Pagina inicial » como » Facebook Fudges sua senha para sua conveniência

    Facebook Fudges sua senha para sua conveniência

    Se você acha que a única versão correta da sua senha é a exata capitalização e letra / seqüência de símbolos que você usa, você pode estar em choque. O Facebook aceitará pequenas variações de sua senha, para sua conveniência. E é perfeitamente seguro.

    Senhas são fáceis para mistype

    Facebook e outros sites como ele têm um problema. Eles gostariam que você usasse senhas longas e complicadas, mas elas são difíceis de digitar. Você deve estar usando um gerenciador de senhas para cuidar disso para você, mas a maioria das pessoas não o faz. E por causa desses dois fatores, é comum digitar sua senha.

    Nesse ponto, o que o Facebook deve fazer?

    Eles devem negar sua entrada só porque sua senha estava um pouco errada e frustrá-lo com uma segunda tentativa? Ou eles devem reconhecer que a senha fornecida provavelmente estava correta, mas com um erro de digitação e suavizar sua jornada para gifs e fotos de bebês ignorando o erro?

    Facebook avalia erros em senhas

    Como explica Alec Muffet, ex-engenheiro de software da equipe de infraestrutura de segurança da Facebook Engineering em Londres, o Facebook escolheu o segundo. Se a sua senha estiver muito próxima da correta, ela pode ser considerada correta. As regras para isso são simples. O Facebook aceitará uma senha incorreta se atender a uma dessas condições:

    • Você tem o caps lock ativado e as capitalizações estão invertidas.
    • Você insere um caractere extra no início ou no final de uma senha
    • O primeiro caractere da senha deve ser minúsculo, mas você digitou em maiúscula

    Como você pode ver, essas variações são todas centradas no conceito básico de perder um pouco sua senha ao digitar. Em alguns casos, isso pode ser um problema de autocorreção, como a primeira letra de uma palavra sendo capitalizada. Se a sua senha digitada incorretamente atende a essas regras específicas, você não saberá que houve um problema - você só vai se encontrar logado.

    Por exemplo, digamos que sua senha seja "letMeIn". O Facebook também aceitará "LETmEiN" (porque é uma reversão de bloqueio de maiúsculas direta) e "LetMeIn" (porque é o capital incorreto para a primeira letra). Ele também aceita variações como "1letMeIn" e "letMeIn2" porque elas estão corretas, exceto por um caractere adicional no início ou no final. No entanto, não aceitará “LETMEIN”, “letmein” ou “12LetMeIn”.

    Este processo ainda é seguro

    Seasontime / Shutterstock

    À primeira vista, a leniência da senha do Facebook parece insegura. Mas neste caso, a verdade é mais complicada. Embora seja fácil pensar em dramas de crimes de hackers antigos que mostraram força bruta rápida adivinhando uma senha em poucos minutos, o hacking não funciona dessa maneira. Forças brutas forçando senhas desconhecidas existem, mas é muito diferente do que a TV sugere. Como demonstra o xkcd, à medida que o comprimento de uma senha aumenta, o tempo para quebrá-la também aumenta exponencialmente. Adicionar complexidade ajuda, mas não tanto quanto você imagina.

    Assim, um dos cenários permitidos pelo Facebook, um caractere extra no início ou no final da senha, seria ainda mais difícil para a força bruta. Os hackers já precisariam ter a senha correta antes de chegarem à senha, além de um caractere extra.

    De particular interesse é o cenário de caps lock. Eu testei isso primeiro digitando manualmente minha senha no bloco de notas, invertendo o caso e depois colando esse resultado no Facebook. Ele negou essa senha. Em seguida, liguei o caps lock e digitei minha senha como se o bloqueio do bloco estivesse desligado, invertendo assim o caso. Essa tentativa foi bem-sucedida, e eu estava logado. O Facebook não está apenas verificando qual é a senha, mas como você a insere. O Brute Force não ajudará nesse cenário, não simulando caps lock, o que seria mais difícil do que apenas apontar para a senha real.

    AtualizarComo o consultor de segurança da informação Paul Moore aponta no Twitter, o Facebook provavelmente só armazena a sua senha original (corretamente com hash e salgados) e não as variações de sua senha. Quando você envia uma senha para fazer login, ela é verificada com relação à sua senha original. Se não corresponder, o Facebook executará sua senha enviada por meio dessas variações. Por exemplo, se o seu Caps Lock estiver ativado, o Facebook receberá sua senha, reverterá a capitalização das letras e tentará novamente. Se isso não funcionar, o Facebook tenta novamente com o próximo cenário. Essencialmente, o Facebook está fazendo o que você faria ao receber uma mensagem de “senha errada” - verificando um erro acidental na senha digitada e corrigindo-a. Isso torna todo o processo menos frustrante para você. Isso não diminui a segurança, porque ainda é necessária alguma ideia da senha correta e as variações aceitas são restritas.

    Mais importante, os métodos de força bruta não são o principal método para obter acesso a redes sociais e outras contas. A engenharia social e os dumps de senhas são muito mais simples de usar. Se você tiver perguntas de redefinição de senha, há uma boa chance de que pelo menos algumas das respostas sejam informações publicamente acessíveis. Se a sua pergunta de redefinição for sobre seu local de nascimento, nome de solteira da mãe ou mascote do ensino médio, será possível rastrear a resposta. Nesse ponto, um mau ator pode redefinir sua senha, fazendo com que qualquer necessidade de adivinhar ou determinar a própria senha seja totalmente irrelevante..

    Infelizmente, muitas pessoas ainda usam a mesma combinação de e-mail e senha em todos os sites que exigem credenciais de login. Você não precisa procurar muito para encontrar instâncias após instâncias de violações de dados. Se você usa a mesma combinação de e-mail e senha em mais de um lugar e há anos, suas senhas são a vulnerabilidade, não as políticas do Facebook..

    Se você não tiver certeza de ter sido vítima de uma violação, acesse o site beibeenpwned.com e verifique se sua senha foi roubada. Provavelmente você teve pelo menos alguma conta comprometida em algum lugar.

    Você deve sempre proteger suas contas

    Nicescene / Shutterstock.com

    Se você ainda estiver preocupado com a vulnerabilidade dessa política, há etapas que você pode adotar. O primeiro passo é parar de usar a mesma senha para todos os sites. Em vez disso, obtenha um gerenciador de senhas e deixe gerar senhas longas exclusivas para cada site diferente que você usa. Então, da próxima vez que você ver que um site que você usou foi comprometido, você pode alterar apenas essa senha e se sentir seguro, sabendo que essa senha conhecida não é boa para os hackers..

    Depois de endurecer suas senhas, ative a autenticação de dois fatores em qualquer site que a ofereça. O Facebook oferece autenticação de dois fatores, então você deve configurá-lo lá também. A melhor autenticação de dois fatores depende de um aplicativo com seu smartphone que gera um novo código frequentemente ou de uma chave física que você mantém com você. Embora a autenticação de dois fatores baseada em SMS seja melhor que nada, ela ainda é vulnerável a técnicas de engenharia social. Então, se você pode confiar em um aplicativo autenticador ou em uma chave física, você deve. E tenha um backup no local caso algo aconteça com seu telefone ou chave.

    Com essa combinação, sua conta é muito mais segura, independentemente das políticas de senha do Facebook. Você deve pelo menos usar um gerenciador de senhas e senhas exclusivas, mas usá-las em combinação com a autenticação de dois fatores é melhor.

    Não entre em pânico; Aprecie a conveniência

    Quanto à política de senha do Facebook, é fácil se preocupar que ela seja menos segura, mas a realidade é que os benefícios superam os riscos. A segurança é um ato de equilíbrio. Quanto mais você bloquear um sistema, menos conveniente será acessar. Mas à medida que você adiciona acesso mais conveniente, perde a segurança. O truque é obter as quantidades certas de ambos para proteger seus usuários sem frustrá-los. Facebook errou no lado da facilidade do usuário aqui, e isso é provavelmente uma decisão aceitável.