Se você acha que a única versão correta de sua senha é a capitalização exata e a seqüência de letras / símbolos que você usa, pode estar em choque. O Facebook aceitará pequenas variações de sua senha, para sua conveniência. E é perfeitamente seguro.
últimas postagens
As senhas são fáceis de digitar incorretamente
O Facebook e outros sites semelhantes têm um problema. Eles gostariam que você usasse senhas longas e complicadas, mas são difíceis de digitar. Você deveria usar um gerenciador de senhas para cuidar disso para você, mas a maioria das pessoas não o faz. E por causa desses dois fatores, é comum digitar incorretamente sua senha.
Nesse ponto, o que o Facebook deve fazer?
Eles deveriam negar sua entrada apenas porque sua senha estava um pouco errada e frustrá-lo com uma segunda tentativa? Ou eles deveriam reconhecer que a senha fornecida provavelmente estava correta, mas com um erro de digitação, e facilitar sua jornada para Gifs de gatos e fotos de bebês, ignorando o erro?
Facebook avalia erros em senhas
Como Alec Muffet, explica um ex-engenheiro de software da equipe de infraestrutura de segurança da Facebook Engineering em Londres, o Facebook escolheu o último. Se sua senha estiver muito próxima da correta, eles podem considerá-la precisa. As regras para isso são diretas. O Facebook aceitará uma senha incorreta se atender a alguma destas condições:
Você ativou o Caps Lock e as maiúsculas são invertidas.
Você insere um caractere extra no início ou no final de uma senha
O primeiro caractere da senha deve ser minúsculo, mas você digitou em maiúsculo
Como você pode ver, essas variações estão todas centradas no conceito básico de omitir um pouco a senha ao digitar. Em alguns casos, isso pode ser um problema de autocorreção, como a primeira letra de uma palavra sendo maiúscula. Se sua senha digitada incorretamente atender a essas regras específicas, você não saberá que houve um problema – você apenas estará conectado.
Por exemplo, digamos que sua senha seja “letMeIn”. O Facebook também aceitará “LETmEiN” (porque é uma reversão direta do caps lock) e “LetMeIn” (porque é maiúsculo incorreto para a primeira letra). Também aceitará variações como “1letMeIn” e “letMeIn2” porque essas estão corretas, exceto por um caractere adicional no início ou no final. No entanto, não aceitará “LETMEIN”, “letmein” ou “12LetMeIn”.
Este processo ainda é seguro
À primeira vista, a tolerância de senha do Facebook parece insegura. Mas, neste caso, a verdade é mais complicada. Embora seja fácil pensar em antigos dramas de crimes de hackers que mostravam uma rápida adivinhação de uma senha com força bruta em poucos minutos, o hacking não funciona dessa forma. A força bruta de senhas desconhecidas existe, mas é muito diferente do que a TV sugere. Como O xkcd é uma demonstração famosa, conforme o comprimento de uma senha aumenta, o tempo para quebrá-la também aumenta exponencialmente. Adicionar complexidade ajuda, mas não tanto quanto você pode imaginar.
Portanto, um dos cenários que o Facebook permite, um caractere extra no início ou no final da senha, seria ainda mais difícil à força bruta. Os hackers já precisariam ter a senha correta antes de chegar à senha mais um caractere extra.
De particular interesse é o cenário de caps lock. Eu testei isso primeiro digitando manualmente minha senha no bloco de notas, revertendo o caso e colando o resultado no Facebook. Ele negou essa senha. Em seguida, ativei o caps lock e digitei minha senha como se o cap lock estivesse desativado, revertendo o caso. Essa tentativa foi bem-sucedida e eu estava logado. O Facebook não está apenas verificando qual é a senha, mas como você a insere. A força bruta não ajudará nesse cenário, exceto simular o caps lock, o que seria mais difícil do que apenas apontar para a senha real.
Atualização: Como aponta o consultor de segurança da informação Paul Moore em Twitter, O Facebook provavelmente está armazenando apenas sua senha original (com hash e sal adequados) e não as variações de sua senha. Quando você envia uma senha para fazer login, ela é verificada em relação à sua senha original. Se não corresponder, o Facebook executa a senha enviada por meio dessas variações. Por exemplo, se o Caps Lock estiver ativado, o Facebook pega a senha enviada, inverte a capitalização das letras e tenta novamente. Se isso não funcionar, o Facebook tenta novamente com o próximo cenário. Basicamente, o Facebook está fazendo o que você faria ao receber uma mensagem de “senha errada” – verificar se há um erro acidental na senha digitada e corrigi-lo. Isso torna todo o processo menos frustrante para você. Isso não diminui a segurança, porque alguma ideia da senha correta ainda é necessária e as variações aceitas são limitadas.
Mais importante ainda, os métodos de força bruta não são o principal método para obter acesso a redes sociais e outras contas. A engenharia social e os despejos de senha são muito mais simples de usar. Se você tiver perguntas sobre redefinição de senha, há uma boa chance de que pelo menos algumas das respostas sejam informações publicamente acessíveis. Se sua pergunta de redefinição for sobre seu local de nascimento, nome de solteira da mãe ou mascote do colégio, então é possível rastrear a resposta. Nesse ponto, um malfeitor pode redefinir sua senha, tornando qualquer necessidade de adivinhar ou determinar a própria senha inteiramente discutível.
Infelizmente, muitas pessoas ainda usam a mesma combinação de e-mail e senha em todos os sites que exigem credenciais de login. Você não precisa ir muito longe para encontrar instância após instância de violação de dados. Se você está usando a mesma combinação de e-mail e senha em mais de um lugar, e já faz isso há anos, então suas senhas são a vulnerabilidade, não as políticas do Facebook.
Se você não tem certeza se foi vítima de uma violação, vá para haveibeenpwned.com e verifique se sua senha foi roubada. Provavelmente, você teve pelo menos alguma conta comprometida em algum lugar.
Você deve sempre proteger suas contas
Se você ainda está preocupado com o fato de esta política o deixar vulnerável, existem etapas que você pode seguir. O primeiro passo é parar de usar a mesma senha para todos os sites. Em vez disso, obtenha um gerenciador de senhas e deixe-o gerar senhas longas exclusivas para cada site diferente que você usar. Então, da próxima vez que você vir que um site que você usou foi comprometido, você pode alterar apenas essa senha e se sentir seguro sabendo que essa senha conhecida não fará nenhum bem aos hackers.
Depois de proteger suas senhas, ative a autenticação de dois fatores em qualquer site que a ofereça. O Facebook oferece autenticação de dois fatores, portanto, você também deve configurá-la lá. A melhor autenticação de dois fatores depende de um aplicativo com seu smartphone que gera um novo código com frequência ou uma chave física que você mantém com você. Embora a autenticação de dois fatores baseada em SMS seja melhor do que nada, ainda é vulnerável a técnicas de engenharia social. Portanto, se você pode contar com um aplicativo autenticador ou uma chave física, você deve. E tenha um backup para o caso de algo acontecer com seu telefone ou chave.
Com essa combinação, sua conta fica muito mais segura, independentemente das políticas de senha do Facebook. Você deve, no mínimo, usar um gerenciador de senhas e senhas exclusivas, mas usá-los em combinação com a autenticação de dois fatores é melhor.
Não entre em pânico; Aproveite a conveniência
Quanto à política de senha do Facebook, é fácil se preocupar por ser menos segura, mas a realidade é que os benefícios superam os riscos. A segurança é um ato de equilíbrio. Quanto mais você bloqueia um sistema, menos conveniente ele é acessado. Mas, à medida que adiciona um acesso mais conveniente, você perde a segurança. O truque é conseguir a quantidade certa de ambos para proteger seus usuários sem frustrá-los. O Facebook errou no lado da facilidade do usuário aqui, e essa provavelmente é uma decisão aceitável.