Se você acha que a única versão correta de sua senha é a capitalização exata e a seqüência de letras / símbolos que você usa, pode estar em choque. O Facebook aceitará pequenas variações de sua senha, para sua conveniência. E é perfeitamente seguro.
Índice
As senhas são fáceis de digitar incorretamente
O Facebook e outros sites semelhantes têm um problema. Eles gostariam que você usasse senhas longas e complicadas, mas são difíceis de digitar. Você deveria usar um gerenciador de senhas para cuidar disso para você, mas a maioria das pessoas não o faz. E por causa desses dois fatores, é comum digitar incorretamente sua senha.
Nesse ponto, o que o Facebook deve fazer?
Eles deveriam negar sua entrada apenas porque sua senha estava um pouco errada e frustrá-lo com uma segunda tentativa? Ou eles deveriam reconhecer que a senha fornecida provavelmente estava correta, mas com um erro de digitação, e facilitar sua jornada para Gifs de gatos e fotos de bebês, ignorando o erro?
Facebook avalia erros em senhas
Como Alec Muffet , um ex-engenheiro de software da equipe de infraestrutura de segurança da Facebook Engineering em Londres, explica, o Facebook escolheu o último. Se sua senha estiver muito próxima da correta, eles podem considerá-la precisa. As regras para isso são diretas. O Facebook aceitará uma senha incorreta se atender a alguma destas condições:
- Você tem o Caps Lock ativado e as maiúsculas são invertidas.
- Você insere um caractere extra no início ou no final de uma senha
- O primeiro caractere da senha deve ser minúsculo, mas você digitou em maiúsculo
Como você pode ver, essas variações estão todas centradas no conceito básico de perder um pouco a senha ao digitar. Em alguns casos, isso pode ser um problema de autocorreção, como a primeira letra de uma palavra sendo maiúscula. Se sua senha digitada incorretamente atender a essas regras específicas, você não saberá que houve um problema – você apenas estará conectado.
Por exemplo, digamos que sua senha seja “letMeIn”. O Facebook também aceitará “LETmEiN” (porque é uma reversão direta de maiúsculas) e “LetMeIn” (porque é maiúscula incorreta para a primeira letra). Também aceitará variações como “1letMeIn” e “letMeIn2” porque essas estão corretas, exceto por um caractere adicional no início ou no final. No entanto, ele não aceitará “LETMEIN”, “letmein” ou “12LetMeIn”.
Este processo ainda é seguro
À primeira vista, a tolerância de senha do Facebook parece insegura. Mas, neste caso, a verdade é mais complicada. Embora seja fácil pensar em antigos dramas de crimes de hackers que mostravam força bruta adivinhando uma senha em poucos minutos, o hacking não funciona dessa maneira. A força bruta de senhas desconhecidas existe, mas é muito diferente do que a TV sugere. Como o xkcd demonstra , conforme o comprimento de uma senha aumenta, o tempo para quebrá-la também aumenta exponencialmente. Adicionar complexidade ajuda, mas não tanto quanto você imagina.
Portanto, um dos cenários que o Facebook permite, um caractere extra no início ou no final da senha, seria ainda mais difícil à força bruta. Os hackers já precisariam ter a senha correta antes de chegar à senha mais um caractere extra.
De particular interesse é o cenário de caps lock. Testei isso primeiro digitando manualmente minha senha no bloco de notas, revertendo o caso e, em seguida, colando o resultado no Facebook. Ele negou essa senha. Em seguida, ativei o caps lock e digitei minha senha como se o cap lock estivesse desativado, revertendo o caso. Essa tentativa foi bem-sucedida e eu estava logado. O Facebook não está apenas verificando qual é a senha, mas como você a insere. A força bruta não vai ajudar nesse cenário, exceto simular o caps lock, o que seria mais difícil do que apenas apontar para a senha real.
Atualização : Como aponta o consultor de segurança da informação Paul Moore no Twitter, É provável que o Facebook esteja armazenando apenas sua senha original (com hash e sal adequados) e não as variações de sua senha. Quando você envia uma senha para fazer login, ela é verificada com sua senha original. Se não corresponder, o Facebook executa a senha enviada por meio dessas variações. Por exemplo, se o Caps Lock estiver ativado, o Facebook pega a senha enviada, inverte a capitalização das letras e tenta novamente. Se isso não funcionar, o Facebook tenta novamente com o próximo cenário. Basicamente, o Facebook está fazendo o que você faria ao receber uma mensagem de “senha errada” – verificar se há um erro acidental na senha digitada e corrigi-lo. Isso torna todo o processo menos frustrante para você. Isso não diminui a segurança,
Mais importante ainda, os métodos de força bruta não são o método principal para obter acesso a redes sociais e outras contas. A engenharia social e os despejos de senha são muito mais simples de usar. Se você tiver perguntas sobre redefinição de senha, há uma boa chance de pelo menos algumas das respostas serem informações publicamente acessíveis. Se sua pergunta de redefinição for sobre seu local de nascimento, nome de solteira da mãe ou mascote do colégio, então é possível rastrear a resposta. Nesse ponto, um malfeitor pode redefinir sua senha, tornando qualquer necessidade de adivinhar ou determinar a própria senha inteiramente discutível.
Infelizmente, muitas pessoas ainda usam a mesma combinação de e-mail e senha em todos os sites que exigem credenciais de login. Você não precisa ir muito longe para encontrar instância após instância de violação de dados . Se você estiver usando a mesma combinação de e-mail e senha em mais de um lugar, e já faz isso há anos, então suas senhas são a vulnerabilidade, não as políticas do Facebook.
Se você não tiver certeza se foi vítima de uma violação, acesse haveibeenpwned.com e verifique se sua senha foi roubada . Provavelmente, você teve pelo menos alguma conta comprometida em algum lugar.
Você deve sempre proteger suas contas
Se você ainda está preocupado com o fato de que esta política o deixa vulnerável, existem etapas que você pode seguir. O primeiro passo é parar de usar a mesma senha para todos os sites. Em vez disso, obtenha um gerenciador de senhas e deixe-o gerar senhas longas exclusivas para cada site diferente que você usar. Então, da próxima vez que você vir que um site que você usou foi comprometido, você pode alterar apenas aquela senha e se sentir seguro sabendo que essa senha conhecida não fará nenhum bem aos hackers.
Depois de proteger suas senhas, ative a autenticação de dois fatores em qualquer site que a ofereça. O Facebook oferece autenticação de dois fatores, portanto, você também deve configurá-la lá. A melhor autenticação de dois fatores depende de um aplicativo com seu smartphone que gera um novo código com frequência ou uma chave física que você mantém com você. Embora a autenticação de dois fatores baseada em SMS seja melhor do que nada , ela ainda é vulnerável a técnicas de engenharia social. Portanto, se você pode contar com um aplicativo autenticador ou uma chave física, você deve. E tenha um backup para o caso de algo acontecer com seu telefone ou chave.
Com essa combinação, sua conta fica muito mais segura, independentemente das políticas de senha do Facebook. Você deve, no mínimo, usar um gerenciador de senhas e senhas exclusivas, mas usá-los em combinação com a autenticação de dois fatores é melhor.
Não entre em pânico; Aproveite a conveniência
Quanto à política de senhas do Facebook, é fácil se preocupar por ser menos segura, mas a realidade é que os benefícios superam os riscos. A segurança é um ato de equilíbrio. Quanto mais você bloqueia um sistema, menos conveniente ele é acessado. Mas, à medida que adiciona um acesso mais conveniente, você perde a segurança. O truque é conseguir a quantidade certa de ambos para proteger seus usuários sem frustrá-los. O Facebook errou no lado da facilidade do usuário aqui, e essa provavelmente é uma decisão aceitável.