2014/10/18

Facebook usa os leaks de passwords para manter os utilizadores em segurança


Num mundo ideal, todos os utilizadores usariam passwords seguras e os sistemas de autenticação 2-step, tornando quase impossível que um qualquer atacante pudesse entrar nas suas contas. Mas não vivemos num mundo ideal, e mais do que depender das boas práticas dos utilizadores, é também recomendável que os serviços façam todos os possíveis por manter os seus utilizadores em segurança, incluindo estar atento a todos os leaks de passwords, como faz o Facebook.

Sendo um serviço com centenas de milhões de utilizadores diários, o Facebook já toma algumas liberdades engraçadas com as passwords para evitar problemas comuns como aceitar algumas variantes das passwords com o CAPS Lock ligado; mas não se fica por aí.

O Facebook está atento a todos os leaks de passwords que vão surgindo na password (infelizmente de forma cada vez mais frequente), e quando isso acontece verifica se os dados que foram revelados publicamente permitem o acesso à vossa conta. Se isso acontecer, da próxima vez que tentarem fazer um login verão um aviso como este que vos informa do sucedido e pede para introduzirem uma nova password, respondendo a perguntas de segurança.


Acho que a opção das perguntas de segurança era escusada, pois se se tratarem de perguntas básicas (como costumam ser), um atacante poderá continuar a conseguir aceder à vossa conta. O mais simples seria mesmo enviar um email para o utilizador com um link para fazer o reset à password... Mas pronto, sempre é melhor que nada.

O Facebook também clarifica, tal como acontece para a questão das passwords com CAPS lock, que não tem o acesso à vossa password. Esta comparação das passwords é feita aplicando o hash nas passwords que se tornaram públicas, e verificando se o resultado bate certo com o da vossa password (o mesmo processo que é feito quando vocês próprios introduzem a password no site para validar a vossa identidade no serviço.

Na dúvida, nem vale pensar duas vezes: sempre que possível activem a autenticação 2-step em todos os serviços que o permitirem, e fiquem mais descansados quanto à possibilidade de a vossa password poder ser apanhada em qualquer lado.

Sem comentários:

Enviar um comentário (problemas a comentar?)