Εάν πιστεύετε ότι η μόνη σωστή έκδοση του κωδικού πρόσβασής σας είναι η ακριβής κεφαλαία γραφή και η ακολουθία γραμμάτων/συμβόλων που χρησιμοποιείτε, μπορεί να είστε σε σοκ. Το Facebook θα δεχτεί μικρές παραλλαγές του κωδικού πρόσβασής σας, για τη διευκόλυνσή σας. Και είναι απολύτως ασφαλές.
Πίνακας περιεχομένων
Οι κωδικοί πρόσβασης είναι εύκολο να πληκτρολογηθούν λάθος
Το Facebook και άλλα παρόμοια site έχουν πρόβλημα. Θα ήθελαν να χρησιμοποιείτε μεγάλους και περίπλοκους κωδικούς πρόσβασης, αλλά είναι δύσκολο να πληκτρολογήσετε. Θα πρέπει να χρησιμοποιείτε έναν διαχειριστή κωδικών πρόσβασης για να το φροντίσει αυτό για εσάς, αλλά οι περισσότεροι άνθρωποι δεν το κάνουν. Και λόγω αυτών των δύο παραγόντων, είναι σύνηθες να πληκτρολογείτε λάθος τον κωδικό πρόσβασής σας.
Σε εκείνο το σημείο τι πρέπει να κάνει το Facebook;
Θα πρέπει να σας αρνηθούν την είσοδο μόνο και μόνο επειδή ο κωδικός πρόσβασής σας ήταν ελαφρώς απενεργοποιημένος και να σας απογοητεύσουν με μια δεύτερη προσπάθεια; Ή πρέπει να αναγνωρίσουν ότι ο παρεχόμενος κωδικός πρόσβασης ήταν πιθανότατα σωστός αλλά με τυπογραφικό λάθος και να εξομαλύνουν το ταξίδι σας σε gif και φωτογραφίες μωρών αγνοώντας το λάθος;
Το Facebook αξιολογεί λάθη στους κωδικούς πρόσβασης
Οπως και Alec Muffet, εξηγεί ένας πρώην μηχανικός λογισμικού για την ομάδα υποδομής ασφαλείας στο Facebook Engineering στο Λονδίνο, το Facebook επέλεξε το δεύτερο. Εάν ο κωδικός πρόσβασής σας είναι πολύ κοντά στον σωστό, μπορεί να τον θεωρήσουν ακριβή. Οι κανόνες για αυτό είναι ξεκάθαροι. Το Facebook θα αποδεχτεί έναν λανθασμένο κωδικό πρόσβασης εάν πληροί οποιαδήποτε από τις παρακάτω προϋποθέσεις:
Έχετε ενεργοποιημένο το caps lock και οι κεφαλαιοποιήσεις αντιστρέφονται.
Εισαγάγετε έναν επιπλέον χαρακτήρα στην αρχή ή στο τέλος ενός κωδικού πρόσβασης
Ο πρώτος χαρακτήρας του κωδικού πρόσβασης πρέπει να είναι πεζός, αλλά τον πληκτρολογήσατε με κεφαλαία
Όπως μπορείτε να δείτε, όλες αυτές οι παραλλαγές επικεντρώνονται στη βασική ιδέα του να χάνετε ελαφρώς τον κωδικό πρόσβασής σας κατά την πληκτρολόγηση. Σε ορισμένες περιπτώσεις, αυτό μπορεί να είναι ένα ζήτημα αυτόματης διόρθωσης, όπως το πρώτο γράμμα μιας λέξης με κεφαλαία. Εάν ο λανθασμένα πληκτρολογημένος κωδικός πρόσβασής σας πληροί αυτούς τους συγκεκριμένους κανόνες, δεν θα ξέρετε ότι υπήρχε πρόβλημα — απλώς θα βρείτε τον εαυτό σας συνδεδεμένο.
Για παράδειγμα, ας υποθέσουμε ότι ο κωδικός πρόσβασής σας είναι “letMeIn”. Το Facebook θα δεχτεί επίσης το “LETmEiN” (επειδή πρόκειται για αντιστροφή του κλειδώματος με κεφαλαία) και το “LetMeIn” (επειδή αυτό είναι λάθος κεφαλαίο για το πρώτο γράμμα). Θα δέχεται επίσης παραλλαγές όπως “1letMeIn” και “letMeIn2” επειδή είναι σωστές εκτός από έναν πρόσθετο χαρακτήρα στην αρχή ή στο τέλος. Ωστόσο, δεν θα δέχεται καθόλου “LETMEIN”, “letmein” ή “12LetMeIn”.
Αυτή η διαδικασία είναι ακόμα ασφαλής
Εκ πρώτης όψεως, η επιείκεια κωδικών πρόσβασης του Facebook ακούγεται ανασφαλής. Αλλά σε αυτή την περίπτωση, η αλήθεια είναι πιο περίπλοκη. Αν και είναι εύκολο να σκεφτούμε παλιά εγκληματικά δράματα χάκερ που έδειχναν γρήγορη ωμή βία να μαντέψει έναν κωδικό πρόσβασης μέσα σε λίγα λεπτά, το hacking δεν λειτουργεί καθόλου με αυτόν τον τρόπο. Η ωμή επιβολή άγνωστων κωδικών πρόσβασης υπάρχει, αλλά είναι πολύ διαφορετικό από αυτό που υπονοεί η τηλεόραση. Οπως και Το xkcd αποδεικνύει περίφημα, καθώς αυξάνεται το μήκος ενός κωδικού πρόσβασης, ο χρόνος διάσπασής του αυξάνεται επίσης εκθετικά. Η προσθήκη πολυπλοκότητας βοηθά, αλλά όχι τόσο όσο νομίζετε.
Έτσι, ένα από τα σενάρια που επιτρέπει το Facebook, ένας επιπλέον χαρακτήρας στην αρχή ή στο τέλος του κωδικού πρόσβασης, θα ήταν ακόμη πιο δύσκολο να ασκηθεί βία. Οι χάκερ θα πρέπει ήδη να έχουν τον σωστό κωδικό πρόσβασης προτού φτάσουν στον κωδικό πρόσβασης συν έναν επιπλέον χαρακτήρα.
Ιδιαίτερο ενδιαφέρον παρουσιάζει το σενάριο caps lock. Το δοκίμασα πληκτρολογώντας πρώτα χειροκίνητα τον κωδικό πρόσβασής μου στο σημειωματάριο, αντιστρέφοντας τη θήκη και μετά επικολλώντας το αποτέλεσμα στο Facebook. Αρνήθηκε αυτόν τον κωδικό πρόσβασης. Στη συνέχεια ενεργοποίησα το caps lock και πληκτρολόγησα τον κωδικό πρόσβασής μου σαν να ήταν απενεργοποιημένο το cap lock, αντιστρέφοντας έτσι την υπόθεση. Αυτή η προσπάθεια ήταν επιτυχής και συνδέθηκα. Το Facebook δεν ελέγχει μόνο ποιος είναι ο κωδικός πρόσβασης, αλλά και πώς τον εισάγετε. Το Brute Force δεν θα βοηθήσει σε αυτό το σενάριο, εκτός από την προσομοίωση του caps lock, κάτι που θα ήταν πιο δύσκολο από το να στοχεύσετε απλώς τον πραγματικό κωδικό πρόσβασης.
Ενημέρωση: Όπως επισημαίνει ο σύμβουλος ασφάλειας πληροφοριών Paul Moore Κελάδημα, το Facebook πιθανότατα αποθηκεύει μόνο τον αρχικό σας κωδικό πρόσβασης (σωστά κατακερματισμένο και αλατισμένο) και όχι τις παραλλαγές του κωδικού πρόσβασής σας. Όταν υποβάλλετε έναν κωδικό πρόσβασης για να συνδεθείτε, ελέγχεται με τον αρχικό σας κωδικό πρόσβασης. Εάν δεν ταιριάζει, το Facebook εκτελεί τον κωδικό πρόσβασης που υποβάλατε μέσω αυτών των παραλλαγών. Για παράδειγμα, εάν το Caps Lock είναι ενεργοποιημένο, το Facebook παίρνει τον κωδικό πρόσβασης που υποβάλατε, αντιστρέφει την κεφαλαιοποίηση των γραμμάτων και προσπαθεί ξανά. Εάν αυτό δεν λειτουργήσει, το Facebook προσπαθεί ξανά με το επόμενο σενάριο. Ουσιαστικά, το Facebook κάνει ό,τι θα κάνατε όταν λάβατε ένα μήνυμα “λάθος κωδικό πρόσβασης”—ελέγχοντας για τυχαίο σφάλμα στον πληκτρολογημένο κωδικό πρόσβασης και διορθώνοντάς το. Αυτό κάνει την όλη διαδικασία λιγότερο απογοητευτική για εσάς. Αυτό δεν μειώνει την ασφάλεια, επειδή χρειάζεται ακόμα κάποια ιδέα για τον σωστό κωδικό πρόσβασης και οι αποδεκτές παραλλαγές είναι περιορισμένες.
Το πιο σημαντικό, οι μέθοδοι ωμής βίας δεν είναι η κύρια μέθοδος για να αποκτήσετε πρόσβαση σε κοινωνικά δίκτυα και άλλους λογαριασμούς. Η χρήση της κοινωνικής μηχανικής και των κωδικών πρόσβασης είναι πολύ πιο απλή. Εάν έχετε ερωτήσεις σχετικά με την επαναφορά του κωδικού πρόσβασης, υπάρχει μια αξιοπρεπής πιθανότητα τουλάχιστον μερικές από τις απαντήσεις να είναι δημόσια προσβάσιμες πληροφορίες. Εάν η ερώτηση επαναφοράς σας αφορά τη γενέτειρά σας, το πατρικό όνομα της μητέρας σας ή τη μασκότ του γυμνασίου, τότε μπορείτε να βρείτε την απάντηση. Σε εκείνο το σημείο, ένας κακός ηθοποιός μπορεί να επαναφέρει τον κωδικό πρόσβασής σας, καθιστώντας την οποιαδήποτε ανάγκη να μαντέψει ή να καθορίσει τον ίδιο τον κωδικό πρόσβασης εντελώς αμφισβητήσιμη.
Δυστυχώς, πολλοί άνθρωποι εξακολουθούν να χρησιμοποιούν τον ίδιο συνδυασμό email και κωδικού πρόσβασης σε κάθε ιστότοπο που απαιτεί διαπιστευτήρια σύνδεσης. Δεν χρειάζεται να ψάξετε πολύ για να βρείτε περιπτώσεις παραβιάσεων δεδομένων. Εάν χρησιμοποιείτε τον ίδιο συνδυασμό email και κωδικού πρόσβασης σε περισσότερα από ένα μέρη και χρησιμοποιείτε εδώ και χρόνια, τότε οι κωδικοί πρόσβασής σας είναι το θέμα ευπάθειας και όχι οι πολιτικές του Facebook.
Εάν δεν είστε σίγουροι αν έχετε πέσει θύμα παραβίασης, μεταβείτε στο haveibeenpwned.com και ελέγξτε αν έχει κλαπεί ο κωδικός πρόσβασής σας. Οι πιθανότητες είναι ότι τουλάχιστον κάποιος λογαριασμός σας έχει παραβιαστεί κάπου.
Θα πρέπει πάντα να προστατεύετε τους λογαριασμούς σας
Εάν εξακολουθείτε να ανησυχείτε ότι αυτή η πολιτική σας αφήνει ευάλωτους, υπάρχουν βήματα που μπορείτε να ακολουθήσετε. Το πρώτο βήμα είναι να σταματήσετε να χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης για κάθε ιστότοπο. Αντίθετα, αποκτήστε έναν διαχειριστή κωδικών πρόσβασης και αφήστε τον να δημιουργήσει μοναδικούς μεγάλους κωδικούς πρόσβασης για κάθε διαφορετικό ιστότοπο που χρησιμοποιείτε. Στη συνέχεια, την επόμενη φορά που θα δείτε ότι ένας ιστότοπος που χρησιμοποιήσατε έχει παραβιαστεί, μπορείτε να αλλάξετε μόνο αυτόν τον κωδικό πρόσβασης και να νιώσετε ασφαλείς γνωρίζοντας ότι αυτός ο γνωστός κωδικός πρόσβασης δεν θα κάνει καλό στους χάκερ.
Αφού σκληρύνετε τους κωδικούς πρόσβασής σας, ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων σε οποιονδήποτε ιστότοπο τον προσφέρει. Το Facebook προσφέρει έλεγχο ταυτότητας δύο παραγόντων, επομένως θα πρέπει να το ρυθμίσετε και εκεί. Ο καλύτερος έλεγχος ταυτότητας δύο παραγόντων βασίζεται σε μια εφαρμογή με το smartphone σας που δημιουργεί έναν νέο κωδικό συχνά ή σε ένα φυσικό κλειδί που έχετε μαζί σας. Ενώ ο έλεγχος ταυτότητας δύο παραγόντων που βασίζεται σε SMS είναι καλύτερος από το τίποτα, εξακολουθεί να είναι ευάλωτο σε τεχνικές κοινωνικής μηχανικής. Επομένως, εάν μπορείτε να βασιστείτε σε μια εφαρμογή ελέγχου ταυτότητας ή σε ένα φυσικό κλειδί, θα πρέπει. Και δημιουργήστε ένα αντίγραφο ασφαλείας σε περίπτωση που συμβεί κάτι με το τηλέφωνο ή το κλειδί σας.
Με αυτόν τον συνδυασμό, ο λογαριασμός σας είναι πολύ πιο ασφαλής ανεξάρτητα από τις πολιτικές κωδικών πρόσβασης του Facebook. Θα πρέπει τουλάχιστον να χρησιμοποιείτε έναν διαχειριστή κωδικών πρόσβασης και μοναδικούς κωδικούς πρόσβασης, αλλά είναι καλύτερο να χρησιμοποιείτε αυτούς σε συνδυασμό με έλεγχο ταυτότητας δύο παραγόντων.
Μην πανικοβάλλεστε. Απολαύστε την άνεση
Όσον αφορά την πολιτική κωδικών πρόσβασης του Facebook, είναι εύκολο να ανησυχείτε ότι είναι λιγότερο ασφαλής, αλλά η πραγματικότητα είναι ότι τα οφέλη υπερτερούν των κινδύνων. Η ασφάλεια είναι μια πράξη εξισορρόπησης. Όσο περισσότερο κλειδώνετε ένα σύστημα, τόσο λιγότερο βολική είναι η πρόσβαση σε αυτό. Αλλά καθώς προσθέτετε πιο βολική πρόσβαση, χάνετε την ασφάλεια. Το κόλπο είναι να λαμβάνετε τις σωστές ποσότητες και των δύο για να προστατεύσετε τους χρήστες σας χωρίς να τους απογοητεύσετε. Το Facebook έκανε λάθος όσον αφορά την ευκολία των χρηστών εδώ, και αυτή είναι πιθανώς μια αποδεκτή απόφαση.