Facebook Fudges Your Password voor uw gemak
Als u denkt dat de enige juiste versie van uw wachtwoord de exacte hoofdletters en letters / symbolen-reeks is die u gebruikt, loopt u mogelijk een schok. Facebook accepteert kleine variaties op je wachtwoord, voor jouw gemak. En het is volkomen veilig.
Wachtwoorden zijn gemakkelijk te typeren
Facebook en andere sites zoals deze hebben een probleem. Ze willen dat je lange en gecompliceerde wachtwoorden gebruikt, maar die zijn moeilijk te typen. U zou een wachtwoordbeheerder moeten gebruiken om dat voor u te regelen, maar de meeste mensen niet. En vanwege deze twee factoren is het gebruikelijk om uw wachtwoord verkeerd te typen.
Op dat moment zou Facebook het moeten doen?
Moeten ze je toegang weigeren alleen omdat je wachtwoord een beetje uit was, en je frustreren met een tweede poging? Of moeten ze erkennen dat het opgegeven wachtwoord waarschijnlijk correct was, maar met een typefout en maak je je reis naar gifs en babyfoto's gladder door de fout te negeren?
Facebook evalueert fouten in wachtwoorden
Zoals Alec Muffet, een voormalige software-engineer voor het beveiligingsinfrastructuurteam op Facebook Engineering in Londen, uitlegt, koos Facebook voor de laatste. Als uw wachtwoord bijna in orde is, kunnen ze het als correct beschouwen. De regels hiervoor zijn eenvoudig. Facebook accepteert een onjuist wachtwoord als het aan een van deze voorwaarden voldoet:
- U hebt caps lock ingeschakeld en de hoofdletters zijn omgekeerd.
- U voert een extra teken in aan het begin of het einde van een wachtwoord
- Het eerste karakter van het wachtwoord moet in kleine letters zijn, maar u hebt het met hoofdletters getypt
Zoals u kunt zien, zijn deze variaties allemaal gecentreerd rond het basisconcept van het missen van uw wachtwoord tijdens het typen. In sommige gevallen kan dit een kwestie van autocorrectie zijn, zoals de eerste letter van een woord dat met een hoofdletter wordt geschreven. Als uw verkeerd getypt wachtwoord voldoet aan deze specifieke regels, weet u niet dat er een probleem was: u bent gewoon aangemeld.
Laten we zeggen dat uw wachtwoord "letMeIn" is. Facebook accepteert ook "LETmEiN" (omdat dat een recht-toe-recht-aan caps lock-reversal is) en "LetMeIn" (omdat dit onjuist kapitaal is voor de eerste letter). Het accepteert ook variaties zoals "1letMeIn" en "letMeIn2" omdat die juist zijn, behalve voor een extra teken aan het begin of het einde. Het accepteert echter helemaal geen "LETMEIN", "letmein" of "12LetMeIn".
Dit proces is nog steeds beveiligd
Seasontime / ShutterstockOp het eerste gezicht is het wachtwoord van Facebook mild onveilig. Maar in dit geval is de waarheid ingewikkelder. Hoewel het gemakkelijk is om oude hacker-misdaaddrama's te bedenken die in een paar minuten snel brute force-gissingen bij een wachtwoord suggereerden, werkt hacking helemaal niet zo. Er bestaan brute dwingende onbekende wachtwoorden, maar het is heel anders dan op tv wordt gesuggereerd. Zoals xkcd aantoont, neemt de tijd om te kraken toe naarmate de lengte van een wachtwoord toeneemt, ook exponentieel. Complexiteit toevoegen helpt, maar niet zoveel als je zou denken.
Dus een van de scenario's die Facebook toestaat, een extra karakter aan het begin of het einde van het wachtwoord, zou nog moeilijker tot brute kracht zijn. Hackers zouden al het juiste wachtwoord moeten hebben voordat ze het wachtwoord en een extra karakter hebben bereikt.
Van bijzonder belang is het caps lock-scenario. Ik testte dit door eerst mijn wachtwoord handmatig in te typen in Kladblok, de behuizing om te keren en dat resultaat vervolgens in Facebook te plakken. Het ontkende dat wachtwoord. Vervolgens heb ik caps lock ingeschakeld en mijn wachtwoord getypt alsof dopvergrendeling was uitgeschakeld, waardoor de behuizing werd omgekeerd. Die poging was succesvol en ik was ingelogd. Facebook controleert niet alleen wat het wachtwoord is, maar ook hoe je het invoert. Brute Force zal niet helpen in dat scenario, in plaats van het simuleren van Caps Lock, wat moeilijker zou zijn dan alleen te streven naar het echte wachtwoord.
Bijwerken: Zoals informatiebeveiligingsconsulent Paul Moore aangeeft op Twitter, bewaart Facebook waarschijnlijk alleen je originele wachtwoord (goed gehasht en gezouten) en niet de variaties van je wachtwoord. Wanneer u een wachtwoord verzendt om u aan te melden, wordt dit vergeleken met uw oorspronkelijke wachtwoord. Als het niet overeenkomt, wordt het door jou verzonden wachtwoord beheerd via deze varianten. Als uw Caps Lock bijvoorbeeld is ingeschakeld, neemt Facebook uw verzonden wachtwoord, keert het hoofdlettergebruik van de letters om en probeert het opnieuw. Als dat niet werkt, probeert Facebook opnieuw met het volgende scenario. In wezen doet Facebook wat u zou hebben gedaan bij het verkrijgen van een "verkeerd wachtwoord" -bericht - controleren op een onopzettelijke fout in het getypte wachtwoord en corrigeren. Dat maakt het hele proces voor u minder frustrerend. Dit vermindert de beveiliging niet, omdat er nog steeds een idee is van het juiste wachtwoord en de geaccepteerde varianten smal zijn.
Nog belangrijker is dat brute force-methoden niet de primaire methode zijn om toegang te krijgen tot sociale netwerken en andere accounts. Social engineering en wachtwoorddumps zijn veel eenvoudiger in gebruik. Als u vragen heeft over het opnieuw instellen van uw wachtwoord, is er een goede kans dat ten minste een deel van de antwoorden openbaar toegankelijke informatie is. Als je resetvraag gaat over je geboorteplaats, moeders meisjesnaam of middelbare school mascotte, dan is het mogelijk om het antwoord te volgen. Op dat moment kan een slechte acteur je wachtwoord opnieuw instellen, waardoor het nodig is om het wachtwoord zelf volledig te raden of te bepalen.
Helaas gebruiken veel mensen nog steeds dezelfde combinatie van e-mail en wachtwoord op elke site waarvoor inloggegevens nodig zijn. U hoeft niet ver te zoeken om een instantie te vinden na het optreden van datalekken. Als u dezelfde combinatie van e-mail en wachtwoord op meerdere locaties gebruikt en dit al jarenlang doet, zijn uw wachtwoorden de kwetsbaarheid, niet het beleid van Facebook.
Als u niet zeker weet of u het slachtoffer bent geworden van een overtreding, gaat u naar haveibeenpwned.com en controleert u of uw wachtwoord is gestolen. De kans is groot dat je op zijn minst ergens een account hebt gehad dat ergens is gecompromitteerd.
Je moet altijd je accounts beveiligen
Nicescene / Shutterstock.comAls je nog steeds bang bent dat dit beleid je kwetsbaar maakt, zijn er stappen die je kunt nemen. De eerste stap is om te stoppen met het gebruik van hetzelfde wachtwoord voor elke site. Koop in plaats daarvan een wachtwoordbeheerder en laat deze unieke lange wachtwoorden genereren voor elke verschillende site die u gebruikt. Dan, de volgende keer dat je ziet dat een website die je hebt gebruikt in gevaar is gebracht, kun je dat ene wachtwoord wijzigen en je veilig voelen wetende dat dit bekende wachtwoord de hackers geen goed doet.
Nadat u uw wachtwoorden hebt verhard, schakelt u verificatie op basis van twee factoren in op elke site die deze biedt. Facebook biedt twee-factor-authenticatie, dus je zou het daar ook moeten instellen. De beste twee-factorenauthenticatie is afhankelijk van een app op uw smartphone die regelmatig een nieuwe code genereert of een fysieke sleutel die u bijhoudt. Hoewel op sms gebaseerde tweefactorauthenticatie beter is dan niets, is het nog steeds kwetsbaar voor technieken voor social engineering. Dus als u kunt vertrouwen op een authenticatie-app of een fysieke sleutel, zou u dat moeten doen. En zorg voor een back-up voor het geval er iets gebeurt met uw telefoon of sleutel.
Met deze combinatie is uw account veel veiliger, ongeacht het wachtwoordbeleid van Facebook. U moet op zijn minst een wachtwoordbeheerder en unieke wachtwoorden gebruiken, maar het gebruik ervan in combinatie met tweefactorauthenticatie is beter.
Geen paniek; Geniet van het gemak
Wat betreft het wachtwoordbeleid van Facebook, maak je je gemakkelijk zorgen dat het minder veilig is, maar de realiteit is dat de voordelen opwegen tegen de risico's. Beveiliging is een evenwichtsoefening. Hoe meer u een systeem vergrendelt, hoe minder handig het is om toegang te krijgen. Maar als u meer gemakkelijke toegang toevoegt, verliest u de beveiliging. De truc is om de juiste hoeveelheden van beide te krijgen om uw gebruikers te beschermen zonder ze te frustreren. Facebook vergiste zich hier aan de kant van het gebruikersgemak, en dat is waarschijnlijk een acceptabele beslissing.