Si vous pensez que la seule version correcte de votre mot de passe est la majuscule exacte et la séquence de lettres / symboles que vous utilisez, vous pourriez être sous le choc. Facebook acceptera de légères variations de votre mot de passe, pour votre commodité. Et c’est parfaitement sûr.
Table des matières
Les mots de passe sont faciles à saisir
Facebook et d’autres sites similaires ont un problème. Ils aimeraient que vous utilisiez des mots de passe longs et compliqués, mais ceux-ci sont difficiles à saisir. Vous devriez utiliser un gestionnaire de mots de passe pour vous en occuper, mais la plupart des gens ne le font pas. Et à cause de ces deux facteurs, il est courant de saisir votre mot de passe par erreur.
À ce stade, que devrait faire Facebook?
Devraient-ils vous refuser l’entrée simplement parce que votre mot de passe était légèrement erroné et vous frustrer avec une deuxième tentative? Ou devraient-ils reconnaître que le mot de passe fourni était probablement correct, mais avec une faute de frappe et faciliter votre voyage vers les gifs de chat et les photos de bébé en ignorant l’erreur?
Facebook évalue les erreurs de mots de passe
Comme Alec Muffet, explique un ancien ingénieur logiciel de l’équipe d’infrastructure de sécurité de Facebook Engineering à Londres, Facebook a choisi ce dernier. Si votre mot de passe est très proche de la correction, ils peuvent le considérer comme exact. Les règles pour cela sont simples. Facebook acceptera un mot de passe incorrect s’il remplit l’une de ces conditions:
Le verrouillage des majuscules est activé et les majuscules sont inversées.
Vous entrez un caractère supplémentaire au début ou à la fin d’un mot de passe
Le premier caractère du mot de passe doit être en minuscule, mais vous l’avez tapé en majuscule
Comme vous pouvez le voir, ces variations sont toutes centrées sur le concept de base de manquer légèrement votre mot de passe lors de la frappe. Dans certains cas, cela peut être un problème de correction automatique, comme la première lettre d’un mot en majuscule. Si votre mot de passe mal saisi répond à ces règles spécifiques, vous ne saurez pas qu’il y a eu un problème – vous vous retrouverez simplement connecté.
Par exemple, disons que votre mot de passe est «letMeIn». Facebook acceptera également «LETmEiN» (parce que c’est une inversion directe du verrouillage des majuscules) et «LetMeIn» (parce que ce n’est pas une majuscule pour la première lettre). Il acceptera également des variantes comme «1letMeIn» et «letMeIn2» car celles-ci sont correctes à l’exception d’un caractère supplémentaire au début ou à la fin. Cependant, il n’acceptera pas du tout «LETMEIN», «letmein» ou «12LetMeIn».
Ce processus est toujours sécurisé
À première vue, la clémence des mots de passe de Facebook semble peu sûre. Mais dans ce cas, la vérité est plus compliquée. Bien qu’il soit facile de penser à de vieux drames de crimes de pirates informatiques qui montraient une force brute rapide devinant un mot de passe en quelques minutes, le piratage ne fonctionne pas du tout de cette façon. Le forçage brutal de mots de passe inconnus existe, mais c’est très différent de ce que la télévision implique. Comme xkcd démontre de façon célèbre, à mesure que la longueur d’un mot de passe augmente, le temps nécessaire pour le déchiffrer augmente également de façon exponentielle. Ajouter de la complexité aide, mais pas autant que vous pourriez le penser.
Ainsi, l’un des scénarios autorisés par Facebook, un caractère supplémentaire au début ou à la fin du mot de passe, serait encore plus difficile à utiliser par force brute. Les pirates devraient déjà avoir le mot de passe correct avant de pouvoir accéder au mot de passe plus un caractère supplémentaire.
Le scénario de verrouillage des majuscules est particulièrement intéressant. J’ai testé cela en tapant d’abord manuellement mon mot de passe dans le bloc-notes, en inversant la casse, puis en collant ce résultat dans Facebook. Il a refusé ce mot de passe. J’ai ensuite activé le verrouillage des majuscules et tapé mon mot de passe comme si le verrouillage des majuscules était désactivé, inversant ainsi le cas. Cette tentative a réussi et j’étais connecté. Facebook ne vérifie pas seulement le mot de passe, mais aussi comment vous le saisissez. Brute Force n’aidera pas dans ce scénario, à moins de simuler le verrouillage des majuscules, ce qui serait plus difficile que de simplement viser le mot de passe réel.
Mise à jour: comme le souligne Paul Moore, consultant en sécurité de l’information Twitter, Facebook ne stocke probablement que votre mot de passe d’origine (correctement haché et salé) et non les variantes de votre mot de passe. Lorsque vous soumettez un mot de passe pour vous connecter, il est vérifié par rapport à votre mot de passe d’origine. S’il ne correspond pas, Facebook exécute votre mot de passe soumis via ces variantes. Par exemple, si votre verrouillage des majuscules est activé, Facebook prend votre mot de passe soumis, annule la capitalisation des lettres et réessaye. Si cela ne fonctionne pas, Facebook essaie à nouveau avec le scénario suivant. Essentiellement, Facebook fait ce que vous auriez fait après avoir reçu un message de «mauvais mot de passe» – vérifier une erreur accidentelle dans le mot de passe saisi et le corriger. Cela rend l’ensemble du processus moins frustrant pour vous. Cela ne diminue pas la sécurité, car une certaine idée du mot de passe correct est toujours nécessaire et les variantes acceptées sont restreintes.
Plus important encore, les méthodes de force brute ne sont pas la principale méthode pour accéder aux réseaux sociaux et à d’autres comptes. L’ingénierie sociale et les vidages de mots de passe sont beaucoup plus simples à utiliser. Si vous avez des questions sur la réinitialisation de mot de passe, il y a de bonnes chances qu’au moins certaines des réponses soient des informations accessibles au public. Si votre question de réinitialisation concerne votre lieu de naissance, le nom de jeune fille de votre mère ou la mascotte du lycée, il est possible de retrouver la réponse. À ce stade, un mauvais acteur peut réinitialiser votre mot de passe, ce qui rend tout besoin de deviner ou de déterminer le mot de passe lui-même totalement inutile.
Malheureusement, de nombreuses personnes utilisent toujours la même combinaison d’e-mail et de mot de passe sur tous les sites nécessitant des informations de connexion. Vous n’avez pas besoin de chercher bien loin pour trouver instance après instance de violation de données. Si vous utilisez la même combinaison d’e-mail et de mot de passe à plus d’un endroit, et ce depuis des années, vos mots de passe sont la vulnérabilité, pas les politiques de Facebook.
Si vous n’êtes pas sûr d’avoir été victime d’une violation, allez à haveibeenpwned.com et vérifiez si votre mot de passe a été volé. Il y a de fortes chances que vous ayez au moins un compte compromis quelque part.
Vous devez toujours sécuriser vos comptes
Si vous craignez toujours que cette politique vous rende vulnérable, vous pouvez prendre des mesures. La première étape consiste à cesser d’utiliser le même mot de passe pour chaque site. Au lieu de cela, procurez-vous un gestionnaire de mots de passe et laissez-le générer des mots de passe longs uniques pour chaque site différent que vous utilisez. Ensuite, la prochaine fois que vous verrez qu’un site Web que vous avez utilisé a été compromis, vous pouvez changer uniquement ce mot de passe et vous sentir en sécurité en sachant que ce mot de passe connu ne fera aucun bien aux pirates.
Après avoir durci vos mots de passe, activez l’authentification à deux facteurs sur tous les sites qui la proposent. Facebook propose une authentification à deux facteurs, vous devez donc la configurer également. La meilleure authentification à deux facteurs repose sur une application avec votre smartphone qui génère fréquemment un nouveau code ou une clé physique que vous conservez avec vous. Bien que l’authentification à deux facteurs par SMS soit mieux que rien, elle reste vulnérable aux techniques d’ingénierie sociale. Donc, si vous pouvez compter sur une application d’authentification ou une clé physique, vous devriez le faire. Et ayez une sauvegarde en place au cas où quelque chose se passe avec votre téléphone ou votre clé.
Avec cette combinaison, votre compte est beaucoup plus sécurisé quelles que soient les politiques de mot de passe de Facebook. Vous devriez au moins utiliser un gestionnaire de mots de passe et des mots de passe uniques, mais il est préférable de les utiliser en combinaison avec une authentification à deux facteurs.
Ne paniquez pas; Profitez de la commodité
En ce qui concerne la politique de mot de passe de Facebook, il est facile de s’inquiéter qu’elle soit moins sécurisée, mais la réalité est que les avantages l’emportent sur les risques. La sécurité est un exercice d’équilibre. Plus vous verrouillez un système, moins il est pratique d’y accéder. Mais à mesure que vous ajoutez un accès plus pratique, vous perdez la sécurité. L’astuce consiste à obtenir les bonnes quantités des deux pour protéger vos utilisateurs sans les frustrer. Facebook a commis une erreur du côté de la facilité d’utilisation ici, et c’est probablement une décision acceptable.