Možná jste si mysleli, že jediné správné heslo je to, které přesně dodržuje velikost písmen a pořadí znaků, které jste nastavili. Ale mohlo by vás překvapit, že Facebook je tolerantnější a akceptuje drobné odchylky. A nebojte se, je to stále bezpečné.
Snadné překlepy v heslech
Facebook a další podobné platformy se potýkají s problémem. Chtějí, abyste používali složitá a dlouhá hesla, ale jejich zadávání je obtížné. I když byste měli používat správce hesel, aby vám to ulehčil, většina lidí to nedělá. A z těchto důvodů je časté, že při zadávání hesla uděláte chybu.
Jak by se měl v takové situaci Facebook zachovat?
Měl by vám zablokovat přístup jen kvůli drobné chybě a vyžadovat další pokus? Nebo by měl akceptovat, že heslo s překlepem je pravděpodobně správné, a umožnit vám přístup k obrázkům koček a dětí tím, že chybu přehlédne?
Facebook vyhodnocuje chyby v heslech
Jak vysvětluje Alec Muffet, bývalý softwarový inženýr, Facebook zvolil druhou možnost. Pokud se vaše heslo velmi blíží správnému, považuje ho za platné. Existují pravidla, která to upravují. Facebook přijme i mírně chybné heslo, pokud splňuje jednu z následujících podmínek:
- Máte zapnutý Caps Lock a velká a malá písmena jsou prohozená.
- Na začátek nebo konec hesla jste přidali další znak.
- První písmeno hesla mělo být malé, ale vy jste ho zadali velké.
Jak vidíte, všechny tyto varianty se týkají běžných překlepů při psaní. Někdy za to může automatická oprava, která například změní první písmeno na velké. Pokud vaše chybné heslo splňuje tato pravidla, ani si nevšimnete problému – rovnou se přihlásíte.
Například, pokud je vaše heslo „MojeHeslo“, Facebook akceptuje i „MOJEhESLO“ (prohozená velká písmena) a „mojeHeslo“ (první písmeno je nesprávně velké). Také akceptuje „1MojeHeslo“ a „MojeHeslo2“, protože obsahují znak navíc na začátku nebo konci. Ale nepřijme „MOJEHESLO“, „mojeheslo“ nebo „12MojeHeslo“.
Je tento postup bezpečný?
Na první pohled se může zdát, že benevolentní přístup Facebooku k heslům je rizikový. Realita je však složitější. I když si možná pamatujete staré filmy, kde hackeři lámali hesla hrubou silou během několika minut, takhle to v reálu nefunguje. I když hrubá síla existuje, je mnohem náročnější, než se zdá. Jak skvěle demonstruje xkcd, s rostoucí délkou hesla se exponenciálně prodlužuje i doba jeho prolomení. Složitost hesla také pomáhá, ale ne tolik, jak si možná myslíte.
Takže přidání znaku na začátek nebo konec hesla, jak Facebook umožňuje, by pro útočníka bylo ještě náročnější. Museli by totiž nejprve znát správné heslo a až poté zkoušet varianty s přidaným znakem.
Zajímavý je i případ Caps Lock. Otestoval jsem to tak, že jsem nejprve napsal heslo do poznámkového bloku, prohodil velká a malá písmena a výsledek vložil na Facebook. To nefungovalo. Potom jsem zapnul Caps Lock a napsal heslo, jako by byl vypnutý, čímž jsem písmena prohodil. Tentokrát jsem se přihlásil úspěšně. Facebook tedy nekontroluje jen heslo, ale i způsob jeho zadání. Hrubá síla zde nepomůže, pokud by se nesnažila simulovat zapnutý Caps Lock, což je mnohem náročnější než uhodnout samotné heslo.
Aktualizace: Jak upozornil konzultant pro informační bezpečnost Paul Moore na Twitteru, Facebook pravděpodobně ukládá pouze vaše původní heslo (správně hashované a osolené), a ne jeho varianty. Při přihlašování se zadávané heslo porovnává s uloženým. Pokud se neshoduje, Facebook zkusí aplikovat výše zmíněné varianty. Například, pokud máte zapnutý Caps Lock, Facebook prohodí velká a malá písmena a zkusí to znovu. Pokud to nefunguje, zkusí další scénář. Facebook se v podstatě chová tak, jako byste se vy sami pokoušeli opravit překlep v hesle. Díky tomu je celý proces pro vás méně frustrující. A není to nebezpečné, protože je stále potřeba znát správné heslo a povolené varianty jsou omezené.
Je důležité si uvědomit, že hrubá síla není primární metoda získávání přístupu k sociálním sítím a dalším účtům. Mnohem častěji se používá sociální inženýrství a úniky hesel. Pokud máte problémy s obnovením hesla, je dost pravděpodobné, že odpovědi na bezpečnostní otázky jsou veřejně dostupné informace. Pokud se vaše resetovací otázka týká místa vašeho narození, jména vaší matky za svobodna nebo maskota vaší střední školy, je možné odpovědi dohledat. V takovém případě útočník může resetovat vaše heslo, a tím pádem je snaha o uhodnutí hesla samotného zbytečná.
Bohužel mnoho lidí stále používá stejnou kombinaci e-mailu a hesla na všech stránkách, kde vyžadují přihlášení. Není těžké najít případy úniků dat. Pokud používáte stejnou kombinaci e-mailu a hesla na více místech a děláte to už léta, pak jsou vaše hesla zranitelností, ne pravidla Facebooku.
Pokud si nejste jisti, jestli jste se nestali obětí úniku, zkontrolujte si to na haveibeenpwned.com. Je pravděpodobné, že alespoň jeden z vašich účtů byl někdy kompromitován.
Zabezpečte své účty
Pokud se stále bojíte, že vás tato politika vystavuje riziku, můžete podniknout několik kroků. Nejdůležitější je přestat používat stejné heslo na všech stránkách. Pořiďte si správce hesel a nechte si pro každý web generovat jedinečná, dlouhá hesla. Pokud se dozvíte o úniku dat u nějakého webu, jednoduše změníte heslo jen tam a víte, že žádné z vašich ostatních hesel nebylo kompromitováno.
Po té, co si hesla zabezpečíte, zapněte dvoufaktorové ověření na všech stránkách, kde je to možné. Facebook tuto možnost také nabízí, takže ji určitě zapněte. Nejlepší dvoufaktorové ověření se spoléhá na aplikaci v telefonu, která generuje nové kódy, nebo na fyzický klíč. SMS dvoufaktorové ověření je lepší než nic, ale může být zneužito. Pokud máte možnost používat ověřovací aplikaci nebo fyzický klíč, upřednostněte to. Také si nezapomeňte zařídit zálohu, kdyby se s vaším telefonem nebo klíčem něco stalo.
Díky této kombinaci bude váš účet mnohem bezpečnější bez ohledu na pravidla pro hesla na Facebooku. Měli byste alespoň používat správce hesel a jedinečná hesla, ale nejlepší je zkombinovat to s dvoufaktorovým ověřením.
Nepanikařte, užijte si pohodlí
Při pohledu na politiku hesel Facebooku je snadné obávat se, že je méně bezpečná. Nicméně realita je taková, že výhody převažují nad riziky. Bezpečnost je o hledání rovnováhy. Čím více systém uzamknete, tím méně je pohodlný. A naopak, čím pohodlnější přístup umožníte, tím více omezíte bezpečnost. Klíčem k úspěchu je najít správnou míru obojího, abyste své uživatele chránili, ale zároveň je nefrustrovali. Facebook v tomto případě zvolil stranu uživatelské jednoduchosti a je to pravděpodobně rozumné rozhodnutí.