Több hírforrás is foglalkozik azzal, hogy a Facebook kissé engedékeny akkor, ha néhány karaktert elírunk a belépéskor. Legutóbb az Indexnek írt egy olvasó ezzel kapcsolatban, tehát ez a funkció / probléma (ki hogy nézi ugyebár) még mindig él. A módszer az e-mail cím és a jelszó esetében is reprodukálható, és minden bizonnyal azért vezették be, mert akad néhány tipikus hiba, amit a legtöbb esetben elkövetnek a felhasználók gépelés közben. Ez persze jó hír azoknak, akik nem épp a pontos billentyűzethasználat bajnokai, de persze felvet némi biztonsági kérdést is.
Mit néz el a Facebook belépéskor?
E-mail címek esetében olyan elírásokkal engedékeny a rendszer, ahol valami viszonylag nyilvánvaló eset helyett írunk valami mást. Ilyen például a hotmail.com vagy gmail.com címek esetén egy elrontott betű (például homtail.com, gmil.com, de próbálkozásaink közben simán elfogadott egy gmail.cmo-ként beírt címet is).
Hasonlóképpen átenged az ellenőrzésen a Facebook akkor is, ha a jelszavak beírásakor követünk el néhány alapvető hibát. Ilyen például, ha az amúgy kisbetű-nagybetűket megkülönböztető rendszerben véletlenül nagybetűt írunk az első karakter helyére (tehát például pcworld123 helyett Pcworld123-at), ha a karaktersor elejére vagy végére eggyel több karaktert ütünk (mert mondjuk véletlenül megnyomunk valami mást is, például a fenti példából kiindulva opcworld123, vagy pcworld1234 - a rendszer láthatóan a szomszédos billentyűket nézi el jobban). Akkor is megkegyelmez nekünk a virtuális kapuőr, ha véletlenül bekapcsolva hagytuk a caps lockot, és mondjuk az Enjelszavam666 helyett eNJELSZAVAM666-ot észlel.
Ez idáig szép és jó, de nem lesz így nagyobb veszélyben a fiókom?
Elvileg egy icipicit több a rizikó, de azért még így is nagyon sok irányból igyekszik gondoskodni a közösségi szolgáltatás arról, hogy a valóban csalásból próbálkozók ne juthassanak be. Egyrészt a fenti módszer csak akkor működik, ha valaki egy olyan gépen és olyan böngészőben próbálkozik, ahol korábban már sikeresen belépett, és azóta nem törölte a böngésző által eltárolt sütiket. Ha tehát valaki egy másik gépen próbál belépni a nevünkben pár hibával, ezt nem fogja elfogadni a rendszer. Ugyanígy jól láthatóan csak elgépelésre utaló hibákat lehet "megetetni" a biztonsági rendszerrel, és egy e-mail és jelszó páros esetében egyszerre egy ilyen hibát lehet ejteni.
Ugyan az e-mail címet még akár meg is szerezheti valaki máshonnan, de az elég valószínűtlen, hogy valaki egy átlagosan 6-8 karakteres jelszót egy hibával elsőre, vagy akár tizedikre is pontosan eltalál, márpedig a Facebook néhány sikertelen próbálkozás után további megerősítést kér a belépéshez. Érdekes, hogy az algoritmus a különféle webes beszámolók szerint még azt is figyeli, hogy valaki tényleg bekapcsolt caps lock miatt rontja el a kis- és nagybetűket, ha ugyanis valaki Ctrl+C és Ctrl+V módszerrel bemásol egy ilyen jelszót, nem fogja gépelési hibának elfogadni.
A szakértői reakciók szerint amellett, hogy valóban némi kényelmet ad a felhasználóknak ez a módszer, a biztonsági kockázatot nem emeli érzékelhetően. A többszöri próbálkozás elleni védelem, a jelszavak titkosított tárolása és a copy-paste figyelése miatt egy átlagos hosszúságú jelszó ugyanannyira nehezen feltörhető marad a hibatűrő rendszerben is, mint anélkül - még mindig sokkal nagyobb kockázatot jelentenek a különféle adatszivárgások, valamint adathalász megoldások, azok meg függetlenek attól, mennyire tűri el a Facebook az elírásokat. Más a helyzet persze akkor, ha valaki egy weboldal nevét gépeli el a böngészőben: ugyan a Facebook ez esetben az összes környéki szóalakot lefoglalta, tehát a facebokk.com-tól a faacebook.com-ig a legtöbb variáció a helyes oldalra irányít, de csomó olyan kedvelt weboldal vagy szolgáltatás van, ahol csalók igyekeznek az elgépelhető formákat lefoglalva valamilyen trükkel becsapni az eltévedteket. Ja, és a Facebook biztonságára visszatérve: azért a kétfaktoros belépés használatát így is, úgy is érdemes megfontolni - akár elgépelést kihasználva, akár adatlopásból megszerzett jelszóval próbálna valaki helyettünk bejelentkezni, a hozzánk érkező megerősítő üzenet azonnal jelzi a turpisságot.
