Scopri perch? Facebook falsifica la tua password anche se sbagli password Facebook accedi ugualmente al social network. Ecco il perch?
Se pensi che l’unica versione corretta della tua password Facebook sia l’esatta maiuscola e la sequenza di lettere / simboli che usi, potresti restare sbalordito. Facebook accetter? anche una password leggermente sbagliata della tua vera password, per tua comodit?. La cosa che sembra strana ? perfettamente sicura.
Le password sono facili da falsificare
Facebook e altri siti social network hanno un problema, vorrebbero che usassi password lunghe e complicate, ma sono difficili da ricordare e digitare. Dovresti utilizzare un gestore di password per occupartene, ma la maggior parte delle persone non lo fa perch? non si fida di inserire le proprie password in un software. E a causa di questi due fattori, ? comune digitare erroneamente la password.
A quel punto cosa dovrebbe fare Facebook ?
Dovrebbero negarti l’accesso solo perch? la tua password era leggermente sbagliata o richiederti di reinserire la password Facebook ? O dovrebbero riconoscere che la password fornita era probabilmente corretta ma con un errore di battitura e facilitare il tuo accesso al social ?
Come spiega Alec Muffet, un ex ingegnere del software per il team delle infrastrutture di sicurezza presso Facebook Engineering a Londra, Facebook ha scelto quest’ultima soluzione. Se la tua password ? molto vicina a quella corretta, potrebbe considerarla giusta. Le regole per questo sono semplici. Facebook accetter? una password errata se soddisfa una di queste condizioni:
- Hai attivato il blocco delle maiuscole e le maiuscole in modo invertito.
- Hai messo un carattere in pi? all’inizio o alla fine di una password
- Il primo carattere della password dovrebbe essere minuscolo, ma l’hai digitato in maiuscolo
Facebook valuta gli errori nelle password
Come puoi vedere, queste variazioni sono tutte incentrate sul concetto di base di ricordare la password leggermente diversa da quella corretta. In alcuni casi, questo potrebbe essere un problema di correzione automatica, come la prima lettera di una parola in maiuscolo. Se la tua password errata soddisfa queste regole specifiche, non saprai che si ? verificato un problema: ti ritroverai semplicemente connesso.
Ad esempio, supponiamo che la tua password sia “letMeIn”. Facebook accetter? anche “LETmEiN” (perch? si tratta di un’inversione di blocco maiuscole diretto) e “LetMeIn” (perch? quella ? una maiuscola errata per la prima lettera). Accetter? anche variazioni come “1letMeIn” e “letMeIn2” perch? sono corrette ad eccezione di un carattere aggiuntivo all’inizio o alla fine. Tuttavia, non accetter? affatto “LETMEIN”, “letmein” o “12LetMeIn”.
Questo processo ? sicuro per accedere a Facebook ?
A prima vista, la la procedura per la valutazione della password Facebook sembra insicura. Ma in questo caso la verit? ? pi? complicata. Sebbene sia facile pensare ad hacker che impiegano la “forza bruta” per indovinare una password in pochi minuti, l’hacking non funziona affatto in questo modo. La forza bruta di password sconosciute esiste, ma ? molto diversa da quanto riportata nei film in TV.
Come sappiamo all’aumentare della lunghezza di una password, anche il tempo per decifrarla aumenta in modo esponenziale. Aggiungere complessit? aiuta, ma non tanto quanto potresti pensare.
Quindi uno degli scenari consentiti da Facebook, un carattere in pi? all’inizio o alla fine della password, sarebbe ancora pi? difficile da usare con la forza bruta rispetto a un carattere speciale. Gli hacker dovrebbero gi? avere la password corretta prima di arrivare alla password pi? un carattere extra.
Quanto ? sicura la tua password Facebook
Aggiornamento: come sottolinea il consulente per la sicurezza delle informazioni Paul Moore su Twitter, Facebook probabilmente memorizza solo la tua password originale e non le variazioni della tua password.
Quando invii una password per accedere, viene confrontata con la tua password originale. Se non corrisponde, Facebook esegue la password inviata attraverso queste varianti. Ad esempio, se il blocco delle maiuscole ? attivo, Facebook prende la password inviata, inverte le maiuscole delle lettere e riprova. Se non funziona, Facebook riprova con lo scenario successivo. In sostanza, Facebook sta facendo quello che avresti fatto dopo aver ricevuto un messaggio di “password errata”: verificare la presenza di un errore accidentale nella password digitata e correggerlo.
Questo rende l’intero processo meno gravoso per te. Ci? non diminuisce la sicurezza, perch? ? ancora necessaria un’idea della password corretta e le varianti accettate sono limitate.
Ancora pi? importante, i metodi di forza bruta non sono il metodo principale per ottenere l’accesso ai social network e ad altri account. L’ingegneria sociale e il dump delle password sono molto pi? semplici da usare.
Non usare la stessa password per ogni sito che usi
Se hai inserito le domande per la reimpostazione della password, c’? una buona probabilit? che almeno alcune delle risposte siano informazioni accessibili pubblicamente. Se la tua domanda di ripristino riguarda il tuo luogo di nascita, il nome da nubile della madre o la mascotte del liceo, ? possibile rintracciare la risposta sulla rete internet quindi fai attenzione ! A quel punto, un maleintenzionato pu? reimpostare la tua password.
Sfortunatamente, molte persone usano ancora la stessa combinazione di email e password in ogni sito che richiede credenziali di accesso. Non devi cercare lontano per trovare istanze dopo istanze di violazioni dei dati. Se utilizzi la stessa combinazione di email e password in pi? di un posto e lo fai da anni, le tue password sono la vulnerabilit?, non le politiche di Facebook.
Se non sei sicuro di essere stato vittima di una violazione, vai su haveibeenpwned.com e controlla se la tua password ? stata rubata. ? probabile che almeno alcuni account siano stati compromessi da qualche parte.
Dovresti sempre proteggere i tuoi account
Se sei ancora preoccupato che questa procedura ti lasci vulnerabile, ci sono dei passaggi che puoi intraprendere. Il primo passo ? smettere di usare la stessa password per ogni sito. Invece, procurati un gestore di password e lascia che generi password lunghe univoche per ogni diverso sito che utilizzi.
La prossima volta che vedi che un sito web che hai utilizzato ? stato compromesso, puoi cambiare solo quella password e sentirti al sicuro sapendo che questa password conosciuta non potr? essere utilizzata per l’accesso ad altri siti.
Dopo aver rafforzato le password, attiva l’autenticazione a due fattori su qualsiasi sito che la offre. Facebook offre l’autenticazione a due fattori, quindi dovresti configurarla anche l?. La migliore autenticazione a due fattori si basa su un’app con il tuo smartphone che genera frequentemente un nuovo codice o una chiave fisica che tieni con te. Sebbene l’autenticazione a due fattori basata su SMS sia meglio di niente, ? ancora vulnerabile.
Con questa combinazione, il tuo account ? molto pi? sicuro indipendentemente dalle politiche sulle password di Facebook. Dovresti almeno usare un gestore di password e password univoche, ma ? meglio usarli in combinazione con l’autenticazione a due fattori.
Password Facebook sono sicure ?
Per quanto riguarda la politica sulle password di Facebook, ? facile preoccuparsi che sia meno sicura, ma la realt? ? che i vantaggi superano i rischi. La sicurezza ? un atto di equilibrio. Pi? blocchi un sistema, meno ? conveniente accedervi. Ma se aggiungi un accesso pi? conveniente, perdi la sicurezza. Il trucco ? ottenere la giusta quantit? di entrambi per proteggere i tuoi utenti senza frustrarli. Facebook ha commesso un errore sul lato della facilit? d’uso qui, e questa ? probabilmente una decisione accettabile.