Хакер #305. Многошаговые SQL-инъекции
Как выяснилось, при авторизации на Facebook действует защита от нажатия Caps Lock. Для каждого пароля создаётся ещё один-два варианта, которые равноценны основному паролю.
Например, оригинальный пароль:
hunTer2
В этом случае будут сгенерированы ещё два рабочих пароля, по которым тоже возможна авторизация.
HunTer2
HUNtER2
Оригинальный пароль:
PASSWORD1234
Будет создан ещё один рабочий пароль:
password1234
Вы можете проверить сами на странице Facebook Login.
Вариант с заменой первой буквы на прописную создаётся только в том случае, если оригинальный пароль начинается со строчной буквы. Ещё один вариант с полной заменой строчных на прописные и прописных на строчные создаётся всегда.
Разработчики Facebook объясняют, что так они стараются бороться с самыми распространёнными причинами, почему не происходит авторизация в сервисе — из-за нажатой клавиши Caps Lock.
Очевидно, что в этом случае снижается защита от подбора паролей методом перебора, но зато значительно повышается удобство пользования сервисом и удовлетворённость пользователей.