Zadzwoniła dziś do mnie koleżanka, z którą kiedyś pracowałem (jako człowiek od IT i ogólnie pojętego bezpieczeństwa), że w jej biurze rozeszła się z szybkością błyskawicy (nie wiem czy chodziło o grzmot czy błysk) informacja, że na swoje konto na Facebooku może się zalogować nawet jeśli poda się błędny adres e-mail (login).

Oczywiście wszyscy u niej w biurze rzucili się do swoich (służbowy, a jak) komputerów by najpierw się wylogować z Facebooka (w końcu dla wielu to podstawowe narzędzie pracy biurowej ;-)), a następnie zmienić literkę czy dwa w adresie e-mail spróbować się zalogować ponownie – i za każdym razem, i każdemu się udało…

No i takim sposobem dział kadr w jednej z warszawskich firm wykrył „poważną dziurę bezpieczeństwa” na Facebooku – a przynajmniej tak im się wydawało ;-)

Do Facebooka zalogujesz się ponownie(!) nawet jak podasz zły login (adres e-mail)

Faktycznie – tak można, to działa – ale nie jest to jakaś dziura, tylko najprawdopodobniej celowe działanie, które ma wyeliminować „zawracanie im 4 liter” przez osoby, które logując się ponownie za pomocą danej przeglądarki pomylą się w adresie e-mail.

A wierzcie mi, że logi i zgłoszenia „na helpdesku” pokazują, że jest to dość powszechne zjawisko.

Ale to nie jest tak, że wystarczy, że ktoś wpisze Wasze hasło do Facebooka, i dowolny adres by udał się proces logowania na Wasze konto.

Muszą być spełnione (łącznie) następujące warunki:

  • Wcześniej już logowaliście się za pomocą tego urządzenia i przeglądarki (czyli jest ciasteczko/cookie)
  • Pomylicie się w adresie (login) maksymalnie w 3 miejscach
  • Podacie prawidłowe (w 100%) hasło

Teoria za nami, pora na przykłady

Załóżmy, że mój adres e-mail do konta na Facebooku to:

[email protected]

I mam takie hasło:

WebIsniderJestNajlepszy!!!11

Uda się zalogować w takich przypadkach – oczywiście poza sytuacją gdy wszystkie dane będą poprawne/zgodne w 100%:

Oraz w takim:

A nawet i w takim:

Ale już nie uda mi się zalogować gdy pomylę się w nazwie użytkownika (adresie e-mail) o więcej znaków niż 3:

Lub – o czym wcześniej pisałem – podam złe hasło, choćby o 1 znak:

Oczywiście nie uda mi się to też w sytuacji gdy będę chciał zalogować się z innego/nowego komputera/przeglądarki, lub gdy moje ciasteczko (cookie), które zostawił Facebook podczas logowania zostało zjedzone ;-)

Tak więc możecie sprać spokojnie, przynajmniej jeśli chodzi o ten „problem”, choć ja zawsze polecam aktywację dwuskładnikowego uwierzytelnienia, które jest dostępne również na Facebooku.

 

(!) Zgłoś błąd na stronie
Przejdź do strony głównej
Lub napisz komentarz
Pomogłem? To może postawisz mi wirtualną kawę?
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Patryk
Ostatnie artykuły: Patryk (zobacz wszystkie)