Facebook aceita senhas “erradas”? Descubra como!

É comum pensarmos que a nossa senha é válida apenas na sua forma exata, incluindo capitalização e ordem de caracteres. No entanto, o Facebook oferece uma surpresa: ele aceita variações sutis na sua senha, visando a sua conveniência, e acredite, isso não compromete a segurança.

Erros de Digitação nas Senhas são Frequentes

O Facebook, assim como outras plataformas online, enfrenta um dilema: incentivar o uso de senhas longas e complexas, que são difíceis de memorizar e digitar. Embora a solução ideal seja um gerenciador de senhas, muitos usuários não o adotam. Como consequência, erros de digitação ao inserir a senha são corriqueiros.

Diante disso, qual seria a melhor abordagem para o Facebook?

Negar o acesso por um pequeno erro na senha, frustrando o usuário e exigindo uma nova tentativa? Ou reconhecer que a senha inserida provavelmente está correta, com uma falha de digitação, e facilitar o acesso ao conteúdo desejado, como fotos de gatinhos e bebês?

O Facebook Analisa Variações nas Senhas

Conforme explicado por Alec Muffet, um ex-engenheiro de software da equipe de infraestrutura de segurança do Facebook em Londres, a empresa optou pela segunda alternativa. Se a sua senha estiver muito próxima da versão correta, ela pode ser considerada válida. As regras para isso são simples: o Facebook aceita uma senha com erro se ela se enquadrar em uma das seguintes situações:

A tecla Caps Lock estava ativada, resultando na inversão das letras maiúsculas e minúsculas.
Um caractere extra foi adicionado ao início ou ao final da senha.
A primeira letra da senha deveria ser minúscula, mas foi digitada em maiúscula.

Essas variações giram em torno da ideia de pequenos deslizes ao digitar a senha. Em alguns casos, pode se tratar de uma correção automática do teclado, como a capitalização da primeira letra. Se a sua senha com erro se encaixa nessas regras, você nem perceberá a falha e terá acesso à sua conta.

Por exemplo, suponha que sua senha seja “senhaSegura”. O Facebook também aceitará “SENHAsEGURA” (inversão de Caps Lock) e “SenhaSegura” (primeira letra em maiúscula). Além disso, aceitará variações como “1senhaSegura” ou “senhaSegura2”, pois diferem apenas por um caractere adicional no início ou no final. No entanto, ele não aceitará “SENHASEGURA”, “senhasegura” ou “12senhaSegura”.

A Segurança é Preservada

A princípio, a flexibilidade do Facebook com as senhas pode parecer arriscada. No entanto, a situação é mais complexa. Ao contrário do que os filmes de hackers mostram, com senhas decifradas em minutos por força bruta, essa técnica não funciona assim na realidade. A quebra de senhas por força bruta existe, mas é diferente do que se vê na TV. Como demonstra o xkcd, quanto maior a senha, maior o tempo necessário para quebrá-la. A complexidade ajuda, mas não tanto quanto se imagina.

Portanto, um caractere extra no início ou final da senha, uma das variações permitidas pelo Facebook, torna a quebra por força bruta ainda mais difícil. O hacker precisaria ter a senha correta antes de adicionar um caractere extra.

O caso do Caps Lock é interessante. Testei isso digitando minha senha no bloco de notas, invertendo a capitalização e colando no Facebook. A senha foi negada. Em seguida, ativei o Caps Lock e digitei a senha como se estivesse desativado. Essa tentativa funcionou. O Facebook não verifica apenas a senha, mas também a forma como ela é inserida. A força bruta não ajudaria nesse caso, a não ser que simulasse a ativação do Caps Lock, o que é mais complexo do que descobrir a senha em si.

Atualização: Como aponta o consultor de segurança Paul Moore no Twitter, o Facebook provavelmente armazena apenas a senha original (com hash e salt adequados), não as variações. Ao tentar fazer login, a senha enviada é comparada com a original. Se não houver correspondência, o Facebook aplica as variações. Por exemplo, se o Caps Lock estiver ativado, a plataforma inverte a capitalização das letras e tenta novamente. Se isso não funcionar, o próximo cenário é testado. O Facebook age como faríamos ao receber uma mensagem de “senha incorreta”: verifica se houve um erro de digitação e o corrige. Isso torna a experiência do usuário mais amigável, sem comprometer a segurança, pois é preciso ter uma noção da senha correta e as variações aceitas são limitadas.

Métodos de força bruta não são o principal meio de invasão de contas. Engenharia social e vazamentos de senhas são mais eficazes. Informações públicas podem ser usadas para redefinir senhas. Se sua pergunta de redefinição envolve seu local de nascimento ou o nome de solteira de sua mãe, um criminoso pode rastrear a resposta, redefinir sua senha e tornar a adivinhação da senha irrelevante.

Muitas pessoas usam a mesma combinação de e-mail e senha em diversos sites. Vazamentos de dados são frequentes. Se você reutiliza suas credenciais, sua senha é a vulnerabilidade, não as políticas do Facebook.

Se você suspeita de ter sido vítima de um vazamento, visite haveibeenpwned.com e verifique se sua senha foi exposta. É provável que alguma de suas contas tenha sido comprometida.

Proteja Suas Contas

Se você ainda se preocupa com essa política, algumas medidas podem ser tomadas. Primeiro, pare de usar a mesma senha em todos os sites. Use um gerenciador de senhas para criar senhas longas e únicas para cada plataforma. Assim, se um site for invadido, você poderá alterar apenas a senha daquele site, sabendo que as demais senhas não estarão comprometidas.

Ative a autenticação de dois fatores em todos os sites que a oferecem, incluindo o Facebook. A melhor opção é um aplicativo que gera códigos no seu smartphone ou uma chave física. A autenticação de dois fatores via SMS é menos segura, devido a vulnerabilidades com a engenharia social. Tenha um backup para caso seu smartphone ou chave sejam perdidos.

Com essas precauções, sua conta estará muito mais segura, independentemente das políticas de senha do Facebook. Use um gerenciador de senhas e senhas exclusivas, combinado com a autenticação de dois fatores.

Sem Pânico, Aproveite a Conveniência

A política de senhas do Facebook pode gerar preocupação, mas os benefícios superam os riscos. Segurança e conveniência são um equilíbrio delicado. Quanto mais se restringe o acesso, menor é a conveniência. Ao facilitar o acesso, a segurança é reduzida. O objetivo é encontrar o equilíbrio ideal para proteger os usuários sem frustrá-los. O Facebook optou pela conveniência, uma decisão aceitável.