Facebook sửa mật khẩu của bạn để tạo sự thuận tiện cho bạn

Màn hình đăng nhập Facebook

Nếu bạn nghĩ rằng phiên bản chính xác duy nhất của mật khẩu là viết hoa chính xác và chuỗi ký tự / ký tự mà bạn sử dụng, bạn có thể bị sốc. Facebook sẽ chấp nhận các biến thể nhỏ của mật khẩu của bạn, để thuận tiện cho bạn. Và nó hoàn toàn an toàn.

Mật khẩu dễ nhầm lẫn

Facebook và các trang khác như nó có vấn đề. Họ muốn bạn sử dụng mật khẩu dài và phức tạp, nhưng những mật khẩu đó rất khó nhập. Bạn nên sử dụng trình quản lý mật khẩu để chăm sóc điều đó cho bạn, nhưng hầu hết mọi người thì không. Và vì hai yếu tố đó, việc nhập sai mật khẩu của bạn là điều thường thấy.





Lúc đó Facebook phải làm gì?

Họ có nên từ chối bạn nhập cảnh chỉ vì mật khẩu của bạn hơi sai và khiến bạn thất vọng với lần thử thứ hai? Hoặc họ có nên nhận ra rằng mật khẩu được cung cấp có thể đúng nhưng mắc lỗi đánh máy và làm suôn sẻ hành trình của bạn với ảnh gif và ảnh em bé của mèo bằng cách bỏ qua lỗi sai?



Facebook đánh giá sai lầm trong mật khẩu

Như Alec Muffet , một cựu kỹ sư phần mềm của nhóm cơ sở hạ tầng bảo mật tại Facebook Engineering ở London giải thích, Facebook đã chọn cái sau. Nếu mật khẩu của bạn gần đúng, họ có thể tính là chính xác. Các quy tắc cho việc này rất đơn giản. Facebook sẽ chấp nhận một mật khẩu không chính xác nếu nó đáp ứng bất kỳ điều kiện nào sau đây:

  • Bạn đã bật khóa mũ và các chữ viết hoa bị đảo ngược.
  • Bạn nhập thêm một ký tự ở đầu hoặc cuối mật khẩu
  • Ký tự đầu tiên của mật khẩu phải là chữ thường, nhưng bạn đã nhập nó viết hoa

Như bạn có thể thấy, tất cả các biến thể này đều xoay quanh khái niệm cơ bản là hơi thiếu mật khẩu của bạn khi nhập. Trong một số trường hợp, đây có thể là vấn đề tự động sửa, giống như chữ cái đầu tiên của từ được viết hoa. Nếu mật khẩu nhập sai của bạn đáp ứng các quy tắc cụ thể này, bạn sẽ không biết đã có sự cố — bạn sẽ thấy mình đã đăng nhập.

Quảng cáo

Ví dụ: giả sử mật khẩu của bạn là letMeIn. Facebook cũng sẽ chấp nhận LETmEiN (vì đó là sự đảo ngược của mũ thẳng đứng) và LetMeIn (vì chữ cái đầu tiên viết hoa không chính xác). Nó cũng sẽ chấp nhận các biến thể như 1letMeIn và letMeIn2 vì những biến thể đó đều đúng ngoại trừ một ký tự bổ sung ở đầu hoặc cuối. Tuy nhiên, nó sẽ không chấp nhận LETMEIN, letmein hoặc 12LetMeIn.



Quy trình này vẫn an toàn

người nhìn vào Facebook trên máy tính xách tay

Seasontime / Shutterstock

Thoạt nghe, sự khoan dung về mật khẩu của Facebook nghe có vẻ không an toàn. Nhưng trong trường hợp này, sự thật phức tạp hơn. Mặc dù người ta dễ dàng liên tưởng đến những bộ phim truyền hình tội phạm về hacker cũ thể hiện khả năng đoán mật khẩu nhanh chóng chỉ trong vài phút, nhưng hack hoàn toàn không hoạt động theo cách đó. Cưỡng đoạt mật khẩu không xác định có tồn tại, nhưng nó rất khác so với ngụ ý của TV. Như xkcd thể hiện nổi tiếng , khi độ dài của mật khẩu tăng lên, thời gian để bẻ khóa mật khẩu cũng tăng theo cấp số nhân. Thêm phức tạp sẽ giúp ích, nhưng không nhiều như bạn nghĩ.

Vì vậy, một trong những tình huống mà Facebook cho phép, một ký tự phụ ở đầu hoặc cuối mật khẩu, sẽ càng khó thực hiện hơn. Tin tặc đã cần phải có mật khẩu chính xác trước khi họ nhập mật khẩu đó cùng với một ký tự bổ sung.

Mối quan tâm đặc biệt là kịch bản khóa giới hạn. Tôi đã kiểm tra điều này trước tiên bằng cách nhập thủ công mật khẩu của mình vào notepad, đảo ngược trường hợp, sau đó dán kết quả đó vào Facebook. Nó đã từ chối mật khẩu đó. Sau đó, tôi bật khóa mũ và nhập mật khẩu của mình như thể khóa nắp đã tắt, do đó sẽ đảo ngược trường hợp. Nỗ lực đó đã thành công và tôi đã đăng nhập được. Facebook không chỉ kiểm tra mật khẩu là gì mà còn là cách bạn nhập mật khẩu. Brute Force sẽ không giúp ích được gì trong trường hợp đó, thiếu mô phỏng khóa mũ, điều này sẽ khó hơn là chỉ nhắm vào mật khẩu thực.

Cập nhật : Như cố vấn bảo mật thông tin Paul Moore đã chỉ ra Twitter , Facebook hầu như chỉ lưu trữ mật khẩu ban đầu của bạn (được băm và ướp muối đúng cách) chứ không phải các biến thể của mật khẩu của bạn. Khi bạn gửi mật khẩu để đăng nhập, mật khẩu đó sẽ được kiểm tra so với mật khẩu ban đầu của bạn. Nếu không khớp, Facebook sẽ chạy mật khẩu đã gửi của bạn thông qua các biến thể này. Ví dụ: nếu Caps Lock của bạn đang bật, Facebook sẽ lấy mật khẩu đã gửi của bạn, đảo ngược cách viết hoa của các chữ cái và thử lại. Nếu điều đó không hiệu quả, Facebook sẽ thử lại với tình huống tiếp theo. Về cơ bản, Facebook đang làm những gì bạn sẽ làm khi nhận được thông báo mật khẩu sai — kiểm tra lỗi ngẫu nhiên trong mật khẩu đã nhập và sửa nó. Điều đó làm cho toàn bộ quá trình ít bực bội hơn cho bạn. Điều này không làm giảm tính bảo mật, vì vẫn cần một số ý tưởng về mật khẩu chính xác và các biến thể được chấp nhận là hẹp.

Quan trọng hơn, phương pháp vũ phu không phải là phương pháp chính để có quyền truy cập vào các mạng xã hội và các tài khoản khác. Kỹ thuật xã hội và kết xuất mật khẩu đơn giản hơn nhiều để sử dụng. Nếu bạn có câu hỏi đặt lại mật khẩu, thì ít nhất một số câu trả lời là thông tin có thể truy cập công khai. Nếu câu hỏi đặt lại của bạn là về nơi sinh, tên thời con gái của mẹ hoặc linh vật của trường trung học, thì bạn có thể theo dõi câu trả lời. Tại thời điểm đó, một kẻ xấu có thể đặt lại mật khẩu của bạn, khiến bất kỳ nhu cầu nào phải đoán hoặc xác định mật khẩu hoàn toàn không có lợi.

Quảng cáo

Thật không may, nhiều người vẫn đang sử dụng cùng một tổ hợp email và mật khẩu tại mọi trang web yêu cầu thông tin đăng nhập. Bạn không cần phải tìm đâu xa để tìm ví dụ sau khi vi phạm dữ liệu. Nếu bạn đang sử dụng cùng một tổ hợp email và mật khẩu tại nhiều nơi và đã được nhiều năm, thì mật khẩu của bạn là lỗ hổng bảo mật chứ không phải chính sách của Facebook.

Nếu bạn không chắc mình có phải là nạn nhân của một vụ vi phạm hay không, hãy truy cập haveibeenpwned.com và kiểm tra xem nếu mật khẩu đã bị đánh cắp . Rất có thể bạn đã có ít nhất một số tài khoản bị xâm phạm ở đâu đó.

Bạn nên luôn bảo mật tài khoản của mình

đăng nhập tên người dùng và mật khẩu

Nicescene / Shutterstock.com

Nếu bạn vẫn lo lắng rằng chính sách này khiến bạn dễ bị tổn thương, bạn có thể thực hiện các bước sau. Bước đầu tiên là ngừng sử dụng cùng một mật khẩu cho mọi trang web. Thay vào đó, hãy nhận một quản lý mật khẩu và để nó tạo mật khẩu dài duy nhất cho mọi trang web khác nhau mà bạn sử dụng. Sau đó, vào lần tiếp theo khi bạn thấy một trang web mà bạn sử dụng đã bị xâm phạm, bạn có thể chỉ thay đổi một mật khẩu đó và cảm thấy an toàn khi biết rằng một mật khẩu đã biết này sẽ không ảnh hưởng gì đến tin tặc.

Sau khi bạn làm cứng mật khẩu của mình, hãy bật xác thực hai yếu tố tại bất kỳ trang web nào cung cấp nó. Facebook cung cấp xác thực hai yếu tố, vì vậy bạn cũng nên thiết lập nó ở đó. Xác thực hai yếu tố tốt nhất dựa vào một ứng dụng trên điện thoại thông minh của bạn, ứng dụng này thường xuyên tạo mã mới hoặc khóa vật lý bạn giữ bên mình. Trong khi xác thực hai yếu tố dựa trên SMS tốt hơn là không có gì , nó vẫn dễ bị ảnh hưởng bởi các kỹ thuật xã hội. Vì vậy, nếu bạn có thể dựa vào ứng dụng xác thực hoặc khóa vật lý, bạn nên làm như vậy. Và có một bản sao lưu tại chỗ trong trường hợp có điều gì đó xảy ra với điện thoại hoặc chìa khóa của bạn.

Với sự kết hợp này, tài khoản của bạn an toàn hơn nhiều bất kể chính sách mật khẩu của Facebook. Ít nhất bạn nên sử dụng trình quản lý mật khẩu và các mật khẩu duy nhất, nhưng sử dụng chúng kết hợp với xác thực hai yếu tố thì tốt hơn.

Đừng hoảng sợ; Tận hưởng sự tiện lợi

Đối với chính sách mật khẩu của Facebook, có thể dễ dàng lo lắng rằng nó kém an toàn, nhưng thực tế là lợi ích nhiều hơn rủi ro. An ninh là một hành động cân bằng. Bạn càng khóa hệ thống, thì việc truy cập càng kém thuận tiện. Nhưng khi bạn thêm nhiều quyền truy cập thuận tiện hơn, bạn sẽ mất tính bảo mật. Bí quyết là sử dụng đúng số lượng của cả hai để bảo vệ người dùng của bạn mà không làm họ thất vọng. Ở đây, Facebook đã sai lầm về khía cạnh dễ dàng của người dùng và đó có lẽ là một quyết định có thể chấp nhận được.

ĐỌC TIẾP Ảnh hồ sơ cho Josh Hendrickson Josh Hendrickson
Josh Hendrickson là Tổng biên tập của Review Geek. Ông đã làm việc trong lĩnh vực CNTT gần một thập kỷ, trong đó có bốn năm dành cho việc sửa chữa và bảo dưỡng máy tính cho Microsoft. Anh ấy cũng là một người đam mê nhà thông minh, người đã chế tạo chiếc gương thông minh của riêng mình chỉ bằng một khung, một số thiết bị điện tử, Raspberry Pi và mã nguồn mở.
Đọc đầy đủ tiểu sử

Bài ViếT Thú Vị