為什麼Facebook會接受錯誤的密碼?

Facebook Accepts Wrong Passwords

有些人可能知道忘記密碼是多麼令人不快。但是,有一件事情更令人沮喪 - 當你確定輸入的密碼實際上是正確的時,看到“密碼不正確”對話框。 Facebook決定減輕你的一些壓力。

這不是一個新功能。這個世界上最大的社交網絡已經有一段時間了,但幾週前,Facebook支持團隊的回應被公開分享並引發了一場風暴。

即使使用從技術角度來看錯誤的密碼,Facebook也會允許您進入您的帳戶。我們的想法是,如果您因某種原因錯誤輸入密碼,Facebook會看到您輸入的內容接近原始密碼,它會意識到它真的是您,它會讓您進入。

具有諷刺意味的是,大多數討論都是在Twitter上進行的,而這一切都始於以下推文:

考慮到Facebook最近的一系列隱私失誤,相當多的人在聽到這一消息後伸手去拿乾草叉和火炬,這不應該是一個驚喜。話雖這麼說,“Facebook是邪惡的”話語可能只是模糊一些人的判斷。讓我們仔細看看Facebook的作用,它為什麼會這樣做,以及它帶來了什麼樣的風險。

Facebook密碼存儲問題

在我們討論是否使用真實密碼的排列成功驗證人員是正確的事情之前,我們先來看看技術方面,更具體地說,這個功能對於Facebook的密碼存儲機制意味著什麼。 。

正如你們許多人所知,存儲密碼的唯一安全方法是對它們進行散列和醃製 。許多人開始懷疑Facebook是否這樣做,並且有充分的理由。安全地對密碼進行哈希處理的重點是,沒有人,甚至Facebook,都看不到它們。邏輯規定,如果它允許真實密碼的排列,它必須以某種方式能夠看到它。

Facebook本身沒有提供有關其密碼存儲習慣的官方信息,但專家似乎確信社交媒體巨頭不會不安全地保存密碼。他們中的一些人認為Facebook為每個用戶保存了幾個哈希值(真實密碼和允許的排列)。其他人認為,當它看到您的密碼版本時,它會將其刪除到它認為您想要輸入的內容,對其進行哈希處理,並將哈希值與其存儲在其數據庫中的內容進行比較。但它是如何做到的呢?

Facebook僅允許您的密碼的某些排列

我們的想法是,只要您輸入遠程類似於密碼的內容,就不會讓您進入。實際上,它只適用於少數選定的場景。

例如,移動設備上的鍵盤應用程序通常將句子的第一個字母大寫,這在許多情況下都是有用的. 但是,當您輸入密碼時,這些應用程序會將“mysecurepassword”變為“Mysecurepassword”,根據許多在線服務提供商的說法,這是一個完全不同的密碼。為了免除您的困惑,Facebook會讓您進入,而不會有任何額外的麻煩。

如果您忘記關閉大寫鎖定(“MYSECUREPASSWORD”),它也會這樣做。如果您的密碼為“MySecurePassword”,則可以使用“mYsECUREpASSWORD”訪問您的帳戶,這也意味著如果您的密碼為“MySecurePassword”,則會將大寫和小寫字母的密碼意外情況反轉。最後,Facebook會在密碼之前或之後出現流氓字符(例如“1mysecurepassword”,“mysecurepassword1”等)。

安全與可用性 - 永無止境的戰鬥

不難看出為什麼這個設計決定如此具有爭議性。數學告訴我們,允許相同密碼的幾種不同變體會破壞其https://www.cyclonis.com/what-is-password-entropy-how-use-own-benefit/ entropy。從純粹的統計角度來看,如果您將可以開設帳戶的密碼數量增加一倍,那麼黑客入侵的可能性就會翻倍。

與此同時,如果Facebook要生存,它需要人們登錄並與網絡互動。令他們感到沮喪是他們想要的最後一件事。它知道這種身份驗證功能確實帶來了一定的風險,但它願意接受它們。曾經為Facebook工作的安全專家亞歷克·馬弗特(Alec Muffet)實際上已經討論過為什麼給用戶“稍微鬆懈”是一個很好的電話。你可以聽他的論點,自己決定你是否同意他們。

不過,您的主要關注點應該放在密碼的強度上。如果您使用相當長且難以猜測的唯一密碼保護您的Facebook帳戶,社交網絡對忘記了Caps Lock的人的寬容將對您的安全性沒有實際影響。

使用像Cyclonis Password Manager這樣的密碼管理工具,您將不會遇到忘記密碼或錯誤輸入密碼的問題,因為它會為您完成所有操作。要了解有關其工作原理的更多信息,請單擊此處

March 1, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
7 + 2是什麼?