如果您认为密码的唯一正确版本是您使用的确切大小写和字母/符号顺序，那么您可能会大吃一惊。为了您的方便，Facebook将接受您的密码的细微变化。而且非常安全。

密码很容易打错

Facebook和其他类似的网站都有问题。他们希望你使用长而复杂的密码，但这些很难输入。你应该使用一个密码管理器来为你处理这个问题，但是大多数人都没有。而且由于这两个因素，输入错误的密码是很常见的。

到那时Facebook该怎么办？

他们是否应该仅仅因为你的密码有点不正确就拒绝你的进入，并再次尝试让你感到沮丧？或者他们应该认识到提供的密码可能是正确的，但有一个打字错误，并顺利您的旅程猫礼物和婴儿图片忽略了错误？

facebook评估密码错误

正如伦敦Facebook工程公司（Facebook Engineering）安全基础设施团队的前软件工程师亚历克•马菲特（Alec Muffet）解释的那样，Facebook选择了后者。如果您的密码非常接近正确，他们可能会认为它是准确的。这方面的规则很简单。如果Facebook满足以下任何条件，它将接受不正确的密码：

• 你打开了大写字母锁，大写字母倒过来了。
• 在密码的开头或结尾输入一个额外的字符
• 密码的第一个字符应该是小写，但您键入的是大写

如您所见，这些变体都围绕着基本概念，即键入时稍微丢失密码。在某些情况下，这可能是一个自动更正的问题，例如单词的第一个字母被大写。如果您输入的错误密码符合这些特定规则，您将不会知道有问题，您只会发现自己已登录。

例如，假设你的密码是“letMeIn”，Facebook也会接受“letMeIn”（因为这是一个直接的大写反转）和“letMeIn”（因为第一个字母的大写不正确）。它也会接受像“1letMeIn”和“letMeIn2”这样的变体，因为除了开头或结尾的附加字符外，这些变体都是正确的。但是，它根本不接受“LETMEIN”、“LETMEIN”或“12LetMeIn”。

这个过程仍然是安全的

乍一看，Facebook对密码的宽大处理听起来很不安全。但在这种情况下，真相更为复杂。虽然我们很容易想到老黑客犯罪剧，显示快速暴力猜测密码在短短几分钟，黑客根本不工作的方式。暴力强迫未知密码确实存在，但它与电视暗示的非常不同。正如xkcd著名的演示，随着密码长度的增加，破解密码的时间也呈指数增长。增加复杂性有帮助，但没有你想象的那么多。

因此，Facebook允许的一种情况是，在密码的开头或结尾加上一个字符，这将更难使用暴力。黑客在进入密码加上一个额外字符之前，已经需要有正确的密码。

特别令人感兴趣的是上限锁定方案。我先在记事本上手动输入密码，然后将结果粘贴到Facebook上进行测试。它拒绝了那个密码。然后我打开了大写锁，输入密码，好像大写锁是关闭的，这样就颠倒了情况。那次尝试成功了，我登录了。Facebook不仅要检查密码是什么，还要检查你如何输入密码。在这种情况下，暴力是没有帮助的，除了模拟大写锁定，这将比只瞄准实际的密码更困难。

更新：正如信息安全顾问保罗·摩尔（paulmoore）在Twitter上指出的那样，Facebook很可能只存储你的原始密码（经过适当的哈希和盐渍处理），而不是密码的变体。当您提交一个密码登录时，它会与您的原始密码进行核对。如果不匹配，Facebook将通过这些变体运行您提交的密码。例如，如果你的大写锁定已打开，Facebook会接收你提交的密码，将字母的大小写颠倒，然后再试一次。如果这不起作用，Facebook会再次尝试下一个场景。从本质上说，Facebook就是在你收到一条“错误的密码”信息时，检查输入的密码中是否有意外错误并更正它。这使得整个过程对你来说不那么令人沮丧。这并不会降低安全性，因为仍然需要一些正确密码的概念，而且可接受的变化范围很窄。

更重要的是，暴力手段并不是获取社交网络和其他账户的主要手段。社会工程和密码转储更易于使用。如果你有密码重置的问题，有一个体面的机会，至少有一些答案是公开获取的信息。如果你的问题是关于你的出生地，母亲的娘家姓，或者高中吉祥物，那么你就有可能找到答案。在这一点上，一个坏演员可以重置你的密码，使任何需要猜测或确定密码本身完全没有意义。

不幸的是，许多人仍然在每个需要登录凭据的站点上使用相同的电子邮件和密码组合。你不必看得太远就能找到一个又一个数据泄露的实例。如果你在多个地方使用相同的电子邮件和密码组合，并且已经使用多年，那么你的密码就是漏洞，而不是Facebook的策略。

如果你不确定自己是否是违规行为的受害者，请转到haveibeenpwned.com网站检查你的密码是否被盗。很可能你至少在某个地方泄露了账户。

你应该保证你的账户安全

如果你仍然担心这个政策会让你变得脆弱，你可以采取一些措施。第一步是停止对每个站点使用相同的密码。取而代之的是，获得一个密码管理器，让它为您使用的每个不同站点生成唯一的长密码。然后，下一次当你看到你使用的网站已经被泄露，你可以改变只是一个密码，并感到安全知道这一个已知的密码不会对黑客有任何好处。

强化密码后，在任何提供双因素身份验证的站点启用双因素身份验证。Facebook确实提供了双因素身份验证，所以你也应该在那里设置它。最好的双因素身份验证依赖于智能**上的应用程序，该应用程序可以频繁生成新代码或随身携带的物理密钥。虽然基于短信的双因素认证总比没有好，但它仍然容易受到社会工程技术的影响。因此，如果您可以依赖验证器应用程序或物理密钥，您应该。如果你的**或钥匙出了什么事，你应该准备一个备用的。

通过这种组合，无论Facebook的密码策略如何，您的帐户都会更加安全。您至少应该使用密码管理器和唯一密码，但将它们与双因素身份验证结合使用会更好。

不要惊慌，享受方便吧

至于Facebook的密码政策，人们很容易担心它不太安全，但现实是利大于弊。安全是一种平衡行为。锁定系统越多，访问就越不方便。但当你增加了更方便的访问，你就失去了安全性。诀窍是获得适当数量的两者来保护您的用户，而不会让他们感到沮丧。Facebook在用户易用性方面犯了错误，这可能是一个可以接受的决定。