Facebook làm mờ mật khẩu của bạn để thuận tiện cho bạn

Nếu bạn nghĩ rằng phiên bản chính xác duy nhất của mật khẩu của bạn là chữ viết hoa và ký tự / ký hiệu chính xác mà bạn sử dụng, bạn có thể bị sốc. Facebook sẽ chấp nhận các biến thể nhỏ của mật khẩu của bạn, để thuận tiện cho bạn. Và nó hoàn toàn an toàn.

Mật khẩu dễ nhầm

Facebook và các trang web khác giống như nó có vấn đề. Họ muốn bạn sử dụng mật khẩu dài và phức tạp, nhưng chúng rất khó gõ. Bạn nên sử dụng trình quản lý mật khẩu để chăm sóc điều đó cho bạn, nhưng hầu hết mọi người thì không. Và vì hai yếu tố đó, việc nhập sai mật khẩu của bạn là phổ biến.

Tại thời điểm đó Facebook nên làm gì?

Họ có nên từ chối bạn nhập chỉ vì mật khẩu của bạn hơi bị tắt và làm bạn thất vọng với lần thử thứ hai? Hoặc họ nên nhận ra rằng mật khẩu được cung cấp có khả năng đúng nhưng với một lỗi đánh máy và làm trơn tru hành trình của bạn đến gif mèo và hình ảnh em bé bằng cách bỏ qua lỗi?

Facebook đánh giá những sai lầm trong mật khẩu

Như Alec Muffet, cựu kỹ sư phần mềm của nhóm cơ sở hạ tầng bảo mật tại Facebook Engineering ở London giải thích, Facebook đã chọn cái sau. Nếu mật khẩu của bạn rất gần với chính xác, họ có thể tính nó là chính xác. Các quy tắc cho điều này là đơn giản. Facebook sẽ chấp nhận mật khẩu không chính xác nếu đáp ứng bất kỳ điều kiện nào sau đây:

• Bạn đã bật khóa mũ và viết hoa được đảo ngược.
• Bạn nhập một ký tự phụ ở đầu hoặc cuối mật khẩu
• Ký tự đầu tiên của mật khẩu phải là chữ thường, nhưng bạn đã gõ nó viết hoa

Như bạn có thể thấy, tất cả các biến thể này đều tập trung vào khái niệm cơ bản là hơi thiếu mật khẩu của bạn khi gõ. Trong một số trường hợp, đây có thể là vấn đề tự động sửa, giống như chữ cái đầu tiên của từ được viết hoa. Nếu mật khẩu sai của bạn đáp ứng các quy tắc cụ thể này, bạn sẽ không biết có vấn đề - bạn sẽ thấy mình đã đăng nhập.

Ví dụ: giả sử mật khẩu của bạn là mật letMeIn. Trực tiếp Facebook cũng sẽ chấp nhận CÂU LETmEiNật (vì đó là một sự đảo ngược khóa thẳng) và của Let LetInIn (vì đó không đúng vốn cho chữ cái đầu tiên). Nó cũng sẽ chấp nhận các biến thể như của 1 1MeMe, và let letMeIn2, vì những thứ đó là chính xác ngoại trừ một ký tự bổ sung ở đầu hoặc cuối. Tuy nhiên, nó sẽ không chấp nhận LETMEIN trực tiếp, ngay bây giờ.

Quá trình này vẫn an toàn

Đi biển / Shutterstock

Thoạt nhìn, mật khẩu của Facebook có vẻ không an toàn. Nhưng trong trường hợp này, sự thật phức tạp hơn. Mặc dù thật dễ dàng để nghĩ về các bộ phim truyền hình tội phạm hacker cũ cho thấy lực lượng vũ phu nhanh chóng đoán được mật khẩu chỉ trong vài phút, việc hack không hoạt động theo cách đó. Brute buộc mật khẩu không xác định tồn tại, nhưng nó rất khác so với ngụ ý của TV. Như xkcd nổi tiếng chứng minh, khi độ dài của mật khẩu tăng lên, thời gian để bẻ khóa nó cũng tăng theo cấp số nhân. Thêm sự phức tạp giúp, nhưng không nhiều như bạn nghĩ.

Vì vậy, một trong những tình huống mà Facebook cho phép, một ký tự phụ ở đầu hoặc cuối mật khẩu, thậm chí còn khó hơn để vũ phu. Tin tặc sẽ cần phải có mật khẩu chính xác trước khi chúng nhập mật khẩu cộng với một ký tự phụ.

Quan tâm đặc biệt là kịch bản khóa mũ. Tôi đã kiểm tra điều này bằng cách trước tiên tự nhập mật khẩu của mình vào notepad, đảo ngược trường hợp, sau đó dán kết quả đó vào Facebook. Nó phủ nhận mật khẩu đó. Sau đó tôi bật khóa mũ và gõ mật khẩu của mình như thể khóa nắp bị tắt, do đó đảo ngược trường hợp. Nỗ lực đó đã thành công và tôi đã đăng nhập. Facebook không chỉ kiểm tra mật khẩu là gì mà là cách bạn nhập nó. Brute Force sẽ không giúp đỡ trong kịch bản đó, việc mô phỏng khóa mũ, sẽ khó khăn hơn nhiều so với việc chỉ nhắm vào mật khẩu thực tế.

Cập nhật: Như nhà tư vấn bảo mật thông tin Paul Moore chỉ ra trên Twitter, Facebook hầu như chỉ lưu trữ mật khẩu gốc của bạn (được băm và muối đúng cách) chứ không phải các biến thể của mật khẩu của bạn. Khi bạn gửi mật khẩu để đăng nhập, nó sẽ được kiểm tra đối với mật khẩu ban đầu của bạn. Nếu nó không khớp, Facebook sẽ chạy mật khẩu đã gửi của bạn thông qua các biến thể này. Chẳng hạn, nếu Caps Lock của bạn được bật, Facebook sẽ lấy mật khẩu đã gửi của bạn, đảo ngược cách viết hoa của các chữ cái và thử lại. Nếu điều đó không hiệu quả, Facebook sẽ thử lại với kịch bản tiếp theo. Về cơ bản, Facebook đang làm những gì bạn có thể làm khi nhận được một mật khẩu sai của mật khẩu - Kiểm tra tin nhắn bị lỗi do lỗi vô ý trong mật khẩu đã nhập và sửa nó. Điều đó làm cho toàn bộ quá trình ít gây khó chịu cho bạn. Điều này không làm giảm tính bảo mật, bởi vì một số ý tưởng về mật khẩu chính xác vẫn cần thiết và các biến thể được chấp nhận là hẹp.

Quan trọng hơn, các phương pháp vũ phu không phải là phương pháp chính để có quyền truy cập vào các mạng xã hội và các tài khoản khác. Kỹ thuật xã hội và kết xuất mật khẩu đơn giản hơn nhiều để sử dụng. Nếu bạn có câu hỏi đặt lại mật khẩu, có một cơ hội tốt ít nhất một số câu trả lời là thông tin có thể truy cập công khai. Nếu câu hỏi đặt lại của bạn là về nơi sinh của bạn, tên thời con gái của mẹ hoặc linh vật của trường trung học, thì bạn có thể theo dõi câu trả lời. Tại thời điểm đó, một diễn viên xấu có thể đặt lại mật khẩu của bạn, khiến bạn cần phải đoán hoặc tự xác định mật khẩu hoàn toàn.

Thật không may, nhiều người vẫn đang sử dụng cùng một kết hợp email và mật khẩu tại mỗi trang web yêu cầu thông tin đăng nhập. Bạn không cần phải tìm đâu xa để tìm ví dụ sau khi vi phạm dữ liệu. Nếu bạn đang sử dụng cùng một kết hợp email và mật khẩu tại nhiều nơi và đã được nhiều năm, thì mật khẩu của bạn là lỗ hổng, không phải chính sách của Facebook.

Nếu bạn không chắc chắn mình có phải là nạn nhân của vi phạm hay không, hãy truy cập haveibeenpwned.com và kiểm tra xem mật khẩu của bạn đã bị đánh cắp chưa. Có thể bạn đã có ít nhất một số tài khoản bị xâm phạm ở đâu đó.

Bạn nên luôn bảo mật tài khoản của mình

Nicescene / Shutterstock.com

Nếu bạn vẫn lo lắng rằng chính sách này khiến bạn dễ bị tổn thương, có những bước bạn có thể thực hiện. Bước đầu tiên là ngừng sử dụng cùng một mật khẩu cho mọi trang web. Thay vào đó, hãy lấy trình quản lý mật khẩu và để nó tạo mật khẩu dài duy nhất cho mọi trang web khác nhau bạn sử dụng. Sau đó, lần sau khi bạn thấy rằng một trang web bạn đã sử dụng đã bị xâm phạm, bạn có thể thay đổi chỉ một mật khẩu đó và cảm thấy an toàn khi biết rằng mật khẩu được biết này sẽ không làm cho tin tặc tốt.

Sau khi bạn cứng mật khẩu, hãy bật xác thực hai yếu tố tại bất kỳ trang web nào cung cấp mật khẩu đó. Facebook cũng cung cấp xác thực hai yếu tố, vì vậy bạn cũng nên thiết lập nó ở đó. Xác thực hai yếu tố tốt nhất dựa trên một ứng dụng với điện thoại thông minh của bạn tạo mã mới thường xuyên hoặc khóa vật lý mà bạn giữ bên mình. Mặc dù xác thực hai yếu tố dựa trên SMS tốt hơn không có gì, nhưng nó vẫn dễ bị tổn thương bởi các kỹ thuật kỹ thuật xã hội. Vì vậy, nếu bạn có thể dựa vào một ứng dụng xác thực hoặc khóa vật lý, bạn nên làm vậy. Và có một bản sao lưu tại chỗ trong trường hợp có điều gì đó xảy ra với điện thoại hoặc chìa khóa của bạn.

Với sự kết hợp này, tài khoản của bạn an toàn hơn rất nhiều bất kể chính sách mật khẩu của Facebook. Ít nhất bạn nên sử dụng trình quản lý mật khẩu và mật khẩu duy nhất, nhưng sử dụng những mật khẩu kết hợp với xác thực hai yếu tố sẽ tốt hơn.

Đừng hoảng sợ; Tận hưởng sự tiện lợi

Đối với chính sách mật khẩu của Facebook, thật dễ dàng để lo lắng rằng nó kém an toàn hơn, nhưng thực tế là lợi ích vượt xa rủi ro. Bảo mật là một hành động cân bằng. Bạn càng khóa hệ thống, việc truy cập càng không thuận tiện. Nhưng khi bạn thêm quyền truy cập thuận tiện hơn, bạn sẽ mất bảo mật. Bí quyết là lấy đúng số lượng của cả hai để bảo vệ người dùng của bạn mà không làm họ nản lòng. Facebook đã sai lầm về phía người dùng dễ dàng ở đây và đó có lẽ là một quyết định chấp nhận được.