Hvis du tror at den eneste riktige versjonen av passordet ditt er den eksakte store bokstaver og bokstav-/symbolsekvensen du bruker, kan du være i et sjokk. Facebook vil godta små variasjoner av passordet ditt, for enkelhets skyld. Og det er helt trygt.
Innholdsfortegnelse
Passord er lett å skrive feil
Facebook og andre lignende nettsteder har et problem. De vil at du skal bruke lange og kompliserte passord, men de er vanskelige å skrive. Du bør bruke en passordbehandler for å ta seg av det for deg, men de fleste gjør det ikke. Og på grunn av disse to faktorene er det vanlig å skrive feil passord.
Hva bør Facebook gjøre på det tidspunktet?
Skulle de nekte deg adgang bare fordi passordet ditt var litt av, og frustrere deg med et nytt forsøk? Eller bør de innse at passordet som ble oppgitt sannsynligvis var riktig, men med en skrivefeil og jevne reisen til katte-gif-er og babybilder ved å ignorere feilen?
Facebook vurderer feil i passord
Som Alec Muffet, forklarer en tidligere programvareingeniør for sikkerhetsinfrastrukturteamet ved Facebook Engineering i London, Facebook valgte sistnevnte. Hvis passordet ditt er veldig nært korrekt, kan de regne det som nøyaktig. Reglene for dette er enkle. Facebook vil godta et feil passord hvis det oppfyller noen av disse betingelsene:
Du har caps lock slått på, og store bokstaver er reversert.
Du skriver inn et ekstra tegn på begynnelsen eller slutten av et passord
Det første tegnet i passordet skal være små bokstaver, men du skrev det med stor bokstav
Som du kan se, er alle disse variasjonene sentrert rundt det grunnleggende konseptet med å mangler passordet ditt når du skriver. I noen tilfeller kan dette være et problem med autokorrektur, for eksempel den første bokstaven i et ord som er stor. Hvis det feilskrevne passordet ditt oppfyller disse spesifikke reglene, vet du ikke at det var et problem – du vil bare finne deg selv pålogget.
La oss for eksempel si at passordet ditt er «letMeIn». Facebook vil også godta «LETmEiN» (fordi det er en rett opp caps lock-reversering) og «LetMeIn» (fordi det er feil stor for den første bokstaven). Den vil også godta variasjoner som «1letMeIn» og «letMeIn2» fordi de er riktige bortsett fra et ekstra tegn på begynnelsen eller slutten. Den vil imidlertid ikke akseptere «LETMEIN», «letmein» eller «12LetMeIn» i det hele tatt.
Denne prosessen er fortsatt sikker
Ved første rødme høres Facebooks passordlettelse ut som usikker. Men i dette tilfellet er sannheten mer komplisert. Selv om det er lett å tenke på gamle hacker-krimdramaer som viste rask brute force gjette på et passord på få minutter, fungerer ikke hacking slik i det hele tatt. Brute tvinge ukjente passord eksisterer, men det er veldig annerledes enn TV tilsier. Som xkcd demonstrerer berømt, ettersom lengden på et passord øker, øker tiden for å knekke det også eksponentielt. Å legge til kompleksitet hjelper, men ikke så mye som du kanskje tror.
Så et av scenariene som Facebook tillater, et ekstra tegn i begynnelsen eller slutten av passordet, ville være enda vanskeligere å brute force. Hackere må allerede ha riktig passord før de kom til passordet pluss et ekstra tegn.
Av spesiell interesse er caps lock-scenariet. Jeg testet dette ved først å skrive passordet mitt manuelt i notisblokk, snu saken og deretter lime inn resultatet på Facebook. Den nektet passordet. Jeg slo deretter på caps lock og skrev inn passordet mitt som om cap lock var av, og snudde dermed saken. Det forsøket var vellykket, og jeg ble logget på. Facebook sjekker ikke bare hva passordet er, men hvordan du skriver det inn. Brute Force vil ikke hjelpe i det scenariet, bortsett fra å simulere caps lock, noe som ville være vanskeligere enn bare å sikte på det faktiske passordet.
Oppdatering: Som informasjonssikkerhetskonsulent Paul Moore påpeker Twitter, Facebook lagrer mest sannsynlig bare det opprinnelige passordet ditt (korrekt hashet og saltet) og ikke variantene av passordet ditt. Når du sender inn et passord for å logge på, sjekkes det mot det opprinnelige passordet ditt. Hvis det ikke stemmer, kjører Facebook ditt innsendte passord gjennom disse variantene. For eksempel, hvis Caps Lock er på, tar Facebook det innsendte passordet ditt, reverserer store bokstaver og prøver igjen. Hvis det ikke fungerer, prøver Facebook igjen med neste scenario. I hovedsak gjør Facebook det du ville ha gjort etter å ha fått en «feil passord»-melding – sjekke for en utilsiktet feil i det innskrevne passordet og korrigere det. Det gjør hele prosessen mindre frustrerende for deg. Dette reduserer ikke sikkerheten, fordi en viss idé om riktig passord fortsatt er nødvendig og de aksepterte variasjonene er smale.
Enda viktigere, brute force-metoder er ikke den primære metoden for å få tilgang til sosiale nettverk og andre kontoer. Sosialteknikk og passorddumper er mye enklere å bruke. Hvis du har spørsmål om tilbakestilling av passord, er det en god sjanse for at i det minste noen av svarene er offentlig tilgjengelig informasjon. Hvis tilbakestillingsspørsmålet ditt handler om fødestedet ditt, morens pikenavn eller maskot på videregående skole, er det mulig å spore svaret. På det tidspunktet kan en skuespiller tilbakestille passordet ditt, noe som gjør at ethvert behov for å gjette eller bestemme selve passordet er helt uklart.
Dessverre er det mange som fortsatt bruker samme e-post- og passordkombinasjon på hvert nettsted som krever påloggingsinformasjon. Du trenger ikke lete langt for å finne instans etter instans av datainnbrudd. Hvis du bruker samme e-post- og passordkombinasjon på mer enn ett sted, og har vært det i årevis, er passordene dine sårbarheten, ikke Facebooks retningslinjer.
Hvis du ikke er sikker på om du har vært utsatt for et brudd, gå til haveibeenpwned.com og sjekk om passordet ditt er stjålet. Sjansen er stor for at du har hatt minst en konto kompromittert et sted.
Du bør alltid sikre kontoene dine
Hvis du fortsatt er bekymret for at denne policyen gjør deg sårbar, er det skritt du kan ta. Det første trinnet er å slutte å bruke det samme passordet for hvert nettsted. Skaff deg i stedet en passordbehandler og la den generere unike lange passord for hvert annet nettsted du bruker. Deretter, neste gang du ser at et nettsted du brukte har blitt kompromittert, kan du endre bare det ene passordet og føle deg trygg ved å vite at dette ene kjente passordet ikke vil gjøre noe godt for hackerne.
Etter at du har herdet passordene dine, slår du på tofaktorautentisering på alle nettsteder som tilbyr det. Facebook tilbyr tofaktorautentisering, så du bør sette det opp der også. Den beste tofaktorautentiseringen er avhengig av en app med smarttelefonen din som genererer en ny kode ofte eller en fysisk nøkkel du har med deg. Selv om SMS-basert tofaktorautentisering er bedre enn ingenting, er den fortsatt sårbar for sosiale ingeniørteknikker. Så hvis du kan stole på en autentiseringsapp eller en fysisk nøkkel, bør du det. Og ha en sikkerhetskopi på plass i tilfelle noe skulle skje med telefonen eller nøkkelen din.
Med denne kombinasjonen er kontoen din langt sikrere uavhengig av Facebooks passordpolitikk. Du bør i det minste bruke en passordbehandler og unike passord, men å bruke de i kombinasjon med tofaktorautentisering er bedre.
Ikke få panikk; Nyt bekvemmeligheten
Når det gjelder Facebooks passordpolicy, er det lett å bekymre seg for at det er mindre sikkert, men realiteten er at fordelene oppveier risikoen. Sikkerhet er en balansegang. Jo mer du låser et system, jo mindre praktisk er det å få tilgang til det. Men etter hvert som du legger til mer praktisk tilgang, mister du sikkerheten. Trikset er å få riktige mengder av begge for å beskytte brukerne dine uten å frustrere dem. Facebook tok feil på siden av brukervennlighet her, og det er sannsynligvis en akseptabel avgjørelse.