페이스 북은 편리한 암호
암호의 올바른 버전이 사용하는 대소 문자 및 문자 / 기호 순서와 정확히 일치한다고 생각하면 충격을받을 것입니다. 귀하의 편의를 위해 페이스 북은 약간의 유사 암호를 수락합니다. 그리고 완벽하게 안전합니다..
암호는 Mistype에 쉽다
Facebook 및 기타 사이트에 문제가 있습니다. 그들은 길고 복잡한 암호를 사용하기를 원하지만 입력하기는 어렵습니다. 암호 관리자를 사용하여이를 관리해야하지만 대부분의 사람들은 그렇지 않습니다. 그리고이 두 가지 요인 때문에 암호를 잘못 입력하는 것이 일반적입니다..
그 시점에서 Facebook은해야 할 일?
패스워드가 약간 떨어져서 입장을 거부해야하며 두 번째 시도로 당신을 좌절시킬 수 있습니까? 또는 제공된 비밀번호가 틀렸을 수도 있지만 오타가있는 것으로 인식하고 실수를 무시하여 고양이 gif 및 아기 사진을 이동하는 것을 원활하게해야합니다.?
페이스 북은 암호의 실수를 평가합니다.
런던의 Facebook Engineering의 보안 인프라 팀의 소프트웨어 엔지니어였던 Alec Muffet은 Facebook이 후자를 선택했다고 설명합니다. 암호가 정확하면 암호가 정확하다고 계산할 수 있습니다. 이것에 대한 규칙은 간단합니다. Facebook은 다음 조건 중 하나라도 해당되면 잘못된 비밀번호를 수락합니다.
- 대문자 잠금이 켜져 있고 대문자가 반대로되어 있습니다..
- 암호의 처음 또는 끝에 여분의 문자를 입력합니다.
- 암호의 첫 번째 문자는 소문자 여야하지만 대문자로 입력해야합니다.
보시다시피, 이러한 변형은 모두 입력 할 때 암호를 약간 누락하는 기본 개념을 중심으로 이루어집니다. 경우에 따라 대문자로 시작하는 단어의 첫 글자와 같이 자동 고침 문제 일 수 있습니다. 실수로 입력 한 비밀번호가이 특정 규칙을 충족하면 문제가 있다는 것을 알 수 없습니다. 로그인하면 쉽게 찾을 수 있습니다..
예를 들어, 암호가 "letMeIn"이라고 가정 해 봅시다. Facebook은 "LETmEiN"(첫 번째 문자의 대문자이므로 대문자 잠금 반전이기 때문에)과 "LetMeIn"을 허용합니다. "1letMeIn"및 "letMeIn2"와 같은 변형도 허용됩니다. 시작 또는 끝에 추가 문자를 제외하고 올바른 문자이기 때문입니다. 그러나 "LETMEIN", "letmein"또는 "12LetMeIn"을 전혀 허용하지 않습니다..
이 프로세스는 여전히 안전합니다.
Seasontime / Shutterstock 처음에는 얼굴이 붉어지면서 페이스 북의 비밀번호가 지켜지지 않습니다. 그러나이 경우 진실은 더욱 복잡합니다. 단 몇 분 만에 신속한 짐작을 보여 준 오래된 해커 범죄 드라마를 생각하는 것은 쉽지만 해킹은 전혀 작동하지 않습니다. Brute는 알 수없는 암호를 강제하지만 TV와는 다른 의미를 지닙니다. xkcd가 유명한 것처럼 암호의 길이가 길어질수록 암호 해독 시간도 기하 급수적으로 늘어납니다. 복잡성을 추가하는 것은 도움이되지만 생각만큼 많이하는 것은 아닙니다..
따라서 Facebook이 허용하는 시나리오 중 하나 인 암호의 시작 또는 끝 부분에 여분의 문자가 있으면 무차별 적으로 힘들어 할 수 있습니다. 해커는 암호와 추가 문자를 만들기 전에 이미 올바른 암호를 가지고 있어야합니다..
특히 흥미로운 것은 caps lock 시나리오입니다. 필자는 먼저 수동으로 메모장에 암호를 입력하고 케이스를 뒤집은 다음 그 결과를 Facebook에 붙여 넣어 테스트했습니다. 암호가 거부되었습니다. 그런 다음 캡 잠금 장치가 켜져있는 것처럼 캡 잠금 장치를 켜고 암호를 입력하여 대 / 소문자를 뒤집습니다. 그 시도는 성공적이었고 나는 로그인했습니다. Facebook은 암호가 무엇인지를 검사하는 것이 아니라 암호를 입력하는 방법입니다. 브 루트 포스는 실제 패스워드를 겨냥하는 것보다 더 어려울 캡 잠금을 시뮬레이트하지 않으면이 시나리오에서 도움이되지 않습니다..
최신 정보정보 보안 컨설턴트 인 폴 무어 (Paul Moore)는 트위터에서 지적했듯이 페이스 북은 대체로 원래 비밀번호 (적절하게 해싱되고 소금에 절인) 만 저장하고 패스워드는 변하지 않는다. 로그인 할 때 비밀번호를 제출하면 원래 비밀번호와 비교하여 확인됩니다. 일치하지 않는 경우 Facebook은이 유사 콘텐츠를 통해 제출 된 비밀번호를 실행합니다. 예를 들어 Caps Lock이 켜져있는 경우 Facebook은 제출 된 비밀번호를 사용하고 글자의 대소 문자를 반전 한 다음 다시 시도합니다. 그래도 작동하지 않으면, Facebook은 다음 시나리오로 다시 시도합니다. 근본적으로 페이스 북은 "틀린 비밀번호"메시지를 받았을 때 당신이 입력 한 비밀번호의 우발적 오류를 확인하고이를 수정했을 때했던 일을하고있다. 따라서 전체 프로세스가 덜 불편 해집니다. 정확한 암호에 대한 아이디어가 필요하고 허용되는 변형이 좁기 때문에 보안을 저하시키지 않습니다..
더 중요한 것은 무차별 방식은 소셜 네트워크 및 기타 계정에 액세스하는 기본 방법이 아니라는 것입니다. 사회 공학 및 암호 덤프는 사용하기가 훨씬 쉽습니다. 비밀번호 재설정 질문이있는 경우 답변 중 일부는 공개적으로 액세스 할 수있는 정보 일 것입니다. 재설정 질문이 출생지, 어머니의 처녀 이름 또는 고등학교 마스코트에 관한 것이라면 답을 추적 할 수 있습니다. 이 시점에서 나쁜 행위자는 암호를 재설정하여 암호 자체를 추측하거나 결정할 필요가 없습니다..
안타깝게도 많은 사람들이 로그인 자격 증명이 필요한 모든 사이트에서 동일한 이메일과 비밀번호 조합을 사용하고 있습니다. 데이터 유출 사고 이후 인스턴스를 찾기 위해 멀리 볼 필요가 없습니다. 두 곳 이상에서 동일한 전자 메일과 암호 조합을 사용하고 몇 년 동안 사용해 본 적이 있다면 암호는 Facebook의 정책이 아니라 취약점입니다..
위반의 피해자인지 확실하지 않은 경우 haveibeenpwned.com으로 이동하여 비밀번호가 도용되었는지 확인하십시오. 일부 계정이 어딘가에서 손상되었을 가능성이 있습니다..
항상 계정 보안을 유지해야합니다.
Nicescene / Shutterstock.com 이 정책으로 인해 취약한 상태로 계속 걱정된다면 취할 수있는 조치가 있습니다. 첫 번째 단계는 모든 사이트에서 동일한 비밀번호 사용을 중지하는 것입니다. 대신 암호 관리자를 사용하고 사용하는 모든 다른 사이트에 대해 고유 한 긴 암호를 생성하십시오. 그런 다음 다음에 사용한 웹 사이트가 해킹 당했을 때 암호 하나만 변경하고이 알려진 암호가 해커에게 도움이되지 않는다는 것을 안심할 수 있습니다..
암호를 강화한 후에는 암호를 제공하는 모든 사이트에서 이중 인증을 사용하십시오. Facebook은 이중 인증 방식을 제공하므로이 방식도 함께 설정해야합니다. 가장 우수한 두 가지 요소 인증은 스마트 폰에서 자주 코드를 새로 생성하는 앱 또는 보관하는 물리적 인 키를 사용하는 앱에 의존합니다. SMS 기반의 2 단계 인증은 아무 것도없는 것보다 낫지 만, 여전히 사회 공학 기술에 취약합니다. 따라서 인증 자 앱이나 물리적 인 키를 사용할 수 있다면 그렇게해야합니다. 휴대 전화 또는 키와 관련하여 문제가 발생하면 백업을 준비해 두십시오..
이 조합을 사용하면 Facebook의 비밀번호 정책에 관계없이 계정을 훨씬 안전하게 지킬 수 있습니다. 적어도 암호 관리자와 고유 암호를 사용해야하지만 이중 요소 인증과 함께 사용하는 것이 좋습니다..
공황하지 마라. 편리함을 즐기십시오.
페이스 북의 패스워드 정책은 안전성이 낮다는 것을 걱정하기는 쉽지만 실제로는 위험보다 중요한 점이다. 보안은 균형 잡힌 행동입니다. 시스템을 잠그면 접근하기가 쉽지 않습니다. 그러나보다 편리한 액세스를 추가하면 보안이 약 해집니다. 트릭은 사용자의 불편 함을 없애기 위해 사용자를 보호하기 위해 필요한 양을 모두 얻고 있습니다. 페이스 북은 사용자의 편이성 측면에서 실수를 저지르고 있으며 이는 아마도 수용 가능한 결정 일 것입니다..
