Facebookがあなたのパスワードをあなたの便利さのために欺く
あなたがあなたのパスワードの唯一の正しいバージョンがあなたが使う正確な大文字と文字/記号シーケンスであると思うなら、あなたはショックを受けるかもしれません。あなたの便利さのために、Facebookはあなたのパスワードのわずかな変化を受け入れます。そしてそれは完全に安全です.
パスワードは間違えやすい
Facebookなどの他のサイトには問題があります。彼らはあなたが長くて複雑なパスワードを使用したいのですが、それらはタイプするのが難しいです。あなたはあなたのためにそれを世話するためにパスワードマネージャを使うべきですが、ほとんどの人はそうしません。そしてこれら二つの要因のために、それはあなたのパスワードを誤入力するのが一般的です.
その時点でFacebookは何をすべきか?
あなたのパスワードがわずかに違っていたという理由だけで彼らはあなたの入力を拒絶し、2度目の試みであなたを失望させるべきですか?または、提供されたパスワードは間違いないと思いますが、間違いを無視して、猫のGIFや赤ちゃんの写真への誤字や旅をスムーズにしましょう?
Facebookはパスワードの間違いを評価する
ロンドンのFacebook Engineeringのセキュリティインフラストラクチャチームの元ソフトウェアエンジニアであるAlec Muffetが説明するように、Facebookは後者を選びました。あなたのパスワードが正確に近いものであれば、彼らはそれを正確であると見なすかもしれません。これに関する規則は簡単です。次の条件のいずれかに該当する場合、Facebookは誤ったパスワードを受け入れます。
- あなたはキャップロックをオンにしており、大文字と小文字は逆になっています.
- パスワードの最初または最後に余分な文字を入力した
- パスワードの最初の文字は小文字にする必要がありますが、大文字で入力しました
ご覧のとおり、これらのバリエーションはすべて、入力時にパスワードをわずかに紛失するという基本概念を中心にしています。場合によっては、単語の最初の文字が大文字になっているように、これが自動修正の問題になることがあります。あなたのタイプミスしたパスワードがこれらの特定の規則を満たすならば、あなたは問題があったことを知らないでしょう - あなたはただあなた自身がログインしているのを見つけるでしょう.
例えば、あなたのパスワードが "letMeIn"だとしましょう。Facebookは "LETmEiN"(これはまっすぐな大文字のロックの逆転であるため)や "LetMeIn"(最初の文字の大文字が間違っているため)も受け入れます。 「1letMeIn」や「letMeIn2」などのバリエーションも受け入れられます。これらはバリエーションが先頭または末尾の追加文字を除いて正しいからです。ただし、「LETMEIN」、「letmein」、または「12LetMeIn」はまったく受け入れられません。.
このプロセスはまだ安全です
シーズンタイム/シャッターストック一見したところ、Facebookのパスワードの寛容性は不安定に聞こえます。しかし、この場合、真実はもっと複雑です。ほんの数分でパスワードを推測する素早い力を示した古いハッカー犯罪ドラマを考えるのは簡単ですが、ハッキングはそのようにはまったく機能しません。未知のパスワードを強要することはありますが、それはTVが意味するものとは非常に異なります。 xkcdがよく知られているように、パスワードの長さが増すにつれて、パスワードを解読する時間も指数関数的に増えます。複雑さを追加することは助けになりますが、あなたが思っているほどではありません.
そのため、Facebookが許可するシナリオの1つ、パスワードの最初または最後の余分な文字は、力ずくでいっそう困難になります。ハッカーは、パスワードと追加の文字を使用する前に、すでに正しいパスワードを知っている必要があります。.
特に興味深いのは、キャップロックシナリオです。私は最初に自分のパスワードをメモ帳に手動で入力し、ケースを逆にしてから、その結果をFacebookに貼り付けてテストしました。そのパスワードを拒否しました。それから、キャップロックをオンにして、あたかもキャップロックがオフであるかのように自分のパスワードを入力したため、大文字と小文字が逆になった。その試みは成功し、私はログインした。Facebookはパスワードが何であるかだけでなくあなたがそれを入力する方法をチェックしている。ブルートフォースは、キャップスロックをシミュレートすることを除いて、そのシナリオでは役に立ちません。これは、実際のパスワードを狙うよりも難しいでしょう。.
更新:情報セキュリティコンサルタントのPaul MooreがTwitterで指摘しているように、Facebookはおそらくあなたのパスワードのバリエーションではなく、あなたのオリジナルのパスワード(正しくハッシュ化され、塩漬けされた)を保存するだけである可能性が高い。ログイン用のパスワードを送信すると、元のパスワードと照合されます。それが一致しない場合、Facebookはこれらのバリエーションを通してあなたの提出されたパスワードを実行します。たとえば、Caps Lockがオンになっている場合、Facebookは送信されたパスワードを受け取り、文字の大文字を元に戻してから再試行します。それでもうまくいかない場合は、Facebookは次のシナリオを試します。基本的に、Facebookはあなたが「間違ったパスワード」メッセージを受け取った時にあなたがしたであろうことをしているタイプされたパスワードの偶然の誤りをチェックしてそれを訂正しています。それはあなたにとってプロセス全体をイライラさせません。これはセキュリティを低下させるものではありません。正しいパスワードについての考えが依然として必要であり、受け入れられるバリエーションが狭いためです。.
さらに重要なことに、ブルートフォース方式はソーシャルネットワークや他のアカウントにアクセスするための主要な方法ではありません。ソーシャルエンジニアリングとパスワードダンプは、はるかに使いやすいです。パスワード再設定の質問がある場合は、少なくともいくつかの回答が公にアクセス可能な情報である可能性が高いです。再設定の質問が出生地、旧姓、または高校のマスコットに関するものである場合は、答えを突き止めることができます。その時点で、悪意のあるユーザーがパスワードをリセットし、パスワード自体を推測または決定する必要がなくなる可能性があります。.
残念ながら、ログイン認証情報を必要とするすべてのサイトで、依然として多くの人が同じ電子メールとパスワードの組み合わせを使用しています。データ侵害の事例ごとに事例を探すために遠くを探す必要はありません。同じメールアドレスとパスワードの組み合わせを複数の場所で使用していて、何年も使用されている場合、パスワードはFacebookのポリシーではなく脆弱性です。.
あなたが違反の犠牲になったかどうかわからない場合は、haveibeenpwned.comにアクセスして、パスワードが盗まれたかどうかを確認してください。たぶん、あなたは少なくともいくつかのアカウントがどこかの場所で侵害されているのでしょう.
あなたはいつもあなたの口座を守るべきです
Nicescene / Shutterstock.comこのポリシーがあなたを脆弱にしていることをまだ心配しているならば、あなたがとることができるステップがあります。最初のステップは、すべてのサイトに同じパスワードを使うのをやめることです。代わりに、パスワードマネージャを取得し、それを使用するすべての異なるサイトに対して一意の長いパスワードを生成するようにしてください。次に、あなたが使用したウェブサイトが侵害されたことが次に表示されたときには、その1つのパスワードだけを変更して、この1つのパスワードがハッカーに悪用されないことを知って安心できます。.
パスワードを強化したら、それを提供するサイトで2要素認証を有効にします。 Facebookは2要素認証を提供していますので、そこにも設定する必要があります。最善の2要素認証は、頻繁に新しいコードを生成するスマートフォンまたはあなたが持っている物理的な鍵を備えたアプリに依存しています。 SMSベースの2要素認証は何もないよりは優れていますが、それでもソーシャルエンジニアリング技術に対して脆弱です。あなたがオーセンティケータアプリか物理的な鍵に頼ることができるならそれであなたはそうすべきです。電話やキーで何か問題が発生した場合に備えて、バックアップを取ります。.
この組み合わせで、あなたのアカウントはFacebookのパスワードポリシーにかかわらずはるかに安全です。少なくともパスワードマネージャと固有のパスワードを使用するべきですが、それらを2要素認証と組み合わせて使用することをお勧めします。.
慌てないで。便利さを楽しむ
Facebookのパスワードポリシーに関しては、安全性が低いと心配するのは簡単ですが、現実には利点がリスクを上回っています。セキュリティはバランスの取れた行動です。システムをロックダウンすればするほど、アクセスしにくくなります。しかし、より便利なアクセスを追加すると、セキュリティが低下します。イライラすることなくユーザーを保護するには、両方の要素を適切に活用することが秘訣です。 Facebookはここでユーザーの使いやすさの面で誤解しています、そしてそれはおそらく許容できる決定です.