Facebook modifica su contraseña para su conveniencia

Pantalla de inicio de sesión de Facebook

Si cree que la única versión correcta de su contraseña son las mayúsculas exactas y la secuencia de letras / símbolos que usa, puede estar en shock. Facebook aceptará ligeras variaciones de su contraseña, para su conveniencia. Y es perfectamente seguro.

Las contraseñas son fáciles de escribir incorrectamente

Facebook y otros sitios similares tienen un problema. Les gustaría que utilizaras contraseñas largas y complicadas, pero son difíciles de escribir. Debería usar un administrador de contraseñas para que se encargue de eso, pero la mayoría de las personas no lo hacen. Y debido a esos dos factores, es común escribir mal su contraseña.

En ese momento, ¿qué debería hacer Facebook?

¿Deberían negarte la entrada solo porque tu contraseña estaba un poco fuera de lugar y frustrarte con un segundo intento? ¿O deberían reconocer que la contraseña proporcionada probablemente era correcta pero con un error tipográfico y facilitar su viaje hacia los gifs de gatos y las imágenes de bebés ignorando el error?

Facebook evalúa errores en las contraseñas

Como explica Alec Muffet , un ex ingeniero de software del equipo de infraestructura de seguridad de Facebook Engineering en Londres, Facebook eligió este último. Si su contraseña está muy cerca de ser correcta, es posible que la consideren precisa. Las reglas para esto son sencillas. Facebook aceptará una contraseña incorrecta si cumple alguna de estas condiciones:

  • Tiene el bloqueo de mayúsculas activado y las mayúsculas están invertidas.
  • Ingresa un carácter adicional al principio o al final de una contraseña
  • El primer carácter de la contraseña debe estar en minúsculas, pero lo escribió en mayúscula

Como puede ver, todas estas variaciones se centran en el concepto básico de perder levemente su contraseña al escribir. En algunos casos, esto puede ser un problema de autocorrección, como la primera letra de una palabra en mayúscula. Si su contraseña mal escrita cumple con estas reglas específicas, no sabrá que hubo un problema, simplemente se encontrará conectado.

Relacionado:  Cómo desactivar las molestas sugerencias M de Facebook Messenger

Por ejemplo, digamos que su contraseña es «letMeIn». Facebook también aceptará «LETmEiN» (porque es una inversión de mayúsculas y minúsculas) y «LetMeIn» (porque es una mayúscula incorrecta para la primera letra). También aceptará variaciones como “1letMeIn” y “letMeIn2” porque son correctas excepto por un carácter adicional al principio o al final. Sin embargo, no aceptará «LETMEIN», «letmein» o «12LetMeIn» en absoluto.

Este proceso sigue siendo seguro

persona mirando Facebook en una computadora portátil
Tiempo de temporada / Shutterstock

A primera vista, la indulgencia de contraseñas de Facebook parece insegura. Pero en este caso, la verdad es más complicada. Si bien es fácil pensar en viejos dramas de crímenes de piratas informáticos que mostraban que la fuerza bruta adivinaba una contraseña en cuestión de minutos, la piratería no funciona de esa manera. Las contraseñas desconocidas de fuerza bruta existen, pero es muy diferente de lo que implica la televisión. Como demuestra xkcd , a medida que aumenta la longitud de una contraseña, el tiempo para descifrarla también aumenta exponencialmente. Agregar complejidad ayuda, pero no tanto como podría pensar.

Entonces, uno de los escenarios que Facebook permite, un carácter adicional al principio o al final de la contraseña, sería aún más difícil de usar por fuerza bruta. Los piratas informáticos ya deberían tener la contraseña correcta antes de acceder a la contraseña más un carácter adicional.

De particular interés es el escenario de bloqueo de mayúsculas. Probé esto escribiendo primero manualmente mi contraseña en el bloc de notas, invirtiendo el caso y luego pegando ese resultado en Facebook. Negó esa contraseña. Luego encendí el bloqueo de mayúsculas y escribí mi contraseña como si el bloqueo de mayúsculas estuviera desactivado, invirtiendo así el caso. Ese intento fue exitoso y me conecté. Facebook no solo verifica cuál es la contraseña, sino cómo la ingresa. Brute Force no ayudará en ese escenario, salvo simular el bloqueo de mayúsculas, que sería más difícil que simplemente apuntar a la contraseña real.

Actualización : como señala el consultor de seguridad de la información Paul Moore en Twitter, Es probable que Facebook solo almacene su contraseña original (correctamente hash y salada) y no las variaciones de su contraseña. Cuando envía una contraseña para iniciar sesión, se compara con su contraseña original. Si no coincide, Facebook ejecuta la contraseña enviada a través de estas variaciones. Por ejemplo, si su Bloqueo de mayúsculas está activado, Facebook toma su contraseña enviada, invierte las mayúsculas de las letras y vuelve a intentarlo. Si eso no funciona, Facebook vuelve a intentarlo con el siguiente escenario. Básicamente, Facebook está haciendo lo que usted hubiera hecho al recibir un mensaje de «contraseña incorrecta»: verificar un error accidental en la contraseña escrita y corregirlo. Eso hace que todo el proceso sea menos frustrante para usted. Esto no disminuye la seguridad

Relacionado:  Cómo lidiar con malas fotos en Facebook

Más importante aún, los métodos de fuerza bruta no son el método principal para obtener acceso a las redes sociales y otras cuentas. Los volcados de ingeniería social y contraseñas son mucho más sencillos de usar. Si tiene preguntas para restablecer la contraseña, existe una posibilidad decente de que al menos algunas de las respuestas sean información de acceso público. Si su pregunta de reinicio es sobre su lugar de nacimiento, el apellido de soltera de su madre o la mascota de la escuela secundaria, entonces es posible rastrear la respuesta. En ese punto, un mal actor puede restablecer su contraseña, haciendo que cualquier necesidad de adivinar o determinar la contraseña en sí sea completamente discutible.

Desafortunadamente, muchas personas todavía usan la misma combinación de correo electrónico y contraseña en todos los sitios que requieren credenciales de inicio de sesión. Usted no tiene que buscar mucho para encontrar ejemplo, después de ejemplo de las violaciones de datos . Si está utilizando la misma combinación de correo electrónico y contraseña en más de un lugar, y lo ha hecho durante años, entonces sus contraseñas son la vulnerabilidad, no las políticas de Facebook.

Si no está seguro de haber sido víctima de una infracción, vaya a haveibeenpwned.com y compruebe si le han robado su contraseña . Lo más probable es que haya tenido al menos alguna cuenta comprometida en algún lugar.

Siempre debe proteger sus cuentas

inicio de sesión con nombre de usuario y contraseña
Nicescene / Shutterstock.com

Si todavía le preocupa que esta política lo deje vulnerable, hay pasos que puede tomar. El primer paso es dejar de usar la misma contraseña para todos los sitios. En su lugar, obtenga un administrador de contraseñas y deje que genere contraseñas largas únicas para cada sitio diferente que use. Luego, la próxima vez que vea que un sitio web que utilizó se ha visto comprometido, puede cambiar solo esa contraseña y sentirse seguro sabiendo que esta contraseña conocida no les hará ningún bien a los piratas informáticos.

Relacionado:  Cómo silenciar a alguien en Facebook

Después de endurecer sus contraseñas, active la autenticación de dos factores en cualquier sitio que la ofrezca. Facebook ofrece autenticación de dos factores, por lo que debería configurarlo allí también. La mejor autenticación de dos factores se basa en una aplicación con su teléfono inteligente que genera un nuevo código con frecuencia o una clave física que usted guarda con usted. Si bien la autenticación de dos factores basada en SMS  es mejor que nada , sigue siendo vulnerable a las técnicas de ingeniería social. Entonces, si puede confiar en una aplicación de autenticación o una clave física, debería hacerlo. Y tenga una copia de seguridad en caso de que suceda algo con su teléfono o llave.

Con esta combinación, su cuenta es mucho más segura independientemente de las políticas de contraseña de Facebook. Como mínimo, debería utilizar un administrador de contraseñas y contraseñas únicas, pero es mejor utilizarlas en combinación con la autenticación de dos factores.

No entre en pánico; Disfrute de la conveniencia

En cuanto a la política de contraseñas de Facebook, es fácil preocuparse de que sea menos seguro, pero la realidad es que los beneficios superan los riesgos. La seguridad es un acto de equilibrio. Cuanto más bloquee un sistema, menos conveniente será acceder a él. Pero a medida que agrega un acceso más conveniente, pierde seguridad. El truco consiste en obtener las cantidades adecuadas de ambos para proteger a sus usuarios sin frustrarlos. Facebook se equivocó por el lado de la facilidad del usuario aquí, y esa es probablemente una decisión aceptable.