为什么Facebook会接受错误的密码?

Facebook Accepts Wrong Passwords

有些人可能知道忘记密码是多么令人不快。但是,有一件事情更令人沮丧 - 当你确定输入的密码实际上是正确的时,看到“密码不正确”对话框。 Facebook决定减轻你的一些压力。

这不是一个新功能。这个世界上最大的社交网络已经有一段时间了,但几周前,Facebook支持团队的回应被公开分享并引发了一场风暴。

即使使用从技术角度来看错误的密码,Facebook也会允许您进入您的帐户。我们的想法是,如果您因某种原因错误输入密码,Facebook会看到您输入的内容接近原始密码,它会意识到它真的是您,它会让您进入。

具有讽刺意味的是,大多数讨论都是在Twitter上进行的,而这一切都始于以下推文:

考虑到Facebook最近的一系列隐私失误,相当多的人在听到这一消息后伸手去拿干草叉和火炬,这不应该是一个惊喜。话虽这么说,“Facebook是邪恶的”话语可能只是模糊一些人的判断。让我们仔细看看Facebook的作用,它为什么会这样做,以及它带来了什么样的风险。

Facebook密码存储问题

在我们讨论是否使用真实密码的排列成功验证人员是正确的事情之前,我们先来看看技术方面,更具体地说,这个功能对于Facebook的密码存储机制意味着什么。 。

正如你们许多人所知,存储密码的唯一安全方法是对它们进行散列和腌制 。许多人开始怀疑Facebook是否这样做,并且有充分的理由。安全地对密码进行哈希处理的重点是,没有人,甚至Facebook,都看不到它们。逻辑规定,如果它允许真实密码的排列,它必须以某种方式能够看到它。

Facebook本身没有提供有关其密码存储习惯的官方信息,但专家似乎确信社交媒体巨头不会不安全地保存密码。他们中的一些人认为Facebook为每个用户保存了几个哈希值(真实密码和允许的排列)。其他人认为,当它看到您的密码版本时,它会将其删除到它认为您想要输入的内容,对其进行哈希处理,并将哈希值与其存储在其数据库中的内容进行比较。但它是如何做到的呢?

Facebook仅允许您的密码的某些排列

我们的想法是,只要您输入远程类似于密码的内容,就不会让您进入。实际上,它只适用于少数选定的场景。

例如,移动设备上的键盘应用程序通常将句子的第一个字母大写,这在许多情况下都是有用的. 但是,当您输入密码时,这些应用程序会将“mysecurepassword”变为“Mysecurepassword”,根据许多在线服务提供商的说法,这是一个完全不同的密码。为了免除您的困惑,Facebook会让您进入,而不会有任何额外的麻烦。

如果您忘记关闭大写锁定(“MYSECUREPASSWORD”),它也会这样做。如果您的密码为“MySecurePassword”,则可以使用“mYsECUREpASSWORD”访问您的帐户,这也意味着如果您的密码为“MySecurePassword”,则会将大写和小写字母的密码意外情况反转。最后,Facebook会在密码之前或之后出现流氓字符(例如“1mysecurepassword”,“mysecurepassword1”等)。

安全与可用性 - 永无止境的战斗

不难看出为什么这个设计决定如此具有争议性。数学告诉我们,允许相同密码的几种不同变体会破坏其https://www.cyclonis.com/what-is-password-entropy-how-use-own-benefit/ entropy。从纯粹的统计角度来看,如果您将可以开设帐户的密码数量增加一倍,那么黑客入侵的可能性就会翻倍。

与此同时,如果Facebook要生存,它需要人们登录并与网络互动。令他们感到沮丧是他们想要的最后一件事。它知道这种身份验证功能确实带来了一定的风险,但它愿意接受它们。曾经为Facebook工作的安全专家亚历克·马弗特(Alec Muffet)实际上已经讨论过为什么给用户“稍微松懈”是一个很好的电话。你可以听他的论点,自己决定你是否同意他们。

不过,您的主要关注点应该放在密码的强度上。如果您使用相当长且难以猜测的唯一密码保护您的Facebook帐户,社交网络对忘记了Caps Lock的人的宽容将对您的安全性没有实际影响。

使用像Cyclonis Password Manager这样的密码管理工具,您将不会遇到忘记密码或错误输入密码的问题,因为它会为您完成所有操作。要了解有关其工作原理的更多信息,请单击此处

March 1, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
9 + 10是什么?