Facebook fudge votre mot de passe pour votre commodité
Si vous pensez que la seule version correcte de votre mot de passe est la casse exacte et la séquence de lettres / symboles que vous utilisez, vous êtes peut-être sous le choc. Facebook acceptera de légères variations de votre mot de passe, pour votre commodité. Et c'est parfaitement sûr.
Les mots de passe sont faciles à confondre
Facebook et d'autres sites similaires ont un problème. Ils aimeraient que vous utilisiez des mots de passe longs et compliqués, mais ceux-ci sont difficiles à saisir. Vous devriez utiliser un gestionnaire de mots de passe pour gérer cela pour vous, mais la plupart des gens ne le font pas. Et à cause de ces deux facteurs, il est courant de taper mal votre mot de passe.
À ce stade, que devrait faire Facebook??
Devraient-ils vous refuser l'entrée simplement parce que votre mot de passe était légèrement erroné et vous frustrer d'une seconde tentative? Ou devraient-ils reconnaître que le mot de passe fourni était probablement correct mais avec une faute de frappe et faciliter votre voyage aux gifs de chat et aux images de bébé en ignorant l'erreur?
Facebook évalue les erreurs dans les mots de passe
Comme l'explique Alec Muffet, un ancien ingénieur logiciel de l'équipe d'infrastructure de sécurité de Facebook Engineering à Londres, Facebook a choisi ce dernier. Si votre mot de passe est très proche de corriger, ils peuvent le compter comme exact. Les règles pour cela sont simples. Facebook acceptera un mot de passe incorrect s'il répond à l'une de ces conditions:
- Le verrouillage des majuscules est activé et les majuscules sont inversées.
- Vous entrez un caractère supplémentaire au début ou à la fin d'un mot de passe
- Le premier caractère du mot de passe doit être en minuscule, mais vous l'avez saisi en majuscule.
Comme vous pouvez le constater, ces variations sont toutes centrées sur le concept de base consistant à manquer légèrement votre mot de passe lors de la frappe. Dans certains cas, il peut s'agir d'un problème de correction automatique, comme la première lettre d'un mot en majuscule. Si votre mot de passe mal saisi respecte ces règles spécifiques, vous ne saurez pas qu'il y a un problème, vous vous retrouverez simplement connecté.
Par exemple, supposons que votre mot de passe soit "letMeIn". Facebook acceptera également "LETmEiN" (parce qu'il s'agit d'une inversion directe du verrouillage des majuscules) et "LetMeIn" (car la majuscule est incorrecte pour la première lettre). Il acceptera également des variantes telles que “1letMeIn” et “letMeIn2” car elles sont correctes, à l'exception d'un caractère supplémentaire au début ou à la fin. Cependant, il n'acceptera pas “LETMEIN”, “letmein” ou “12LetMeIn”.
Ce processus est encore sécurisé
Heure de mer / ShutterstockÀ première vue, la clémence du mot de passe de Facebook ne semble pas sûre. Mais dans ce cas, la vérité est plus compliquée. Bien qu'il soit facile de penser à de vieilles séries de crimes de hackers qui montrent rapidement la force brute d'un mot de passe en un mot, le piratage informatique ne fonctionne pas du tout de cette façon. Le brute forçant des mots de passe inconnus existe, mais c'est très différent de ce que la télévision implique. Comme xkcd l'illustre, au fur et à mesure que la longueur d'un mot de passe augmente, le temps nécessaire pour le déchiffrer augmente également de manière exponentielle. Ajouter de la complexité aide, mais pas autant qu'on pourrait le penser.
Donc, un des scénarios autorisés par Facebook, un caractère supplémentaire au début ou à la fin du mot de passe, serait encore plus difficile à utiliser. Les pirates auraient déjà besoin du mot de passe correct avant de pouvoir le saisir, plus un caractère supplémentaire.
Le scénario de majuscule est particulièrement intéressant. J'ai testé cela en tapant d'abord manuellement mon mot de passe dans le bloc-notes, en inversant le cas puis en collant le résultat dans Facebook. Il a refusé ce mot de passe. J'ai ensuite activé le verrouillage des majuscules et tapé mon mot de passe comme si le verrouillage du majuscule était désactivé, renversant ainsi le cas. Cette tentative a abouti et je me suis connecté. Facebook vérifie non seulement le mot de passe, mais également comment vous l'avez entré. Brute Force ne vous aidera pas dans ce scénario, à moins de simuler le verrouillage des majuscules, ce qui serait plus difficile que de simplement viser le mot de passe.
Mettre à jourComme le souligne Paul Moore, consultant en sécurité informatique, sur Twitter, il est fort probable que Facebook ne stocke que votre mot de passe d'origine (correctement haché et salé) et non les variantes de votre mot de passe. Lorsque vous soumettez un mot de passe pour vous connecter, il est comparé à votre mot de passe d'origine. Si cela ne correspond pas, Facebook exécute le mot de passe que vous avez soumis à travers ces variantes. Par exemple, si votre verrouillage des majuscules est activé, Facebook utilise le mot de passe que vous avez soumis, annule la mise en majuscule des lettres et réessaie. Si cela ne fonctionne pas, Facebook essaie à nouveau avec le scénario suivant. Pour résumer, Facebook fait ce que vous auriez fait en obtenant un message de «mot de passe incorrect»: rechercher une erreur accidentelle dans le mot de passe saisi et le corriger. Cela rend le processus moins frustrant pour vous. Cela ne diminue en rien la sécurité, car une certaine idée du mot de passe correct est toujours nécessaire et les variations acceptées sont étroites..
Plus important encore, les méthodes de force brute ne sont pas la méthode principale pour accéder aux réseaux sociaux et autres comptes. L'ingénierie sociale et les vidages de mots de passe sont beaucoup plus simples à utiliser. Si vous avez des questions sur la réinitialisation du mot de passe, il y a de bonnes chances qu'au moins certaines des réponses soient des informations accessibles au public. Si votre question de réinitialisation concerne votre lieu de naissance, le nom de jeune fille de votre mère ou votre mascotte de lycée, il est possible de retrouver la réponse. À ce stade, un mauvais acteur peut réinitialiser votre mot de passe, rendant ainsi inutile de deviner ou de déterminer le mot de passe lui-même..
Malheureusement, de nombreuses personnes utilisent toujours la même combinaison d'adresse électronique et de mot de passe sur chaque site nécessitant des informations d'identification. Vous n'avez pas à chercher loin pour trouver instance après instance des violations de données. Si vous utilisez la même combinaison d'adresse électronique et de mot de passe à plusieurs endroits et ce depuis des années, vos mots de passe constituent la vulnérabilité, et non les règles de Facebook..
Si vous n'êtes pas sûr d'avoir été victime d'une violation, rendez-vous sur le site haveibeenpwned.com et vérifiez si votre mot de passe a été volé. Il y a des chances que vous ayez au moins un compte compromis quelque part.
Vous devriez toujours sécuriser vos comptes
Nicescene / Shutterstock.comSi vous craignez toujours que cette politique vous rende vulnérable, vous pouvez prendre certaines mesures. La première étape consiste à cesser d'utiliser le même mot de passe pour chaque site. A la place, procurez-vous un gestionnaire de mots de passe et laissez-le générer des mots de passe longs et uniques pour chaque site différent que vous utilisez. Ensuite, la prochaine fois que vous constaterez que le site Web que vous avez utilisé a été compromis, vous pouvez modifier ce mot de passe et vous sentir en sécurité, sachant que ce mot de passe connu ne fera aucun bien aux pirates..
Après avoir durci vos mots de passe, activez l'authentification à deux facteurs sur tout site qui le propose. Facebook propose une authentification à deux facteurs, vous devriez donc la configurer également. La meilleure authentification à deux facteurs repose sur une application avec votre smartphone qui génère fréquemment un nouveau code ou une clé physique que vous conservez avec vous. Bien que l'authentification à deux facteurs basée sur SMS soit mieux que rien, elle reste vulnérable aux techniques d'ingénierie sociale. Donc, si vous pouvez compter sur une application d'authentification ou sur une clé physique, vous devriez le faire. Et ayez une sauvegarde en place au cas où quelque chose se passe avec votre téléphone ou votre clé.
Avec cette combinaison, votre compte est beaucoup plus sécurisé, quelles que soient les stratégies de mot de passe de Facebook. Vous devriez au moins utiliser un gestionnaire de mots de passe et des mots de passe uniques, mais utiliser ceux-ci en combinaison avec une authentification à deux facteurs est préférable..
Ne paniquez pas Profitez de la commodité
En ce qui concerne la politique de mot de passe de Facebook, il est facile de s’inquiéter du fait qu’elle est moins sécurisée, mais en réalité, les avantages l'emportent sur les risques. La sécurité est un acte d'équilibre. Plus vous verrouillez un système, moins il est facile d'y accéder. Mais à mesure que vous ajoutez un accès plus pratique, vous perdez la sécurité. L'astuce consiste à obtenir la bonne quantité des deux pour protéger vos utilisateurs sans les frustrer. Facebook a erré du côté de la facilité des utilisateurs ici, et c'est probablement une décision acceptable.