En tu Facebook hay muchos usuarios y passwords que dan acceso a tu cuenta, ¿lo sabías?
Hace ya tiempo que se habló por aquí de cómo Facebook generaba varias contraseñas asociadas a tu cuenta por si te hacías un "lío" con las mayúsculas, lo que genera que cuando introduces una clave la puedas poner con la primera letra mayúscula, con las mayúsculas y minúsculas cambiadas o tu clave normal. Con todas ellas, podrás entrar, como se ve en el vídeo de la Figura 2. Pero hoy os voy a contar otras opciones de accesibilidad que también multiplican tus passwords y tus usuarios de Facebook.
Si haces pruebas con tu cuenta de Facebook a ver si puedes iniciar sesión verás que se obtienen resultados muy curiosos, introduciendo nombres de usuario y contraseñas que no son ni tu nombre de usuario ni tu contraseña, pero... podrían ser un error humano. Vamos a verlo.
Figura 2: Múltiples passwords en Facebook con mayúsculas y minúsculas
Jugando con los usuarios: Hasta tres fallos
La idea es que según he probado yo, puedes equivocarte hasta en tres caracteres en la dirección de correo siempre y cuando la contraseña que introduzcas sea correcta. Si te equivocas en la contraseña, y en el nombre de usuario y Facebook tiene "dudas" de si ha sido un error o no, te pedirá confirmación de cuenta, corregirá los errores del usuario y te pedirá la password. Si te equivocas en menos de tres y pones la contraseña correcta, te dejará entrar. Supongamos que tenemos una cuenta que tiene una dirección de correo electrónico de Gmail.com.
Entonces podemos jugar a poner cosas como Gmial.com o Gmil.com y veremos como el sistema, si ponemos la contraseña correctamente nos deja entrar. Eso sí, siempre que no tengamos más de tres fallos como ya he dicho.
Figura 3: Login con dirección de Gmail.com con un error |
Entonces podemos jugar a poner cosas como Gmial.com o Gmil.com y veremos como el sistema, si ponemos la contraseña correctamente nos deja entrar. Eso sí, siempre que no tengamos más de tres fallos como ya he dicho.
En el caso de que no pongamos la contraseña correcta, el sistema nos corregirá la dirección de correo electrónico y nos avisará del cambio que ha hecho, pero nos solicitará otra vez que introduzcamos la contraseña correcta, como se puede ver en la imagen superior.
La contraseña: Un caracter más
Lo curioso es que con la contraseña, además de las famosas tres passwords de que se habló tiempo atrás, también es posible poner una contraseña con un carácter más al final. Basta con que pruebes tu cuenta de usuario y tu contraseña correcta, y antes de enviarla pongas un carácter más. Aún así entrarás dentro del sistema.
Y puedes mezclar ambas cosas, siempre que el número de fallos no sea mayor de tres, verás como es posible logarse con un usuario con un dominio erróneo introduciendo una contraseña con un carácter más al final.
Usabilidad versus Seguridad
Si hiciéramos unos cálculos de cuántas contraseñas se pueden introducir para hacer login, teniendo en cuenta los errores de mayúsculas y minúsculas, y los errores al introducir el nombre de usuario, además de extender la contraseña con un carácter más, son muchas. Pero siempre por usabilidad, como explican en Facebook.
Tal vez para muchos pueda parecer un problema de seguridad, pero lo cierto es que hacer un ataque de fuerza bruta a Facebook es algo que no entra en las opciones de nadie. Siguiendo las recomendaciones de evitar las contraseñas complejas en la web, al tercer o cuarto intento en el que Facebook sospeche que se ha intentado hacer login con una contraseña que no es la original, parará el proceso.
Figura 7: Configurar Latch Cloud TOTP en Facebook
Por las dudas, lo mejor para proteger cualquier cuenta en Internet sigue siendo poner un segundo factor de autenticación, así que poned Latch Cloud TOTP en Facebook y mirad las recomendaciones de fortificación de la cuenta de Facebook para que no te roben la cuenta que publicó Chema Alonso hace tiempo.
Saludos!
Autor: José C. García Gamero
4 comentarios:
Peor aún, hoy te deja loguearte también con tu cuenta de Google que esté asociada con tu dispositivo Android, yo hoy reinstale Facebook y al equivocarme en el logueo sencillamente me pidió que únicamente con el acceso ya autorizado de Google en mí teléfono podía entrar a mí cuenta, y con eso ya no me pidio la clave, únicamente entró a pedirme él Token de autenticacion
Interesante el sistema de seguridad, pero con la integración de servicios va a venir nuevas técnicas para poder entrar como loguearse desde otras páginas etc... Me admira la manera de reconocer la contraseña con mayus y min ademas de los 3 errores.
Excelente articulo el vídeo ya lo avía visto.
Excelente blog que nos ayuda a conocer mas de nuestras redes sociales en especial porque tenemos muchos documentos de nuestra universidad (http://www.ups.edu.ec)
Publicar un comentario