Si cree que la única versión correcta de su contraseña son las mayúsculas exactas y la secuencia de letras / símbolos que usa, puede estar en shock. Facebook aceptará ligeras variaciones de su contraseña, para su conveniencia. Y es perfectamente seguro.
Tabla de contenido
Las contraseñas son fáciles de escribir incorrectamente
Facebook y otros sitios similares tienen un problema. Les gustaría que utilizaras contraseñas largas y complicadas, pero son difíciles de escribir. Debería utilizar un administrador de contraseñas para que se encargue de eso, pero la mayoría de las personas no lo hacen. Y debido a esos dos factores, es común escribir mal su contraseña.
En ese momento, ¿qué debería hacer Facebook?
¿Deberían negarte la entrada solo porque tu contraseña estaba un poco fuera de lugar y frustrarte con un segundo intento? ¿O deberían reconocer que la contraseña proporcionada probablemente era correcta pero con un error tipográfico y facilitar su viaje hacia los gifs de gatos y las imágenes de bebés ignorando el error?
Facebook evalúa errores en las contraseñas
Como Alec Muffet, explica un ex ingeniero de software del equipo de infraestructura de seguridad de Facebook Engineering en Londres, Facebook eligió este último. Si su contraseña está muy cerca de ser correcta, es posible que la consideren precisa. Las reglas para esto son sencillas. Facebook aceptará una contraseña incorrecta si cumple alguna de estas condiciones:
Tiene el bloqueo de mayúsculas activado y las mayúsculas están invertidas.
Ingresa un carácter adicional al principio o al final de una contraseña
El primer carácter de la contraseña debe estar en minúsculas, pero lo escribió en mayúscula
Como puede ver, todas estas variaciones se centran en el concepto básico de perder levemente su contraseña al escribir. En algunos casos, esto puede ser un problema de autocorrección, como la primera letra de una palabra en mayúscula. Si su contraseña mal escrita cumple con estas reglas específicas, no sabrá que hubo un problema, simplemente se encontrará conectado.
Por ejemplo, digamos que su contraseña es «letMeIn». Facebook también aceptará «LETmEiN» (porque es una inversión de mayúsculas y minúsculas) y «LetMeIn» (porque es una mayúscula incorrecta para la primera letra). También aceptará variaciones como “1letMeIn” y “letMeIn2” porque son correctas excepto por un carácter adicional al principio o al final. Sin embargo, no aceptará «LETMEIN», «letmein» o «12LetMeIn» en absoluto.
Este proceso sigue siendo seguro
A primera vista, la indulgencia de contraseñas de Facebook parece insegura. Pero en este caso, la verdad es más complicada. Si bien es fácil pensar en los viejos dramas de crímenes de piratas informáticos que mostraban que la fuerza bruta adivinaba una contraseña en cuestión de minutos, la piratería no funciona de esa manera. La fuerza bruta de contraseñas desconocidas existe, pero es muy diferente de lo que implica la televisión. Como xkcd es una famosa demostración, a medida que aumenta la longitud de una contraseña, el tiempo para descifrarla también aumenta exponencialmente. Agregar complejidad ayuda, pero no tanto como podría pensar.
Entonces, uno de los escenarios que Facebook permite, un carácter adicional al principio o al final de la contraseña, sería aún más difícil de usar por fuerza bruta. Los piratas informáticos ya necesitarían tener la contraseña correcta antes de acceder a la contraseña más un carácter adicional.
De particular interés es el escenario de bloqueo de mayúsculas. Probé esto escribiendo primero manualmente mi contraseña en el bloc de notas, invirtiendo el caso y luego pegando ese resultado en Facebook. Negó esa contraseña. Luego activé el bloqueo de mayúsculas y escribí mi contraseña como si el bloqueo de mayúsculas estuviera desactivado, invirtiendo así el caso. Ese intento fue exitoso y yo estaba conectado. Facebook no solo verifica cuál es la contraseña, sino cómo la ingresa. Brute Force no ayudará en ese escenario, salvo simular el bloqueo de mayúsculas, que sería más difícil que simplemente apuntar a la contraseña real.
Actualización: como señala el consultor de seguridad de la información Paul Moore en Gorjeo, Es muy probable que Facebook solo almacene su contraseña original (correctamente hash y salada) y no las variaciones de su contraseña. Cuando envía una contraseña para iniciar sesión, se compara con su contraseña original. Si no coincide, Facebook ejecuta la contraseña enviada a través de estas variaciones. Por ejemplo, si su bloqueo de mayúsculas está activado, Facebook toma la contraseña enviada, invierte el uso de mayúsculas en las letras y vuelve a intentarlo. Si eso no funciona, Facebook vuelve a intentarlo con el siguiente escenario. Básicamente, Facebook está haciendo lo que usted habría hecho al recibir un mensaje de «contraseña incorrecta»: verificar un error accidental en la contraseña escrita y corregirlo. Eso hace que todo el proceso sea menos frustrante para usted. Esto no disminuye la seguridad, porque todavía se necesita alguna idea de la contraseña correcta y las variaciones aceptadas son limitadas.
Más importante aún, los métodos de fuerza bruta no son el método principal para obtener acceso a las redes sociales y otras cuentas. La ingeniería social y los volcados de contraseñas son mucho más fáciles de usar. Si tiene preguntas para restablecer la contraseña, es muy probable que al menos algunas de las respuestas sean información de acceso público. Si su pregunta de reinicio es sobre su lugar de nacimiento, el apellido de soltera de su madre o la mascota de la escuela secundaria, entonces es posible rastrear la respuesta. En ese punto, un mal actor puede restablecer su contraseña, haciendo que cualquier necesidad de adivinar o determinar la contraseña en sí sea completamente discutible.
Desafortunadamente, muchas personas todavía usan la misma combinación de correo electrónico y contraseña en todos los sitios que requieren credenciales de inicio de sesión. No tiene que buscar muy lejos para encontrar una instancia tras otra de violaciones de datos. Si está utilizando la misma combinación de correo electrónico y contraseña en más de un lugar, y lo ha hecho durante años, entonces sus contraseñas son la vulnerabilidad, no las políticas de Facebook.
Si no está seguro de haber sido víctima de una infracción, vaya a haveibeenpwned.com y verifique si su contraseña ha sido robada. Es probable que al menos alguna cuenta haya sido comprometida en algún lugar.
Siempre debe proteger sus cuentas
Si todavía le preocupa que esta política lo deje vulnerable, hay pasos que puede tomar. El primer paso es dejar de usar la misma contraseña para todos los sitios. En su lugar, obtenga un administrador de contraseñas y deje que genere contraseñas largas únicas para cada sitio diferente que use. Luego, la próxima vez que vea que un sitio web que utilizó se ha visto comprometido, puede cambiar solo esa contraseña y sentirse seguro sabiendo que esta contraseña conocida no les hará ningún bien a los piratas informáticos.
Después de endurecer sus contraseñas, active la autenticación de dos factores en cualquier sitio que la ofrezca. Facebook ofrece autenticación de dos factores, por lo que debería configurarlo allí también. La mejor autenticación de dos factores se basa en una aplicación con su teléfono inteligente que genera un código nuevo con frecuencia o una clave física que usted guarda con usted. Si bien la autenticación de dos factores basada en SMS es mejor que nada, sigue siendo vulnerable a las técnicas de ingeniería social. Entonces, si puede confiar en una aplicación de autenticación o una clave física, debería hacerlo. Y tenga una copia de seguridad en caso de que suceda algo con su teléfono o llave.
Con esta combinación, su cuenta es mucho más segura independientemente de las políticas de contraseña de Facebook. Como mínimo, debería utilizar un administrador de contraseñas y contraseñas únicas, pero es mejor utilizarlas en combinación con la autenticación de dos factores.
No entre en pánico; Disfrute de la conveniencia
En cuanto a la política de contraseñas de Facebook, es fácil preocuparse de que sea menos seguro, pero la realidad es que los beneficios superan los riesgos. La seguridad es un acto de equilibrio. Cuanto más bloquee un sistema, menos conveniente será acceder a él. Pero a medida que agrega un acceso más conveniente, pierde seguridad. El truco es obtener las cantidades adecuadas de ambos para proteger a sus usuarios sin frustrarlos. Facebook se equivocó por el lado de la facilidad del usuario aquí, y esa es probablemente una decisión aceptable.