois fatores, então você deve configurá-lo lá também. A melhor autenticação de dois fatores depende de um aplicativo com seu smartphone que gera um novo código frequentemente ou de uma chave física que você mantém com você. Embora a autenticação de dois fatores baseada em SMS seja melhor que nada, ela ainda é vulnerável a técnicas de engenheiro social. Então, se você pode confiar em um aplicativo autenticador ou em uma chave física, você deve. E tenha um backup em vigor caso algo aconteça com seu telefone ou chave.

Com essa combinação, sua conta é muito mais segura, independentemente das políticas de senha do Facebook. Você deve pelo menos usar um gerenciador de senhas e senhas exclusivas, mas usá-las em combinação com autenticação de dois fatores é melhor.

Não entre em pânico; Aproveite a conveniência

Quanto à política de senha do Facebook, é fácil se preocupar que ela seja menos segura, mas a realidade é que os benefícios superam os riscos. A segurança é um ato de equilíbrio. Quanto mais você bloquear um sistema, menos conveniente será acessar. Mas à medida que você adiciona acesso mais conveniente, perde a segurança. O truque é obter as quantidades certas de ambos para proteger seus usuários sem frustrá-los. O Facebook errou ao lado da facilidade do usuário aqui, e essa é provavelmente uma decisão aceitável.

Via: How to Geek