Facebook, Rahatlığınız İçin Parolanızı Fudges

Parolanızın tek doğru versiyonunun kullandığınız tam büyük harf ve harf/sembol dizisi olduğunu düşünüyorsanız, şokta olabilirsiniz. Facebook, rahatınız için şifrenizin küçük varyasyonlarını kabul edecektir. Ve tamamen güvenli.

Parolaları Yanlış Yazmak Kolaydır

Facebook ve benzeri sitelerde sorun var. Uzun ve karmaşık şifreler kullanmanızı isterler, ancak bunları yazmak zordur. Bunu sizin için halletmek için bir şifre yöneticisi kullanıyor olmalısınız, ancak çoğu insan bunu yapmaz. Ve bu iki faktör nedeniyle, şifrenizi yanlış yazmanız yaygın bir durumdur.

Bu noktada Facebook ne yapmalı?

Parolanız biraz kapalı olduğu için girişinizi reddetmeli ve ikinci bir denemeyle sizi hayal kırıklığına mı uğratmalılar? Yoksa verilen parolanın büyük olasılıkla doğru olduğunu, ancak bir yazım hatası olduğunu anlamalı ve hatayı görmezden gelerek kedi giflerine ve bebek resimlerine yolculuğunuzu kolaylaştırmalılar mı?

Facebook Şifrelerdeki Hataları Değerlendiriyor

Olarak Alec MüffetLondra’daki Facebook Engineering’de güvenlik altyapısı ekibi için eski bir yazılım mühendisi olan Facebook’un ikincisini seçtiğini açıklıyor. Parolanız düzeltmeye çok yakınsa, doğru olarak sayabilirler. Bunun için kurallar açıktır. Facebook, aşağıdaki koşullardan herhangi birini karşılıyorsa yanlış bir şifreyi kabul edecektir:

Büyük harf kilidiniz açık ve büyük harf kullanımları tersine çevrildi.
Parolanın başına veya sonuna fazladan bir karakter girersiniz
Parolanın ilk karakteri küçük harf olmalı, ancak büyük harfle yazdınız

Gördüğünüz gibi, bu varyasyonların tümü, yazarken şifrenizi biraz kaçırma temel kavramı etrafında toplanmıştır. Bazı durumlarda bu, bir kelimenin ilk harfinin büyük harfle yazılması gibi bir otomatik düzeltme sorunu olabilir. Yanlış yazılan parolanız bu belirli kurallara uyuyorsa, bir sorun olduğunu anlamazsınız; yalnızca oturum açmış olduğunuzu görürsünüz.

  Facebook E-postanızı Devre Dışı Bırakın ve İstenmeyen Postaları Uzak Tutun

Örneğin, parolanızın “letMeIn” olduğunu varsayalım. Facebook ayrıca “LETmeiN” (çünkü bu doğrudan büyük harf kilidinin tersine çevrilmesi) ve “LetMeIn” (çünkü bu ilk harf için yanlış büyük harftir) kabul edecektir. Ayrıca “1letMeIn” ve “letMeIn2” gibi varyasyonları da kabul eder çünkü bunlar, başında veya sonunda ek bir karakter dışında doğrudur. Ancak, “LETMEIN”, “letmein” veya “12LetMeIn”i hiçbir şekilde kabul etmeyecektir.

Bu İşlem Hala Güvenli

İlk bakışta, Facebook’un parola toleransı kulağa güvensiz geliyor. Ancak bu durumda, gerçek daha karmaşıktır. Bir parolayı birkaç dakika içinde hızlı bir şekilde kaba kuvvetle tahmin etmeyi gösteren eski bilgisayar korsanı suç dramalarını düşünmek kolay olsa da, bilgisayar korsanlığı hiç bu şekilde çalışmaz. Bilinmeyen parolaları kaba zorlama var, ancak TV’nin ima ettiğinden çok farklı. Olarak xkcd ünlü gösterir, bir parolanın uzunluğu arttıkça, onu kırma süresi de katlanarak artar. Karmaşıklık eklemek yardımcı olur, ancak düşündüğünüz kadar değil.

Bu nedenle, Facebook’un izin verdiği senaryolardan biri, parolanın başında veya sonunda fazladan bir karakter, kaba kuvvet uygulamak daha da zor olurdu. Bilgisayar korsanlarının, parolaya ve fazladan bir karaktere ulaşmadan önce zaten doğru parolaya sahip olmaları gerekir.

Özellikle ilgi çekici olan büyük harf kilidi senaryosudur. Bunu önce şifremi not defterine manuel olarak yazarak, durumu tersine çevirerek ve ardından bu sonucu Facebook’a yapıştırarak test ettim. Bu şifreyi reddetti. Daha sonra büyük harf kilidini açtım ve şifremi büyük harf kilidi kapalıymış gibi yazdım, böylece durumu tersine çevirdim. Bu girişim başarılı oldu ve giriş yaptım. Facebook sadece şifrenin ne olduğunu değil, nasıl girdiğinizi de kontrol ediyor. Brute Force, bu senaryoda, yalnızca gerçek şifreyi hedeflemekten daha zor olan büyük harf kilidini simüle etme dışında yardımcı olmaz.

Güncelleme: Bilgi güvenliği danışmanı Paul Moore’un işaret ettiği gibi heyecan, Facebook büyük olasılıkla yalnızca orijinal parolanızı (düzgün bir şekilde karmalanmış ve tuzlanmış) saklar ve parolanızın varyasyonlarını değil. Giriş yapmak için bir şifre gönderdiğinizde, orijinal şifrenizle kontrol edilir. Eşleşmiyorsa, Facebook gönderdiğiniz şifreyi bu varyasyonlar aracılığıyla çalıştırır. Örneğin, Caps Lock’unuz açıksa, Facebook gönderdiğiniz şifreyi alır, harflerin büyük harflerini ters çevirir ve tekrar dener. Bu işe yaramazsa, Facebook bir sonraki senaryoyu tekrar dener. Esasen, Facebook, “yanlış şifre” mesajı aldığınızda yapacağınız şeyi yapıyor; yazılan şifrede yanlışlıkla bir hata olup olmadığını kontrol ediyor ve düzeltiyor. Bu, tüm süreci sizin için daha az sinir bozucu hale getirir. Bu, güvenliği azaltmaz, çünkü hala doğru parola hakkında bazı fikirlere ihtiyaç vardır ve kabul edilen varyasyonlar dardır.

  Bir Facebook Messenger Günü Hikayesi Nasıl Paylaşılır

Daha da önemlisi, kaba kuvvet yöntemleri, sosyal ağlara ve diğer hesaplara erişim sağlamanın birincil yöntemi değildir. Sosyal mühendislik ve parola dökümlerinin kullanımı çok daha basittir. Parola sıfırlama sorularınız varsa, yanıtların en azından bazılarının herkesin erişebileceği bilgiler olma olasılığı yüksektir. Sıfırlama sorunuz doğum yeriniz, annenizin kızlık soyadı veya lise maskotu ile ilgiliyse, cevabı takip etmek mümkündür. Bu noktada, kötü niyetli biri şifrenizi sıfırlayabilir, bu da şifreyi tahmin etme veya belirleme ihtiyacını tamamen tartışmalı hale getirir.

Ne yazık ki, birçok kişi oturum açma kimlik bilgileri gerektiren her sitede hala aynı e-posta ve parola kombinasyonunu kullanıyor. Veri ihlallerinin örneklerinin ardından örneği bulmak için çok uzağa bakmanıza gerek yok. Aynı e-posta ve şifre kombinasyonunu birden fazla yerde kullanıyorsanız ve yıllardır kullanıyorsanız, şifreleriniz Facebook’un politikaları değil, güvenlik açığıdır.

Bir ihlalin kurbanı olup olmadığınızdan emin değilseniz, şuraya gidin: haveibeenpwned.com ve şifrenizin çalınıp çalınmadığını kontrol edin. En azından bir yerlerde hesabınızın güvenliği ihlal edilmiş olabilir.

Hesaplarınızı Daima Güvende Tutmalısınız

Bu politikanın sizi savunmasız bıraktığından hâlâ endişeleniyorsanız, atabileceğiniz adımlar var. İlk adım, her site için aynı şifreyi kullanmayı bırakmaktır. Bunun yerine, bir şifre yöneticisi edinin ve kullandığınız her farklı site için benzersiz uzun şifreler oluşturmasına izin verin. Ardından, kullandığınız bir web sitesinin güvenliğinin ihlal edildiğini bir daha gördüğünüzde, yalnızca bu parolayı değiştirebilir ve bu bilinen parolanın bilgisayar korsanlarına hiçbir faydası olmayacağını bilerek kendinizi güvende hissedebilirsiniz.

Parolalarınızı sertleştirdikten sonra, bunu sunan herhangi bir sitede iki faktörlü kimlik doğrulamayı açın. Facebook iki faktörlü kimlik doğrulama sunuyor, bu yüzden onu orada da ayarlamalısınız. En iyi iki faktörlü kimlik doğrulama, akıllı telefonunuzla sık sık yeni bir kod oluşturan bir uygulamaya veya yanınızda bulundurduğunuz fiziksel bir anahtara dayanır. SMS tabanlı iki faktörlü kimlik doğrulama hiç yoktan iyidir, ancak yine de sosyal mühendislik tekniklerine karşı savunmasızdır. Bu nedenle, bir kimlik doğrulama uygulamasına veya fiziksel bir anahtara güvenebiliyorsanız, bunu yapmalısınız. Telefonunuza veya anahtarınıza bir şey olması durumunda yedekte bulundurun.

  Facebook Uygulama Tarayıcı Önbelleği Nasıl Temizlenir

Bu kombinasyonla hesabınız, Facebook’un şifre politikalarından bağımsız olarak çok daha güvenlidir. En azından bir şifre yöneticisi ve benzersiz şifreler kullanmalısınız, ancak bunları iki faktörlü kimlik doğrulama ile birlikte kullanmak daha iyidir.

Panik yapmayın; Rahatlığın Tadını Çıkarın

Facebook’un şifre politikasına gelince, daha az güvenli olduğu konusunda endişelenmek kolaydır, ancak gerçek şu ki, faydalar risklerden daha ağır basmaktadır. Güvenlik bir denge eylemidir. Bir sistemi ne kadar çok kilitlerseniz, erişim o kadar az kullanışlı olur. Ancak daha uygun erişim ekledikçe güvenliği kaybedersiniz. İşin püf noktası, kullanıcılarınızı hayal kırıklığına uğratmadan korumak için her ikisinden de doğru miktarda almaktır. Facebook burada kullanıcı kolaylığı konusunda hata yaptı ve bu muhtemelen kabul edilebilir bir karar.