Wenn Sie der Meinung sind, dass die einzig richtige Version Ihres Passworts die genaue Groß- und Kleinschreibung und die von Ihnen verwendete Buchstaben- / Symbolfolge ist, sind Sie möglicherweise in einem Schockzustand. Facebook akzeptiert geringfügige Änderungen Ihres Passworts. Und es ist absolut sicher.
Passwörter sind leicht zu tippen
Facebook und andere ähnliche Websites haben ein Problem. Sie möchten, dass Sie lange und komplizierte Passwörter verwenden, aber diese sind schwer einzugeben. Sie sollten einen Passwort-Manager verwenden, um dies für Sie zu erledigen, aber die meisten Leute tun dies nicht. Und aufgrund dieser beiden Faktoren ist es üblich, dass Sie Ihr Passwort falsch eingeben.
Was sollte Facebook an diesem Punkt tun?
Sollten sie Ihnen die Einreise verweigern, nur weil Ihr Passwort leicht falsch war, und Sie mit einem zweiten Versuch frustrieren? Oder sollten sie erkennen, dass das angegebene Passwort wahrscheinlich korrekt war, aber mit einem Tippfehler, und Ihre Reise zu Katzen-Gifs und Babybildern glätten, indem sie den Fehler ignorieren?
Facebook bewertet Fehler in Passwörtern
Wie Alec Muffet, erklärt ein ehemaliger Softwareentwickler für das Sicherheitsinfrastruktur-Team von Facebook Engineering in London, Facebook habe sich für Letzteres entschieden. Wenn Ihr Passwort sehr nahe an der Korrektur liegt, wird es möglicherweise als korrekt gewertet. Die Regeln hierfür sind unkompliziert. Facebook akzeptiert ein falsches Passwort, wenn es eine der folgenden Bedingungen erfüllt:
- Sie haben die Feststelltaste aktiviert und die Großschreibung wird umgekehrt.
- Sie geben ein zusätzliches Zeichen am Anfang oder Ende eines Passworts ein
- Das erste Zeichen des Passworts sollte klein geschrieben sein, aber Sie haben es groß geschrieben
Wie Sie sehen können, konzentrieren sich diese Variationen alle auf das Grundkonzept, dass Sie Ihr Passwort beim Tippen leicht verfehlen. In einigen Fällen kann dies ein Problem der Autokorrektur sein, z. B. wenn der erste Buchstabe eines Wortes groß geschrieben wird. Wenn Ihr falsch eingegebenes Passwort diesen spezifischen Regeln entspricht, wissen Sie nicht, dass ein Problem aufgetreten ist. Sie sind lediglich angemeldet.
Angenommen, Ihr Passwort lautet «letMeIn». Facebook akzeptiert auch «LETmEiN» (weil dies eine direkte Umkehrung der Feststelltaste ist) und «LetMeIn» (weil dies ein falsches Großbuchstaben für den ersten Buchstaben ist). Es werden auch Variationen wie «1letMeIn» und «letMeIn2» akzeptiert, da diese bis auf ein zusätzliches Zeichen am Anfang oder Ende korrekt sind. «LETMEIN», «letmein» oder «12LetMeIn» werden jedoch überhaupt nicht akzeptiert.
Dieser Prozess ist immer noch sicher
Seezeit / Shutterstock
Auf den ersten Blick klingt die Passwort-Nachsicht von Facebook unsicher. In diesem Fall ist die Wahrheit jedoch komplizierter. Während es leicht ist, an alte Hacker-Krimis zu denken, in denen in nur wenigen Minuten schnell ein Passwort erraten wurde, funktioniert das Hacken überhaupt nicht so. Es gibt zwar brutales Erzwingen unbekannter Passwörter, aber es unterscheidet sich sehr vom Fernsehen. Wie xkcd demonstriert berühmtWenn die Länge eines Passworts zunimmt, nimmt auch die Zeit zum Knacken exponentiell zu. Das Hinzufügen von Komplexität hilft, aber nicht so viel, wie Sie vielleicht denken.
Eines der Szenarien, die Facebook zulässt, ein zusätzliches Zeichen am Anfang oder am Ende des Passworts, wäre noch schwerer zu erzwingen. Hacker müssten bereits das richtige Passwort haben, bevor sie es zum Passwort plus einem zusätzlichen Zeichen schaffen.
Von besonderem Interesse ist das Feststelltasten-Szenario. Ich habe dies getestet, indem ich zuerst mein Passwort manuell in den Editor eingegeben, die Groß- und Kleinschreibung umgekehrt und dieses Ergebnis dann in Facebook eingefügt habe. Dieses Passwort wurde abgelehnt. Dann schaltete ich die Feststelltaste ein und tippte mein Passwort ein, als ob die Feststelltaste deaktiviert wäre, wodurch der Fall umgekehrt wurde. Dieser Versuch war erfolgreich und ich wurde angemeldet. Facebook überprüft nicht nur das Passwort, sondern auch, wie Sie es eingeben. Brute Force hilft in diesem Szenario nicht, abgesehen von der Simulation der Feststelltaste, was schwieriger wäre, als nur das eigentliche Passwort anzustreben.
: Wie der Informationssicherheitsberater Paul Moore betont TwitterFacebook speichert wahrscheinlich nur Ihr ursprüngliches Passwort (richtig gehasht und gesalzen) und nicht die Variationen Ihres Passworts. Wenn Sie ein Kennwort zur Anmeldung eingeben, wird es mit Ihrem ursprünglichen Kennwort verglichen. Wenn es nicht übereinstimmt, führt Facebook Ihr übermitteltes Passwort durch diese Variationen aus. Wenn beispielsweise die Feststelltaste aktiviert ist, nimmt Facebook Ihr übermitteltes Passwort entgegen, kehrt die Großschreibung der Buchstaben um und versucht es erneut. Wenn das nicht funktioniert, versucht Facebook es mit dem nächsten Szenario erneut. Im Wesentlichen tut Facebook das, was Sie getan hätten, wenn Sie eine Meldung mit dem Titel «Falsches Passwort» erhalten hätten: Überprüfen Sie das eingegebene Passwort auf einen versehentlichen Fehler und korrigieren Sie es. Das macht den gesamten Prozess für Sie weniger frustrierend. Dies verringert die Sicherheit nicht, da immer noch eine Vorstellung vom richtigen Passwort erforderlich ist und die akzeptierten Variationen eng sind.
Noch wichtiger ist, dass Brute-Force-Methoden nicht die primäre Methode sind, um Zugriff auf soziale Netzwerke und andere Konten zu erhalten. Social Engineering und Passwort-Dumps sind viel einfacher zu verwenden. Wenn Sie Fragen zum Zurücksetzen des Passworts haben, besteht eine gute Chance, dass zumindest einige der Antworten öffentlich zugängliche Informationen sind. Wenn sich Ihre Frage zum Zurücksetzen auf Ihren Geburtsort, den Mädchennamen der Mutter oder das Maskottchen der High School bezieht, können Sie die Antwort aufspüren. Zu diesem Zeitpunkt kann ein schlechter Akteur Ihr Passwort zurücksetzen, sodass Sie das Passwort selbst nicht erraten oder bestimmen müssen.
Leider verwenden viele Benutzer an jedem Standort, für den Anmeldeinformationen erforderlich sind, immer noch dieselbe E-Mail- und Kennwortkombination. Sie müssen nicht lange suchen, um Instanzen nach Instanzen von Datenverletzungen zu finden. Wenn Sie dieselbe E-Mail- und Kennwortkombination an mehreren Orten verwenden und dies schon seit Jahren, sind Ihre Kennwörter die Sicherheitsanfälligkeit und nicht die Richtlinien von Facebook.
Wenn Sie nicht sicher sind, ob Sie Opfer eines Verstoßes geworden sind, gehen Sie zu haveibeenpwned.com und überprüfen Sie, ob Ihr Passwort gestohlen wurde. Möglicherweise wurde zumindest ein Konto irgendwo kompromittiert.
Sie sollten Ihre Konten immer sichern
Nicescene / Shutterstock.com
Wenn Sie immer noch befürchten, dass diese Richtlinie Sie verwundbar macht, können Sie Maßnahmen ergreifen. Der erste Schritt besteht darin, nicht mehr für jede Site dasselbe Kennwort zu verwenden. Besorgen Sie sich stattdessen einen Passwort-Manager und lassen Sie ihn eindeutige lange Passwörter für jede andere Site generieren, die Sie verwenden. Wenn Sie dann das nächste Mal feststellen, dass eine von Ihnen verwendete Website kompromittiert wurde, können Sie nur dieses eine Passwort ändern und sich sicher fühlen, dass dieses eine bekannte Passwort den Hackern nichts nützt.
Aktivieren Sie nach dem Härten Ihrer Kennwörter die Zwei-Faktor-Authentifizierung an jeder Site, die sie anbietet. Facebook bietet eine Zwei-Faktor-Authentifizierung an, daher sollten Sie diese auch dort einrichten. Die beste Zwei-Faktor-Authentifizierung basiert auf einer App mit Ihrem Smartphone, die häufig einen neuen Code generiert, oder einem physischen Schlüssel, den Sie bei sich behalten. Die SMS-basierte Zwei-Faktor-Authentifizierung ist zwar besser als nichts, aber dennoch anfällig für Social-Engineering-Techniken. Wenn Sie sich also auf eine Authentifizierungs-App oder einen physischen Schlüssel verlassen können, sollten Sie dies tun. Und haben Sie ein Backup für den Fall, dass etwas mit Ihrem Telefon oder Schlüssel passiert.
Mit dieser Kombination ist Ihr Konto unabhängig von den Passwortrichtlinien von Facebook weitaus sicherer. Sie sollten mindestens einen Kennwortmanager und eindeutige Kennwörter verwenden. Die Verwendung dieser Kennwörter in Kombination mit der Zwei-Faktor-Authentifizierung ist jedoch besser.
Keine Panik; Genießen Sie die Bequemlichkeit
Was die Passwortrichtlinie von Facebook betrifft, ist es leicht zu befürchten, dass sie weniger sicher ist, aber die Realität ist, dass die Vorteile die Risiken überwiegen. Sicherheit ist ein Balanceakt. Je mehr Sie ein System sperren, desto weniger bequem ist der Zugriff darauf. Wenn Sie jedoch einen bequemeren Zugriff hinzufügen, verlieren Sie die Sicherheit. Der Trick besteht darin, die richtigen Mengen von beiden zu erhalten, um Ihre Benutzer zu schützen, ohne sie zu frustrieren. Facebook hat sich hier auf der Seite der Benutzerfreundlichkeit geirrt, und das ist wahrscheinlich eine akzeptable Entscheidung.