Se pensi che l’unica versione corretta della tua password sia l’esatta maiuscola e la sequenza di lettere / simboli che usi, potresti essere scioccato. Facebook accetterà leggere variazioni della tua password, per tua comodità. Ed è perfettamente sicuro.
Sommario:
Le password sono facili da falsificare
Facebook e altri siti simili hanno un problema. Vorrebbero che usassi password lunghe e complicate, ma sono difficili da digitare. Dovresti usare un gestore di password per occupartene, ma la maggior parte delle persone non lo fa. E a causa di questi due fattori, è comune digitare erroneamente la password.
A quel punto cosa dovrebbe fare Facebook?
Dovrebbero negarti l’accesso solo perché la tua password era leggermente sbagliata e frustrarti con un secondo tentativo? O dovrebbero riconoscere che la password fornita era probabilmente corretta ma con un errore di battitura e facilitare il tuo viaggio verso gif di gatti e immagini di bambini ignorando l’errore?
Facebook valuta gli errori nelle password
Come Alec Muffet, spiega un ex ingegnere del software per il team delle infrastrutture di sicurezza di Facebook Engineering a Londra, Facebook ha scelto quest’ultimo. Se la tua password è molto vicina alla correzione, potrebbero considerarla accurata. Le regole per questo sono semplici. Facebook accetterà una password errata se soddisfa una di queste condizioni:
Hai attivato il blocco delle maiuscole e le maiuscole sono invertite.
Immettere un carattere aggiuntivo all’inizio o alla fine di una password
Il primo carattere della password dovrebbe essere minuscolo, ma l’hai digitato in maiuscolo
Come puoi vedere, queste variazioni sono tutte incentrate sul concetto di base di perdere leggermente la password durante la digitazione. In alcuni casi, questo potrebbe essere un problema di correzione automatica, come la prima lettera di una parola in maiuscolo. Se la tua password errata soddisfa queste regole specifiche, non saprai che c’è stato un problema: ti ritroverai semplicemente loggato.
Ad esempio, supponiamo che la tua password sia “letMeIn”. Facebook accetterà anche “LETmEiN” (perché è un’inversione di blocco maiuscole diretto) e “LetMeIn” (perché non è corretto il maiuscolo per la prima lettera). Accetterà anche variazioni come “1letMeIn” e “letMeIn2” perché sono corrette ad eccezione di un carattere aggiuntivo all’inizio o alla fine. Tuttavia, non accetterà affatto “LETMEIN”, “letmein” o “12LetMeIn”.
Questo processo è ancora sicuro
A prima vista, la clemenza della password di Facebook sembra insicura. Ma in questo caso la verità è più complicata. Mentre è facile pensare a vecchi drammi criminali di hacker che mostravano una rapida forza bruta nell’indovinare una password in pochi minuti, l’hacking non funziona affatto in questo modo. La forzatura bruta di password sconosciute esiste, ma è molto diversa da quanto implica la TV. Come xkcd dimostra notoriamente, all’aumentare della lunghezza di una password, anche il tempo per decifrarla aumenta in modo esponenziale. Aggiungere complessità aiuta, ma non tanto quanto potresti pensare.
Quindi uno degli scenari consentiti da Facebook, un carattere in più all’inizio o alla fine della password, sarebbe ancora più difficile da usare con la forza bruta. Gli hacker dovrebbero già avere la password corretta prima di arrivare alla password più un carattere extra.
Di particolare interesse è lo scenario di blocco delle maiuscole. L’ho testato digitando prima manualmente la mia password nel blocco note, invertendo il caso, quindi incollando il risultato su Facebook. Ha negato quella password. Ho quindi attivato il blocco delle maiuscole e ho digitato la password come se il blocco delle maiuscole fosse disattivato, invertendo le maiuscole. Il tentativo è andato a buon fine e ho effettuato l’accesso. Facebook non sta solo controllando qual è la password, ma anche come la inserisci. Brute Force non aiuterà in quello scenario, a meno di simulare il blocco delle maiuscole, che sarebbe più difficile che mirare alla password effettiva.
Aggiornamento: come sottolinea il consulente per la sicurezza delle informazioni Paul Moore Twitter, Facebook è molto probabile che memorizzi solo la tua password originale (correttamente hash e salata) e non le variazioni della tua password. Quando invii una password per accedere, questa viene confrontata con la tua password originale. Se non corrisponde, Facebook esegue la password inviata attraverso queste varianti. Ad esempio, se il blocco delle maiuscole è attivo, Facebook prende la password inviata, inverte le maiuscole delle lettere e riprova. Se non funziona, Facebook riprova con lo scenario successivo. In sostanza, Facebook sta facendo quello che avresti fatto dopo aver ricevuto un messaggio di “password errata”: verificare la presenza di un errore accidentale nella password digitata e correggerlo. Ciò rende l’intero processo meno frustrante per te. Ciò non diminuisce la sicurezza, perché è ancora necessaria un’idea della password corretta e le variazioni accettate sono limitate.
Ancora più importante, i metodi di forza bruta non sono il metodo principale per ottenere l’accesso ai social network e ad altri account. L’ingegneria sociale e il dump delle password sono molto più semplici da usare. Se hai domande sulla reimpostazione della password, c’è una buona probabilità che almeno alcune delle risposte siano informazioni accessibili pubblicamente. Se la tua domanda di ripristino riguarda il tuo luogo di nascita, il nome da nubile della madre o la mascotte del liceo, è possibile rintracciare la risposta. A quel punto, un cattivo attore può reimpostare la tua password, rendendo completamente discutibile qualsiasi necessità di indovinare o determinare la password stessa.
Sfortunatamente, molte persone utilizzano ancora la stessa combinazione di email e password in ogni sito che richiede credenziali di accesso. Non devi cercare lontano per trovare istanze dopo istanze di violazioni dei dati. Se stai utilizzando la stessa combinazione di e-mail e password in più di un posto e lo fai da anni, le tue password sono la vulnerabilità, non le politiche di Facebook.
Se non sei sicuro di essere stato vittima di una violazione, vai a haveibeenpwned.com e controlla se la tua password è stata rubata. È probabile che tu abbia almeno qualche account compromesso da qualche parte.
Dovresti sempre proteggere i tuoi account
Se sei ancora preoccupato che questa politica ti lasci vulnerabile, ci sono dei passaggi che puoi intraprendere. Il primo passo è smettere di usare la stessa password per ogni sito. Invece, procurati un gestore di password e lascia che generi password lunghe univoche per ogni diverso sito che utilizzi. Quindi, la prossima volta che vedi che un sito web che hai utilizzato è stato compromesso, puoi cambiare solo quella password e sentirti al sicuro sapendo che questa password conosciuta non farà bene agli hacker.
Dopo aver rafforzato le password, attiva l’autenticazione a due fattori su qualsiasi sito che la offre. Facebook offre l’autenticazione a due fattori, quindi dovresti configurarla anche lì. La migliore autenticazione a due fattori si basa su un’app con il tuo smartphone che genera frequentemente un nuovo codice o una chiave fisica che tieni con te. Sebbene l’autenticazione a due fattori basata su SMS sia meglio di niente, è ancora vulnerabile alle tecniche di ingegneria sociale. Quindi, se puoi fare affidamento su un’app di autenticazione o una chiave fisica, dovresti. E disponi di un backup nel caso in cui succeda qualcosa con il tuo telefono o chiave.
Con questa combinazione, il tuo account è molto più sicuro indipendentemente dalle politiche sulle password di Facebook. Dovresti almeno usare un gestore di password e password univoche, ma è meglio usarli in combinazione con l’autenticazione a due fattori.
Niente panico; Goditi la comodità
Per quanto riguarda la politica delle password di Facebook, è facile preoccuparsi che sia meno sicura, ma la realtà è che i vantaggi superano i rischi. La sicurezza è un atto di equilibrio. Più blocchi un sistema, meno è conveniente accedervi. Ma se aggiungi un accesso più conveniente, perdi la sicurezza. Il trucco è ottenere la giusta quantità di entrambi per proteggere i tuoi utenti senza frustrarli. Facebook ha sbagliato sul lato della facilità d’uso qui, e questa è probabilmente una decisione accettabile.