Pokud si myslíte, že jedinou správnou verzí vašeho hesla je přesná velká a malá písmena a posloupnost písmen a symbolů, kterou používáte, můžete být v šoku. Facebook pro vaše pohodlí akceptuje drobné variace vašeho hesla. A je to naprosto bezpečné.
Table of Contents
Hesla se snadno přepisují
Facebook a další podobné stránky mají problém. Chtěli by, abyste používali dlouhá a složitá hesla, ale je těžké je napsat. Měli byste používat správce hesel, který se o to postará za vás, ale většina lidí to nedělá. A kvůli těmto dvěma faktorům je běžné zadávat heslo špatně.
Co by měl Facebook v tomto okamžiku udělat?
Měli by vám odepřít vstup jen proto, že vaše heslo bylo trochu mimo, a zmařit vás druhým pokusem? Nebo by měli uznat, že poskytnuté heslo bylo pravděpodobně správné, ale s překlepem, a usnadnit vám cestu ke kočičím gifům a obrázkům miminek tím, že budou chybu ignorovat?
Facebook vyhodnocuje chyby v heslech
Tak jako Alec Muffet, bývalý softwarový inženýr pro tým bezpečnostní infrastruktury ve společnosti Facebook Engineering v Londýně, vysvětluje, že Facebook si vybral to druhé. Pokud je vaše heslo velmi blízko správnému, mohou ho považovat za přesné. Pravidla pro to jsou jasná. Facebook přijme nesprávné heslo, pokud splní některou z těchto podmínek:
Máte zapnutý Caps Lock a velká písmena jsou obrácená.
Na začátek nebo konec hesla zadáte další znak
První znak hesla by měl být malý, ale zadali jste jej velké
Jak vidíte, všechny tyto varianty se soustředí kolem základního konceptu mírného vynechání hesla při psaní. V některých případech to může být problém s automatickými opravami, například první písmeno slova je velké. Pokud vaše špatně zadané heslo splňuje tato specifická pravidla, nebudete vědět, že došlo k problému – prostě zjistíte, že jste přihlášeni.
Řekněme například, že vaše heslo je „letMeIn“. Facebook také akceptuje „LETmEiN“ (protože jde o obrácení velkých písmen) a „LetMeIn“ (protože první písmeno je nesprávné velké). Přijme také varianty jako „1letMeIn“ a „letMeIn2“, protože ty jsou správné, s výjimkou dalšího znaku na začátku nebo konci. Neakceptuje však „LETMEIN“, „letmein“ nebo „12LetMeIn“ vůbec.
Tento proces je stále bezpečný
Na první pohled zní heslo Facebook shovívavost nejistě. V tomto případě je ale pravda složitější. I když je snadné si vzpomenout na stará hackerská kriminální dramata, která ukazovala rychlé uhodnutí hesla hrubou silou během pouhých minut, hackování takto vůbec nefunguje. Hrubé vynucení neznámých hesel sice existuje, ale je velmi odlišné, než naznačuje televize. Tak jako xkcd skvěle demonstrujese zvyšující se délkou hesla se exponenciálně prodlužuje i doba jeho prolomení. Přidání složitosti pomáhá, ale ne tolik, jak si možná myslíte.
Takže jeden ze scénářů, které Facebook umožňuje, znak navíc na začátku nebo na konci hesla, by byl ještě těžší hrubou silou. Hackeři by již museli mít správné heslo, než se dostali k heslu plus znak navíc.
Zvláště zajímavý je scénář caps lock. Testoval jsem to tak, že jsem nejprve ručně zadal heslo do poznámkového bloku, obrátil případ a pak vložil výsledek na Facebook. To heslo odmítlo. Potom jsem zapnul Caps Lock a zadal své heslo, jako by Cap Lock byl vypnutý, čímž jsem případ obrátil. Tento pokus byl úspěšný a byl jsem přihlášen. Facebook nejen kontroluje, jaké je heslo, ale jak ho zadáváte. Brute Force v tomto scénáři nepomůže, s výjimkou simulace caps lock, což by bylo obtížnější než pouhé hledání skutečného hesla.
Aktualizace: Jak upozorňuje konzultant informační bezpečnosti Paul Moore Cvrlikání, Facebook většinou pravděpodobně ukládá pouze vaše původní heslo (správně hashované a solené) a nikoli varianty vašeho hesla. Když zadáte heslo pro přihlášení, zkontroluje se podle vašeho původního hesla. Pokud se neshoduje, Facebook zpracuje vaše odeslané heslo prostřednictvím těchto variant. Pokud máte například zapnutý Caps Lock, Facebook vezme vaše zadané heslo, přehodí velká písmena a zkusí to znovu. Pokud to nefunguje, Facebook to zkusí znovu s dalším scénářem. Facebook v podstatě dělá to, co byste udělali, kdybyste dostali zprávu „nesprávné heslo“ – kontroluje náhodnou chybu v zadaném hesle a opravuje ji. Díky tomu je pro vás celý proces méně frustrující. To nesnižuje bezpečnost, protože určitá představa o správném hesle je stále potřeba a přijímané varianty jsou úzké.
Ještě důležitější je, že metody hrubé síly nejsou primární metodou, jak získat přístup k sociálním sítím a dalším účtům. Sociální inženýrství a výpisy hesel se používají mnohem jednodušeji. Pokud máte otázky týkající se resetování hesla, existuje slušná šance, že alespoň některé z odpovědí jsou veřejně přístupné informace. Pokud se vaše resetovaná otázka týká vašeho rodiště, rodného jména matky nebo maskota střední školy, pak je možné vysledovat odpověď. V tom okamžiku může špatný herec resetovat vaše heslo, takže jakákoli potřeba uhodnout nebo určit heslo samotné je zcela sporná.
Bohužel mnoho lidí stále používá stejnou kombinaci e-mailu a hesla na všech stránkách, které vyžadují přihlašovací údaje. Nemusíte se dívat daleko, abyste našli případ za druhým případem úniku dat. Pokud používáte stejnou kombinaci e-mailu a hesla na více než jednom místě a používáte to již roky, pak jsou zranitelností vaše hesla, nikoli zásady Facebooku.
Pokud si nejste jisti, zda jste se stali obětí porušení, přejděte na haveibeenpwned.com a zkontrolujte, zda vaše heslo nebylo odcizeno. Je pravděpodobné, že jste měli alespoň nějaký účet někde kompromitován.
Vždy byste měli zabezpečit své účty
Pokud se stále obáváte, že vás tato zásada vystaví zranitelnosti, můžete podniknout kroky. Prvním krokem je přestat používat stejné heslo pro všechny stránky. Místo toho si pořiďte správce hesel a nechte jej generovat jedinečná dlouhá hesla pro každý jiný web, který používáte. Až příště uvidíte, že web, který jste použili, byl napaden, můžete změnit pouze toto jedno heslo a cítit se v bezpečí s vědomím, že toto jedno známé heslo nebude hackerům k ničemu.
Poté, co zpevníte svá hesla, zapněte dvoufaktorové ověřování na jakémkoli webu, který jej nabízí. Facebook nabízí dvoufaktorové ověřování, takže byste si ho měli nastavit i tam. Nejlepší dvoufaktorové ověřování závisí na aplikaci ve vašem smartphonu, která často generuje nový kód, nebo na fyzickém klíči, který máte u sebe. Zatímco dvoufaktorová autentizace založená na SMS je lepší než nic, stále je zranitelná technikami sociálního inženýrství. Pokud se tedy můžete spolehnout na ověřovací aplikaci nebo fyzický klíč, měli byste. A mějte zálohu pro případ, že by se s vaším telefonem nebo klíčem něco stalo.
Díky této kombinaci je váš účet mnohem bezpečnější bez ohledu na zásady pro hesla na Facebooku. Měli byste alespoň používat správce hesel a jedinečná hesla, ale lepší je používat je v kombinaci s dvoufaktorovou autentizací.
Nepanikařte; Užijte si pohodlí
Pokud jde o politiku hesel Facebooku, je snadné se obávat, že je méně bezpečná, ale realita je taková, že výhody převažují nad riziky. Bezpečnost je balancováním. Čím více systém uzamknete, tím méně pohodlný je k němu přístup. Ale jak přidáte pohodlnější přístup, ztratíte bezpečnost. Trik spočívá v získání správného množství obou, abyste ochránili své uživatele, aniž by je frustrovali. Facebook zde chyboval na straně uživatelské jednoduchosti a to je pravděpodobně přijatelné rozhodnutí.