암호의 정확한 버전이 사용하는 정확한 대문자와 문자 / 기호 순서라고 생각하면 충격을받을 수 있습니다. Facebook은 귀하의 편의를 위해 약간의 비밀번호 변형을 허용합니다. 그리고 완벽하게 안전합니다.
비밀번호를 잘못 입력하기 쉽다
Facebook과 같은 다른 사이트에는 문제가 있습니다. 길고 복잡한 비밀번호를 사용하고 싶지만 입력하기가 어렵습니다. 암호 관리자를 사용하여 처리해야하지만 대부분의 사람들은 암호 관리자를 사용하지 않습니다. 그리고이 두 가지 요인 때문에 비밀번호를 잘못 입력하는 것이 일반적입니다.
그 시점에서 Facebook은 어떻게해야합니까?
비밀번호가 약간 틀렸다는 이유로 입국을 거부하고 두 번째 시도로 답답하지 않습니까? 또는 제공된 암호가 정확했지만 오타가 있음을 인식하고 실수를 무시하여 고양이 GIF 및 아기 그림으로의 여행을 부드럽게합니까?
페이스 북은 비밀번호의 실수를 평가
런던에있는 Facebook Engineering의 보안 인프라 팀의 전 소프트웨어 엔지니어 인 Alec Muffet은 다음과 같이 설명합니다. 비밀번호가 매우 정확하면 정확한 것으로 간주 될 수 있습니다. 이에 대한 규칙은 간단합니다. Facebook은 다음 조건 중 하나라도 충족하면 잘못된 비밀번호를 수락합니다.
- Caps Lock이 켜져 있고 대문자가 반대로되어 있습니다.
- 비밀번호의 시작 또는 끝에 추가 문자를 입력합니다
- 비밀번호의 첫 문자는 소문자 여야하지만 대문자를 입력했습니다
보시다시피, 이러한 변형은 모두 입력 할 때 비밀번호가 약간 누락되었다는 기본 개념을 중심으로합니다. 경우에 따라 대문자로 된 단어의 첫 글자와 같이 자동 고침의 문제 일 수 있습니다. 잘못 입력 한 비밀번호가 이러한 특정 규칙을 충족하는 경우 문제가 있음을 알 수 없으며 로그인 한 상태입니다.
예를 들어, 비밀번호가 “letMeIn”이라고 가정하겠습니다. 페이스 북은 또한“LETmEiN”(직접 캡 잠금 반전이기 때문에)과“LetMeIn”(첫 글자의 대문자가 틀 렸기 때문에)을 허용합니다. 또한 “1letMeIn”및 “letMeIn2″와 같은 변형을 허용합니다. 시작 또는 끝에 추가 문자를 제외하고는 정확하기 때문입니다. 그러나 “LETMEIN”, “letmein”또는 “12LetMeIn”은 전혀 허용되지 않습니다.
이 과정은 여전히 안전합니다
처음에는 얼굴이 붉어 질 때 페이스 북의 비밀번호 사용이 안전하지 않은 것처럼 들립니다. 그러나이 경우 진실은 더 복잡합니다. 단 몇 분만에 암호를 빠르게 추측 할 수있는 오래된 해커 범죄 드라마를 쉽게 생각할 수 있지만 해킹은 전혀 작동하지 않습니다. 알 수없는 암호를 강제하는 무차별 암호는 존재하지만 TV가 암시하는 것과는 매우 다릅니다. xkcd가 유명한 것처럼 암호 길이가 길어질수록 암호 해독 시간도 기하 급수적으로 증가합니다. 복잡성을 추가하면 생각만큼 도움이되지는 않습니다.
따라서 비밀번호의 시작 또는 끝에 추가 문자 인 Facebook에서 허용하는 시나리오 중 하나는 무차별 대입하기가 더 어려울 것입니다. 해커는 비밀번호와 추가 문자를 만들기 전에 이미 올바른 비밀번호를 가지고 있어야합니다.
Caps Lock 시나리오가 특히 중요합니다. 먼저 암호를 메모장에 수동으로 입력하고 케이스를 반대로 한 다음 결과를 Facebook에 붙여 넣어서 테스트했습니다. 비밀번호가 거부되었습니다. 그런 다음 caps lock을 켜고 cap lock이 꺼져있는 것처럼 암호를 입력하여 케이스를 되돌립니다. 그 시도는 성공적이었고 로그인했습니다. Facebook은 비밀번호가 무엇인지 확인하는 것뿐만 아니라 비밀번호를 입력하는 방법을 확인하고 있습니다. Brute Force는 실제 잠금을 목표로하는 것보다 어려운 캡 잠금 시뮬레이션이 부족한 시나리오에서는 도움이되지 않습니다.
최신 정보: 정보 보안 컨설턴트 Paul Moore가 지적한대로 트위터, Facebook은 대부분 원래 비밀번호 (올바로 해시 및 소금에 절인) 만 저장하며 다른 비밀번호는 저장하지 않습니다. 로그인을 위해 비밀번호를 제출하면 원래 비밀번호와 비교하여 확인됩니다. 일치하지 않으면 Facebook은 이러한 변형을 통해 제출 한 비밀번호를 실행합니다. 예를 들어 Caps Lock이 켜져 있으면 Facebook은 제출 된 암호를 사용하여 문자의 대소 문자를 바꾸고 다시 시도합니다. 그래도 문제가 해결되지 않으면 Facebook은 다음 시나리오에서 다시 시도합니다. 기본적으로 Facebook은 “잘못된 비밀번호”메시지를 수신했을 때 수행 한 작업을 수행합니다. 입력 한 비밀번호에 실수로 오류가 있는지 확인하고 수정합니다. 따라서 전체 프로세스가 덜 불편 해집니다. 올바른 비밀번호에 대한 아이디어가 여전히 필요하고 허용되는 변형이 좁기 때문에 보안이 저하되지 않습니다.
더 중요한 것은 무차별 대입 방법이 소셜 네트워크 및 기타 계정에 액세스하는 기본 방법이 아니라는 것입니다. 사회 공학 및 암호 덤프는 사용하기가 훨씬 간단합니다. 비밀번호 재설정 질문이있는 경우 적어도 일부 답변에 공개적으로 액세스 할 수있는 정보가있을 수 있습니다. 재설정 질문이 출생지, 어머니의 성함 또는 고등학교 마스코트에 관한 것이라면 답변을 추적 할 수 있습니다. 이 시점에서 악의적 인 행위자가 암호를 재설정하여 암호 자체를 완전히 무단으로 추측하거나 결정할 필요가 있습니다.
불행히도 많은 사람들이 여전히 로그인 자격 증명이 필요한 모든 사이트에서 동일한 전자 메일 및 암호 조합을 사용하고 있습니다. 데이터 유출 사고 후 인스턴스를 찾기 위해 멀리 볼 필요는 없습니다. 여러 곳에서 동일한 이메일과 비밀번호 조합을 사용하고 있고 수년 동안 사용하고 있다면 비밀번호는 Facebook 정책이 아니라 취약점입니다.
보안 침해의 피해자인지 확실하지 않은 경우 haveibeenpwned.com으로 이동하여 비밀번호를 도난 당했는지 확인하십시오. 어딘가에서 일부 계정이 손상되었을 가능성이 있습니다.
항상 계정을 보호해야합니다
이 정책으로 인해 여전히 취약한 것으로 걱정되는 경우 취할 수있는 조치가 있습니다. 첫 번째 단계는 모든 사이트에 동일한 비밀번호 사용을 중지하는 것입니다. 대신 암호 관리자를 확보하고 사용하는 모든 사이트마다 고유 한 긴 암호를 생성하도록하십시오. 다음에 사용한 웹 사이트가 손상되었다는 것을 알게되면 해당 암호 하나만 변경하고이 알려진 암호가 해커에게 아무런 해를 끼치 지 않는다는 것을 알고 안심할 수 있습니다.
암호를 강화한 후에는 암호를 제공하는 모든 사이트에서 이중 인증을 켜십시오. Facebook은 2 단계 인증을 제공하므로 여기에서도 설정해야합니다. 최상의 2 단계 인증은 새로운 코드를 자주 생성하는 스마트 폰이있는 앱 또는 자주 사용하는 물리적 키를 사용합니다. SMS 기반 2 단계 인증은 다른 것보다 낫지 만 여전히 사회 공학 기술에 취약합니다. 따라서 인증 자 앱 또는 물리적 키를 사용할 수 있다면해야합니다. 휴대 전화 나 키에 문제가 발생할 경우를 대비하여 백업 해 두십시오.
이 조합을 사용하면 Facebook의 비밀번호 정책에 관계없이 계정이 훨씬 더 안전합니다. 최소한 암호 관리자와 고유 한 암호를 사용해야하지만 2 단계 인증과 함께 사용하는 것이 좋습니다.
당황하지 마십시오. 편의를 즐기십시오
Facebook의 비밀번호 정책은 보안 수준이 낮다고 걱정하기가 쉽지만 실제로는 위험보다 더 큰 이점이 있습니다. 보안은 균형을 잡는 행위입니다. 시스템을 많이 잠글수록 액세스하는 것이 덜 편리합니다. 그러나보다 편리한 액세스를 추가하면 보안이 손실됩니다. 속임수는 사용자를 좌절시키지 않고 보호하기 위해 적절한 양을 얻는 것입니다. 페이스 북은 사용자 편에서 실수를 저지른 것이며 아마도 그 결정은 용납 될 것입니다.
