Facebook tilgir passordfeil – er det trygt?

Det kan komme som en overraskelse, men Facebook aksepterer faktisk små avvik fra det nøyaktige passordet ditt. Dette er gjort for å øke brukervennligheten, og det er helt trygt.

Passordfeil er vanlig

Nettsteder som Facebook står overfor en utfordring. De ønsker at vi skal bruke sterke, komplekse passord, men slike passord er ofte vanskelige å skrive korrekt. Selv om passordadministratorer er en løsning, er det mange som ikke benytter seg av dem. Kombinasjonen av komplekse passord og manglende bruk av administratorer fører ofte til skrivefeil ved innlogging.

Hva skal Facebook gjøre i en slik situasjon?

Bør de avvise innloggingen ved den minste feil, og dermed skape frustrasjon? Eller skal de anta at det innsendte passordet er nært nok det korrekte, og la brukeren logge inn for å se kattebilder og oppdateringer?

Facebooks tilpasning til passordfeil

Som Alec Muffet, en tidligere programvareingeniør fra Facebooks sikkerhetsteam i London, forklarer, har Facebook valgt det siste alternativet. Hvis passordet du oppgir er veldig likt det riktige, kan Facebook anse det som gyldig. Dette gjelder i følgende situasjoner:

  • Caps Lock er aktivert og alle bokstaver er byttet (små til store og vice versa).
  • Et ekstra tegn legges til i starten eller slutten av passordet.
  • Det første tegnet i passordet er skrevet med stor bokstav, selv om det skal være liten.

Som vi ser, dreier disse tilpasningene seg om vanlige skrivefeil. Noen ganger kan dette være et resultat av autokorrektur. Hvis passordet ditt feiler, men oppfyller disse kriteriene, vil du ikke merke noe problem – du blir rett og slett logget inn.

La oss si at passordet ditt er «mittPassord». Facebook vil da godta både «MITtPASSORD» (caps lock-reversering) og «MittPassord» (feil stor bokstav i starten). De vil også godta «1mittPassord» og «mittPassord2» (ekstra tegn i starten eller slutten). Derimot vil «MITTPASSORD», «mittpassord» eller «12mittPassord» ikke bli akseptert.

Sikkerheten opprettholdes

Ved første øyekast kan det virke som om Facebooks tilpasning av passord er en sikkerhetsrisiko. Men sannheten er mer nyansert. Selv om vi kanskje tenker på filmscener der hackere knekker passord på få minutter, er ikke dette virkeligheten. Rå kraft-angrep mot ukjente passord finnes, men de er langt mer kompliserte enn det fremstilles på TV. Som xkcd illustrerer, øker tiden som kreves for å knekke et passord eksponentielt med lengden. Økt kompleksitet hjelper, men ikke så mye som man kanskje tror.

Dermed vil Facebooks tilpasning som tillater et ekstra tegn, faktisk gjøre brute force-angrep vanskeligere. Hackere må først gjette det korrekte passordet før de kan legge til et ekstra tegn.

Caps lock-tilfellet er også interessant. Jeg testet dette ved å skrive passordet mitt manuelt i et notisprogram, endre bokstavene og lime det inn på Facebook. Det ble avvist. Deretter slo jeg på caps lock og skrev passordet som om caps lock var av, slik at bokstavene ble snudd. Dette fungerte, og jeg ble logget inn. Facebook sjekker ikke bare passordet, men også måten det skrives inn på. Brute force vil ikke hjelpe i denne situasjonen, med mindre angriperen simulerer caps lock, noe som er mer krevende enn å angripe det faktiske passordet.

Oppdatering: Som informasjonssikkerhetskonsulent Paul Moore påpeker på Twitter, lagrer Facebook sannsynligvis bare det opprinnelige passordet (kryptert og saltet), og ikke variantene. Når du logger inn, sjekkes passordet ditt opp mot det opprinnelige passordet. Hvis det ikke stemmer, kjører Facebook det innsendte passordet gjennom disse mulige variantene. Hvis caps lock er aktivert, reverserer Facebook bokstavene og prøver på nytt. Dette er i hovedsak det du ville gjort etter å ha fått meldingen «feil passord» – sjekke for skrivefeil. Dette gjør prosessen mindre frustrerende for brukerne. Sikkerheten reduseres ikke, siden det kreves et passord som er veldig nært det korrekte.

Det viktigste er at brute force ikke er hovedmetoden for å få tilgang til sosiale medier eller andre kontoer. Sosiale ingeniørteknikker og passordlekkasjer er enklere å bruke. Mange glemmer at svarene på spørsmålene om tilbakestilling av passord ofte er offentlig tilgjengelig informasjon. Hvis spørsmålene dine dreier seg om fødested, mors pikenavn eller maskot på videregående, er det mulig for hackere å finne svaret. Dermed kan passordet ditt tilbakestilles uten at det er nødvendig å gjette det.

Mange bruker samme e-post- og passordkombinasjon på alle nettsider. Dermed er de sårbare hvis en side blir hacket. Hvis du har brukt samme e-post og passord overalt i flere år, er det passordene dine som er problemet, ikke Facebooks regler.

Hvis du er usikker på om du har vært utsatt for en passordlekkasje, besøk haveibeenpwned.com for å sjekke. Det er en god sjanse for at minst én av kontoene dine er blitt kompromittert.

Beskytt kontoene dine

Hvis du fortsatt er bekymret for at Facebooks passordpolitikk gjør deg sårbar, finnes det tiltak du kan iverksette. For det første bør du slutte å bruke samme passord for alle nettsider. Skaff deg en passordadministrator som genererer unike, lange passord for hver side. Hvis en side der du har en konto blir hacket, trenger du bare å endre det ene passordet, og de andre kontoene er fortsatt trygge.

Etter at du har styrket passordene dine, bør du slå på tofaktorautentisering på alle nettsider der det er tilgjengelig. Facebook tilbyr tofaktorautentisering, og du bør sette det opp der også. Den beste formen for tofaktorautentisering er via en app på smarttelefonen din som genererer en kode ofte, eller via en fysisk nøkkel. SMS-basert tofaktorautentisering er bedre enn ingenting, men den er mer sårbar for sosiale angrep. Bruk derfor en autentiseringsapp eller en fysisk nøkkel hvis du kan. Sørg for at du har en sikkerhetskopi i tilfelle du mister tilgangen til telefonen eller nøkkelen.

Med denne kombinasjonen er kontoen din mye sikrere, uavhengig av Facebooks passordpolitikk. Det viktigste er å bruke en passordadministrator og unike passord, men tofaktorautentisering gir ekstra sikkerhet.

Ikke få panikk, nyt brukervennligheten

Det er lett å være bekymret for at Facebooks passordpolitikk er mindre sikker, men sannheten er at fordelene oppveier risikoen. Sikkerhet er en balansegang. Jo mer du låser et system, jo vanskeligere er det å bruke. Jo mer brukervennlig tilgang, jo mindre sikkerhet. Kunsten er å finne den rette balansen. Facebook har valgt brukervennlighet i dette tilfellet, noe som trolig er en akseptabel avgjørelse.