如果您認為密碼的唯一正確版本是您使用的確切大小寫和字母/符號順序，那麼您可能會大吃一驚。為了您的方便，Facebook將接受您的密碼的細微變化。而且非常安全。

密碼很容易打錯

Facebook和其他類似的網站都有問題。他們希望你使用長而複雜的密碼，但這些很難輸入。你應該使用一個密碼管理器來為你處理這個問題，但是大多數人都沒有。而且由於這兩個因素，輸入錯誤的密碼是很常見的。

到那時Facebook該怎麼辦？

他們是否應該僅僅因為你的密碼有點不正確就拒絕你的進入，並再次嘗試讓你感到沮喪？或者他們應該認識到提供的密碼可能是正確的，但有一個打字錯誤，並順利您的旅程貓禮物和嬰兒圖片忽略了錯誤？

facebook評估密碼錯誤

正如倫敦Facebook工程公司（Facebook Engineering）安全基礎設施團隊的前軟體工程師亞歷克•馬菲特（Alec Muffet）解釋的那樣，Facebook選擇了後者。如果您的密碼非常接近正確，他們可能會認為它是準確的。這方面的規則很簡單。如果Facebook滿足以下任何條件，它將接受不正確的密碼：

• 你打開了大寫字母鎖，大寫字母倒過來了。
• 在密碼的開頭或結尾輸入一個額外的字元
• 密碼的第一個字元應該是小寫，但您鍵入的是大寫

如您所見，這些變體都圍繞著基本概念，即鍵入時稍微丟失密碼。在某些情況下，這可能是一個自動更正的問題，例如單詞的第一個字母被大寫。如果您輸入的錯誤密碼符合這些特定規則，您將不會知道有問題，您只會發現自己已登入。

例如，假設你的密碼是“letMeIn”，Facebook也會接受“letMeIn”（因為這是一個直接的大寫反轉）和“letMeIn”（因為第一個字母的大寫不正確）。它也會接受像“1letMeIn”和“letMeIn2”這樣的變體，因為除了開頭或結尾的附加字元外，這些變體都是正確的。但是，它根本不接受“LETMEIN”、“LETMEIN”或“12LetMeIn”。

這個過程仍然是安全的

乍一看，Facebook對密碼的寬大處理聽起來很不安全。但在這種情況下，真相更為複雜。雖然我們很容易想到老駭客犯罪劇，顯示快速暴力猜測密碼在短短几分鐘，駭客根本不工作的方式。暴力強迫未知密碼確實存在，但它與電視暗示的非常不同。正如xkcd著名的演示，隨著密碼長度的增加，破解密碼的時間也呈指數增長。增加複雜性有幫助，但沒有你想象的那麼多。

因此，Facebook允許的一種情況是，在密碼的開頭或結尾加上一個字元，這將更難使用暴力。駭客在進入密碼加上一個額外字元之前，已經需要有正確的密碼。

特別令人感興趣的是上限鎖定方案。我先在記事本上手動輸入密碼，然後將結果貼上到Facebook上進行測試。它拒絕了那個密碼。然後我打開了大寫鎖，輸入密碼，好像大寫鎖是關閉的，這樣就顛倒了情況。那次嘗試成功了，我登入了。Facebook不僅要檢查密碼是什麼，還要檢查你如何輸入密碼。在這種情況下，暴力是沒有幫助的，除了模擬大寫鎖定，這將比只瞄準實際的密碼更困難。

更新：正如資訊保安顧問保羅·摩爾（paulmoore）在Twitter上指出的那樣，Facebook很可能只儲存你的原始密碼（經過適當的雜湊和鹽漬處理），而不是密碼的變體。當您提交一個密碼登入時，它會與您的原始密碼進行核對。如果不匹配，Facebook將透過這些變體執行您提交的密碼。例如，如果你的大寫鎖定已開啟，Facebook會接收你提交的密碼，將字母的大小寫顛倒，然後再試一次。如果這不起作用，Facebook會再次嘗試下一個場景。從本質上說，Facebook就是在你收到一條“錯誤的密碼”資訊時，檢查輸入的密碼中是否有意外錯誤並更正它。這使得整個過程對你來說不那麼令人沮喪。這並不會降低安全性，因為仍然需要一些正確密碼的概念，而且可接受的變化範圍很窄。

更重要的是，暴力手段並不是獲取社交網路和其他賬戶的主要手段。社會工程和密碼轉儲更易於使用。如果你有密碼重置的問題，有一個體面的機會，至少有一些答案是公開獲取的資訊。如果你的問題是關於你的出生地，母親的孃家姓，或者高中吉祥物，那麼你就有可能找到答案。在這一點上，一個壞演員可以重置你的密碼，使任何需要猜測或確定密碼本身完全沒有意義。

不幸的是，許多人仍然在每個需要登入憑據的站點上使用相同的電子郵件和密碼組合。你不必看得太遠就能找到一個又一個數據洩露的例項。如果你在多個地方使用相同的電子郵件和密碼組合，並且已經使用多年，那麼你的密碼就是漏洞，而不是Facebook的策略。

如果你不確定自己是否是違規行為的受害者，請轉到haveibeenpwned.com網站檢查你的密碼是否被盜。很可能你至少在某個地方洩露了賬戶。

你應該保證你的賬戶安全

如果你仍然擔心這個政策會讓你變得脆弱，你可以採取一些措施。第一步是停止對每個站點使用相同的密碼。取而代之的是，獲得一個密碼管理器，讓它為您使用的每個不同站點生成唯一的長密碼。然後，下一次當你看到你使用的網站已經被洩露，你可以改變只是一個密碼，並感到安全知道這一個已知的密碼不會對駭客有任何好處。

強化密碼後，在任何提供雙因素身份驗證的站點啟用雙因素身份驗證。Facebook確實提供了雙因素身份驗證，所以你也應該在那裡設定它。最好的雙因素身份驗證依賴於智慧**上的應用程式，該應用程式可以頻繁生成新程式碼或隨身攜帶的物理金鑰。雖然基於簡訊的雙因素認證總比沒有好，但它仍然容易受到社會工程技術的影響。因此，如果您可以依賴驗證器應用程式或物理金鑰，您應該。如果你的**或鑰匙出了什麼事，你應該準備一個備用的。

透過這種組合，無論Facebook的密碼策略如何，您的帳戶都會更加安全。您至少應該使用密碼管理器和唯一密碼，但將它們與雙因素身份驗證結合使用會更好。

不要驚慌，享受方便吧

至於Facebook的密碼政策，人們很容易擔心它不太安全，但現實是利大於弊。安全是一種平衡行為。鎖定系統越多，訪問就越不方便。但當你增加了更方便的訪問，你就失去了安全性。訣竅是獲得適當數量的兩者來保護您的使用者，而不會讓他們感到沮喪。Facebook在使用者易用性方面犯了錯誤，這可能是一個可以接受的決定。