Wenn Sie der Meinung sind, dass die einzig richtige Version Ihres Passworts die genaue Groß-/Kleinschreibung und Buchstaben-/Symbolfolge ist, die Sie verwenden, sind Sie möglicherweise schockiert. Facebook akzeptiert zu Ihrer Bequemlichkeit leichte Variationen Ihres Passworts. Und es ist absolut sicher.
Inhaltsverzeichnis
Passwörter sind leicht zu verwechseln
Facebook und ähnliche Seiten haben ein Problem. Sie möchten, dass Sie lange und komplizierte Passwörter verwenden, aber diese sind schwer einzugeben. Sie sollten einen Passwort-Manager verwenden, um das für Sie zu erledigen, aber die meisten Leute tun dies nicht. Und aufgrund dieser beiden Faktoren ist es üblich, dass Sie Ihr Passwort falsch eingeben.
Was sollte Facebook an diesem Punkt tun?
Sollten sie Ihnen den Zugang verweigern, nur weil Ihr Passwort etwas falsch war, und Sie mit einem zweiten Versuch frustrieren? Oder sollten sie erkennen, dass das bereitgestellte Passwort wahrscheinlich richtig war, aber mit einem Tippfehler, und Ihren Weg zu Katzen-Gifs und Babybildern ebnen, indem sie den Fehler ignorieren?
Facebook wertet Fehler bei Passwörtern aus
Wie Alec Muffet, ein ehemaliger Software-Ingenieur des Sicherheitsinfrastruktur-Teams bei Facebook Engineering in London, erklärt, Facebook habe sich für Letzteres entschieden. Wenn Ihr Passwort fast korrekt ist, wird es möglicherweise als richtig gewertet. Die Regeln dafür sind einfach. Facebook akzeptiert ein falsches Passwort, wenn es eine dieser Bedingungen erfüllt:
Sie haben die Feststelltaste aktiviert und die Großschreibung wird umgekehrt.
Sie geben am Anfang oder Ende eines Passworts ein zusätzliches Zeichen ein
Das erste Zeichen des Passworts sollte ein Kleinbuchstabe sein, aber Sie haben es groß geschrieben
Wie Sie sehen, konzentrieren sich diese Variationen alle auf das Grundkonzept, dass Sie Ihr Passwort beim Tippen leicht vergessen. In einigen Fällen kann dies ein Problem der Autokorrektur sein, beispielsweise wenn der erste Buchstabe eines Wortes groß geschrieben wird. Wenn Ihr falsch eingegebenes Passwort diese spezifischen Regeln erfüllt, wissen Sie nicht, dass ein Problem aufgetreten ist – Sie werden sich einfach eingeloggt finden.
Angenommen, Ihr Passwort lautet „letMeIn“. Facebook akzeptiert auch „LETmEiN“ (weil das eine direkte Capslock-Umkehrung ist) und „LetMeIn“ (weil das falsche Großbuchstaben für den ersten Buchstaben ist). Es akzeptiert auch Variationen wie „1letMeIn“ und „letMeIn2“, da diese bis auf ein zusätzliches Zeichen am Anfang oder Ende korrekt sind. Allerdings wird „LETMEIN“, „letmein“ oder „12LetMeIn“ überhaupt nicht akzeptiert.
Dieser Prozess ist immer noch sicher
Auf den ersten Blick klingt die Passwort-Nachsicht von Facebook unsicher. Aber in diesem Fall ist die Wahrheit komplizierter. Während man leicht an alte Hacker-Krimis denkt, die in wenigen Minuten ein Passwort mit Brute-Force-Methode erraten, funktioniert Hacking überhaupt nicht. Es gibt zwar Brute Forcen, die unbekannte Passwörter erzwingen, aber es ist ganz anders, als das Fernsehen andeutet. Wie xkcd demonstriert bekanntermaßen, mit zunehmender Länge eines Passworts nimmt auch die Zeit zum Knacken exponentiell zu. Das Hinzufügen von Komplexität hilft, aber nicht so viel, wie Sie vielleicht denken.
Eines der Szenarien, die Facebook zulässt, ein zusätzliches Zeichen am Anfang oder am Ende des Passworts, wäre also noch schwieriger durch Brute Force. Hacker müssten bereits das richtige Passwort haben, bevor sie das Passwort erreichen, plus ein zusätzliches Zeichen.
Von besonderem Interesse ist das Caps-Lock-Szenario. Ich testete dies, indem ich zuerst mein Passwort manuell in den Notizblock eintippte, den Fall rückgängig machte und dieses Ergebnis dann in Facebook einfügte. Es hat dieses Passwort verweigert. Ich habe dann die Feststelltaste aktiviert und mein Passwort eingegeben, als ob die Feststelltaste ausgeschaltet wäre, wodurch der Fall umgekehrt wurde. Dieser Versuch war erfolgreich und ich war eingeloggt. Facebook überprüft nicht nur das Passwort, sondern auch, wie Sie es eingeben. Brute Force wird in diesem Szenario nicht helfen, außer die Feststelltaste zu simulieren, was schwieriger wäre, als nur das eigentliche Passwort anzustreben.
Update: Wie der Informationssicherheitsberater Paul Moore aufzeigt Twitter, Facebook speichert wahrscheinlich nur Ihr ursprüngliches Passwort (richtig gehasht und gesalzen) und nicht die Variationen Ihres Passworts. Wenn Sie ein Passwort eingeben, um sich anzumelden, wird es mit Ihrem ursprünglichen Passwort verglichen. Wenn es nicht übereinstimmt, führt Facebook Ihr übermitteltes Passwort durch diese Variationen. Wenn beispielsweise Ihre Feststelltaste aktiviert ist, nimmt Facebook Ihr übermitteltes Passwort, kehrt die Großschreibung der Buchstaben um und versucht es erneut. Wenn das nicht funktioniert, versucht Facebook es mit dem nächsten Szenario erneut. Im Wesentlichen macht Facebook das, was Sie getan hätten, wenn Sie eine „falsches Passwort“-Meldung erhalten hätten – nach einem versehentlichen Fehler im eingegebenen Passwort zu suchen und es zu korrigieren. Das macht den gesamten Prozess für Sie weniger frustrierend. Dies verringert nicht die Sicherheit, da immer noch eine gewisse Vorstellung vom richtigen Passwort erforderlich ist und die akzeptierten Variationen gering sind.
Noch wichtiger ist, dass Brute-Force-Methoden nicht die primäre Methode sind, um Zugang zu sozialen Netzwerken und anderen Konten zu erhalten. Social Engineering und Passwort-Dumps sind viel einfacher zu verwenden. Wenn Sie Fragen zum Zurücksetzen des Passworts haben, besteht eine gute Chance, dass zumindest einige der Antworten öffentlich zugängliche Informationen sind. Wenn es sich bei Ihrer Reset-Frage um Ihren Geburtsort, den Mädchennamen Ihrer Mutter oder das Highschool-Maskottchen handelt, ist es möglich, die Antwort aufzuspüren. An diesem Punkt kann ein Angreifer Ihr Passwort zurücksetzen, sodass Sie das Passwort selbst nicht erraten oder bestimmen müssen.
Leider verwenden viele Leute immer noch dieselbe Kombination aus E-Mail und Passwort auf jeder Site, die Anmeldeinformationen erfordert. Sie müssen nicht lange suchen, um Instanzen von Datenschutzverletzungen zu finden. Wenn Sie dieselbe E-Mail- und Passwortkombination an mehr als einem Ort verwenden, und das schon seit Jahren, dann sind Ihre Passwörter die Schwachstelle, nicht die Richtlinien von Facebook.
Wenn Sie sich nicht sicher sind, ob Sie Opfer einer Sicherheitsverletzung geworden sind, gehen Sie zu haveibeenpwned.com und überprüfen Sie, ob Ihr Passwort gestohlen wurde. Es besteht die Möglichkeit, dass mindestens ein Konto irgendwo kompromittiert wurde.
Sie sollten Ihre Konten immer sichern
Wenn Sie immer noch befürchten, dass Sie durch diese Richtlinie angreifbar werden, können Sie einige Schritte unternehmen. Der erste Schritt besteht darin, nicht mehr für jede Site dasselbe Passwort zu verwenden. Besorgen Sie sich stattdessen einen Passwort-Manager und lassen Sie ihn für jede von Ihnen verwendete Site einzigartige lange Passwörter generieren. Wenn Sie dann das nächste Mal feststellen, dass eine von Ihnen verwendete Website kompromittiert wurde, können Sie nur dieses eine Passwort ändern und sich sicher fühlen, dass dieses eine bekannte Passwort den Hackern nichts nützt.
Nachdem Sie Ihre Passwörter gehärtet haben, aktivieren Sie die Zwei-Faktor-Authentifizierung auf jeder Site, die sie anbietet. Facebook bietet eine Zwei-Faktor-Authentifizierung an, also sollten Sie sie auch dort einrichten. Die beste Zwei-Faktor-Authentifizierung basiert auf einer App mit Ihrem Smartphone, die häufig einen neuen Code generiert, oder einem physischen Schlüssel, den Sie bei sich tragen. Obwohl die SMS-basierte Zwei-Faktor-Authentifizierung besser ist als nichts, ist sie dennoch anfällig für Social-Engineering-Techniken. Wenn Sie sich also auf eine Authentifikator-App oder einen physischen Schlüssel verlassen können, sollten Sie dies tun. Und halten Sie ein Backup bereit, falls etwas mit Ihrem Telefon oder Schlüssel passiert.
Mit dieser Kombination ist Ihr Konto unabhängig von den Passwortrichtlinien von Facebook weitaus sicherer. Sie sollten zumindest einen Passwort-Manager und eindeutige Passwörter verwenden, aber diese in Kombination mit der Zwei-Faktor-Authentifizierung zu verwenden, ist besser.
Keine Panik; Genießen Sie den Komfort
Was die Passwortrichtlinie von Facebook angeht, macht man sich leicht Sorgen, dass sie weniger sicher ist, aber in Wirklichkeit überwiegen die Vorteile die Risiken. Sicherheit ist ein Balanceakt. Je mehr Sie ein System sperren, desto weniger bequem ist der Zugriff. Wenn Sie jedoch einen bequemeren Zugriff hinzufügen, verlieren Sie die Sicherheit. Der Trick besteht darin, die richtige Menge von beiden zu erhalten, um Ihre Benutzer zu schützen, ohne sie zu frustrieren. Facebook hat sich hier in Bezug auf die Benutzerfreundlichkeit geirrt, und das ist wahrscheinlich eine akzeptable Entscheidung.