Facebook falsifica tu contraseña para tu conveniencia
Si cree que la única versión correcta de su contraseña es la capitalización exacta y la secuencia de letras / símbolos que usa, es posible que esté en shock. Facebook aceptará ligeras variaciones de su contraseña, para su conveniencia. Y es perfectamente seguro..
Las contraseñas son fáciles de escribir mal
Facebook y otros sitios como este tienen un problema. Les gustaría que usaran contraseñas largas y complicadas, pero son difíciles de escribir. Debería usar un administrador de contraseñas para cuidar de eso por usted, pero la mayoría de las personas no lo hacen. Y debido a esos dos factores, es común confundir su contraseña.
En ese punto, ¿qué debería hacer Facebook??
¿Deberían denegarle la entrada solo porque su contraseña estaba un poco apagada y frustrarlo con un segundo intento? O deben reconocer que la contraseña provista fue correcta, pero con un error tipográfico y suavizar su viaje a gifs de gatos y fotos de bebés al ignorar el error?
Facebook evalúa errores en las contraseñas
Como lo explica Alec Muffet, un ex ingeniero de software para el equipo de infraestructura de seguridad de Facebook Engineering en Londres, Facebook eligió esta última. Si su contraseña está muy cerca de ser correcta, pueden considerarla como precisa. Las reglas para esto son sencillas. Facebook aceptará una contraseña incorrecta si cumple alguna de estas condiciones:
- Tienes el bloqueo de mayúsculas activado y las mayúsculas se invierten.
- Introduce un carácter adicional al principio o al final de una contraseña
- El primer carácter de la contraseña debe estar en minúsculas, pero usted la escribió en mayúscula
Como puede ver, todas estas variaciones se centran en el concepto básico de perder su contraseña al escribir. En algunos casos, esto puede ser un problema de autocorrección, como la primera letra de una palabra en mayúscula. Si su contraseña mal escrita cumple con estas reglas específicas, no sabrá que hubo un problema, simplemente se encontrará conectado..
Por ejemplo, digamos que su contraseña es "letMeIn". Facebook también aceptará "LETmEiN" (porque es una inversión directa de bloqueo de mayúsculas) y "LetMeIn" (porque es el capital incorrecto para la primera letra). También aceptará variaciones como "1letMeIn" y "letMeIn2" porque son correctas, excepto por un carácter adicional al principio o al final. Sin embargo, no aceptará "LETMEIN", "letmein" o "12LetMeIn" en absoluto.
Este proceso sigue siendo seguro
Seasontime / ShutterstockA primera vista, la leniencia de la contraseña de Facebook suena insegura. Pero en este caso, la verdad es más complicada. Si bien es fácil pensar en viejos dramas de crímenes de piratas cibernéticos que mostraron una fuerza bruta rápida al adivinar una contraseña en cuestión de minutos, el pirateo no funciona de esa manera. Brute forzar contraseñas desconocidas existe, pero es muy diferente de lo que implica la TV. Como lo demuestra xkcd, a medida que aumenta la longitud de una contraseña, el tiempo para descifrarla también aumenta exponencialmente. Agregar complejidad ayuda, pero no tanto como podría pensar.
Entonces, uno de los escenarios que Facebook permite, un carácter adicional al principio o al final de la contraseña, sería aún más difícil de forzar. Los piratas informáticos ya tendrían que tener la contraseña correcta antes de llegar a la contraseña más un carácter adicional.
De particular interés es el escenario de bloqueo de mayúsculas. Probé esto primero escribiendo manualmente mi contraseña en el bloc de notas, invirtiendo el caso y luego pegando ese resultado en Facebook. Se le negó esa contraseña. Luego activé el bloqueo de mayúsculas y escribí mi contraseña como si el bloqueo de mayúsculas estuviera desactivado, invirtiendo así el caso. Ese intento fue exitoso y me registré. Facebook no solo está comprobando cuál es la contraseña, sino cómo la ingresas. Brute Force no ayudará en ese escenario, salvo simular el bloqueo de mayúsculas, lo que sería más difícil que solo apuntar a la contraseña real.
Actualizar: Como lo señala el consultor de seguridad de la información Paul Moore en Twitter, lo más probable es que Facebook solo almacene su contraseña original (hash y salated correctamente) y no las variaciones de su contraseña. Cuando envía una contraseña para iniciar sesión, se verifica con su contraseña original. Si no coincide, Facebook ejecuta su contraseña enviada a través de estas variaciones. Por ejemplo, si su Bloqueo de mayúsculas está activado, Facebook toma su contraseña enviada, invierte el uso de mayúsculas en las letras y vuelve a intentarlo. Si eso no funciona, Facebook intenta de nuevo con el siguiente escenario. Esencialmente, Facebook está haciendo lo que usted habría hecho al recibir un mensaje de "contraseña incorrecta" para detectar un error accidental en la contraseña escrita y corregirla. Eso hace que todo el proceso sea menos frustrante para ti. Esto no reduce la seguridad, ya que todavía se necesita alguna idea de la contraseña correcta y las variaciones aceptadas son limitadas.
Más importante aún, los métodos de fuerza bruta no son el método principal para obtener acceso a las redes sociales y otras cuentas. La ingeniería social y los volcados de contraseñas son mucho más fáciles de usar. Si tiene preguntas para restablecer la contraseña, existe una posibilidad decente de que al menos algunas de las respuestas sean información de acceso público. Si su pregunta de restablecimiento es sobre su lugar de nacimiento, el apellido de soltera de la madre o la mascota de la escuela secundaria, entonces es posible rastrear la respuesta. En ese momento, un mal actor puede restablecer su contraseña, haciendo que cualquier necesidad de adivinar o determinar la propia contraseña sea completamente discutible..
Desafortunadamente, muchas personas siguen utilizando la misma combinación de correo electrónico y contraseña en todos los sitios que requieren credenciales de inicio de sesión. No tiene que buscar mucho para encontrar una instancia tras otra de violaciones de datos. Si está utilizando la misma combinación de correo electrónico y contraseña en más de un lugar y lo ha estado durante años, entonces sus contraseñas son la vulnerabilidad, no las políticas de Facebook..
Si no está seguro de haber sido víctima de una violación, vaya a haveibeenpwned.com y verifique si su contraseña ha sido robada. Es probable que haya tenido al menos alguna cuenta comprometida en alguna parte.
Siempre debe proteger sus cuentas
Nicescene / Shutterstock.comSi aún está preocupado de que esta política lo deje vulnerable, hay pasos que puede tomar. El primer paso es dejar de usar la misma contraseña para cada sitio. En su lugar, obtenga un administrador de contraseñas y deje que genere contraseñas largas únicas para cada sitio diferente que use. Luego, la próxima vez que vea que un sitio web que utilizó se ha visto comprometido, puede cambiar solo esa contraseña y sentirse seguro sabiendo que esta contraseña conocida no servirá de nada a los piratas informáticos..
Después de reforzar sus contraseñas, active la autenticación de dos factores en cualquier sitio que la ofrezca. Facebook ofrece autenticación de dos factores, por lo que también debe configurarlo allí. La mejor autenticación de dos factores se basa en una aplicación con su teléfono inteligente que genera un nuevo código con frecuencia o una clave física que guarda con usted. Si bien la autenticación de dos factores basada en SMS es mejor que nada, aún es vulnerable a las técnicas de ingeniería social. Entonces, si puede confiar en una aplicación de autenticación o una clave física, debería hacerlo. Y tenga una copia de seguridad en su lugar en caso de que algo suceda con su teléfono o tecla.
Con esta combinación, su cuenta es mucho más segura, independientemente de las políticas de contraseña de Facebook. Como mínimo, debe utilizar un administrador de contraseñas y contraseñas únicas, pero es mejor usar las que se combinan con la autenticación de dos factores..
No se asuste; Disfruta la conveniencia
En cuanto a la política de contraseñas de Facebook, es fácil preocuparse de que sea menos seguro, pero la realidad es que los beneficios superan los riesgos. La seguridad es un acto de equilibrio. Cuanto más bloquee un sistema, menos conveniente será el acceso. Pero a medida que agrega un acceso más conveniente, pierde seguridad. El truco es obtener las cantidades correctas de ambos para proteger a sus usuarios sin frustrarlos. Facebook cometió un error en el lado de la facilidad del usuario aquí, y esa es probablemente una decisión aceptable.