Hvis du tror, at den eneste korrekte version af din adgangskode er den nøjagtige brug af store bogstaver og bogstaver/symbolsekvenser, kan du være i et chok. Facebook accepterer små variationer af din adgangskode for din bekvemmelighed. Og det er helt sikkert.
Indholdsfortegnelse
Adgangskoder er nemme at skrive forkert
Facebook og andre lignende sider har et problem. De vil gerne have, at du bruger lange og komplicerede adgangskoder, men de er svære at skrive. Du bør bruge en adgangskodeadministrator til at tage sig af det for dig, men de fleste mennesker gør det ikke. Og på grund af disse to faktorer er det almindeligt at indtaste din adgangskode forkert.
Hvad skal Facebook gøre på det tidspunkt?
Skulle de nægte dig adgang, bare fordi din adgangskode var en smule slået fra, og frustrere dig med et andet forsøg? Eller skal de erkende, at den angivne adgangskode sandsynligvis var korrekt, men med en tastefejl og glatte din rejse til katte-gifs og babybilleder ved at ignorere fejlen?
Facebook vurderer fejl i adgangskoder
Som Alec Muffet, forklarer en tidligere softwareingeniør for sikkerhedsinfrastrukturteamet hos Facebook Engineering i London, Facebook valgte sidstnævnte. Hvis din adgangskode er meget tæt på korrekt, kan de tælle den som nøjagtig. Reglerne for dette er ligetil. Facebook vil acceptere en forkert adgangskode, hvis den opfylder nogen af disse betingelser:
Du har slået caps lock til, og store bogstaver er omvendt.
Du indtaster et ekstra tegn i begyndelsen eller slutningen af en adgangskode
Det første tegn i adgangskoden skal være små bogstaver, men du har skrevet det med stort
Som du kan se, er disse variationer alle centreret omkring det grundlæggende koncept med at mangle din adgangskode lidt, når du skriver. I nogle tilfælde kan dette være et problem med autokorrektur, som f.eks. det første bogstav i et ord med stort. Hvis din forkert indtastede adgangskode opfylder disse specifikke regler, vil du ikke vide, at der var et problem – du vil blot finde dig selv logget ind.
Lad os f.eks. sige, at din adgangskode er “letMeIn”. Facebook vil også acceptere “LETmEiN” (fordi det er en direkte caps lock-vending) og “LetMeIn” (fordi det er forkert stort for det første bogstav). Det vil også acceptere variationer som “1letMeIn” og “letMeIn2”, fordi de er korrekte bortset fra et ekstra tegn i begyndelsen eller slutningen. Den accepterer dog slet ikke “LETMEIN”, “letmein” eller “12LetMeIn”.
Denne proces er stadig sikker
Ved første rødme lyder Facebooks adgangskodelempelighed usikker. Men i dette tilfælde er sandheden mere kompliceret. Selvom det er let at tænke på gamle hacker-krimidramaer, der viste hurtig brute force, der gættede på en adgangskode på få minutter, fungerer hacking slet ikke på den måde. Brute forcering af ukendte adgangskoder findes, men det er meget anderledes, end TV antyder. Som xkcd demonstrerer berømt, efterhånden som længden af en adgangskode øges, øges tiden til at knække den også eksponentielt. Tilføjelse af kompleksitet hjælper, men ikke så meget, som du måske tror.
Så et af de scenarier, som Facebook tillader, et ekstra tegn i begyndelsen eller slutningen af adgangskoden, ville være endnu sværere at brute force. Hackere skulle allerede have den korrekte adgangskode, før de kom til adgangskoden plus et ekstra tegn.
Af særlig interesse er caps lock-scenariet. Jeg testede dette ved først manuelt at indtaste min adgangskode i notesblok, vende sagen og derefter indsætte resultatet på Facebook. Den nægtede adgangskoden. Jeg tændte derefter caps lock og skrev min adgangskode, som om cap lock var slået fra, og vendte dermed sagen. Det forsøg lykkedes, og jeg var logget ind. Facebook tjekker ikke kun, hvad adgangskoden er, men hvordan du indtaster den. Brute Force hjælper ikke i det scenarie, undtagen at simulere caps lock, hvilket ville være sværere end blot at sigte efter den faktiske adgangskode.
Opdatering: Som informationssikkerhedskonsulent Paul Moore påpeger Twitter, Facebook gemmer sandsynligvis kun din originale adgangskode (korrekt hashed og saltet) og ikke variationerne af din adgangskode. Når du indsender en adgangskode for at logge ind, tjekkes den mod din oprindelige adgangskode. Hvis det ikke matcher, kører Facebook din indsendte adgangskode gennem disse variationer. For eksempel, hvis din Caps Lock er slået til, tager Facebook din indsendte adgangskode, vender bogstaverne med store bogstaver og prøver igen. Hvis det ikke virker, prøver Facebook igen med det næste scenarie. I det væsentlige gør Facebook, hvad du ville have gjort, når du fik en “forkert adgangskode”-meddelelse – kontrollerer for en utilsigtet fejl i den indtastede adgangskode og retter den. Det gør hele processen mindre frustrerende for dig. Dette mindsker ikke sikkerheden, fordi der stadig er behov for en ide om den korrekte adgangskode, og de accepterede variationer er snævre.
Endnu vigtigere er brute force-metoder ikke den primære metode til at få adgang til sociale netværk og andre konti. Social engineering og adgangskodedumps er meget nemmere at bruge. Hvis du har spørgsmål til nulstilling af adgangskode, er der en god chance for, at i det mindste nogle af svarene er offentligt tilgængelige oplysninger. Hvis dit nulstillingsspørgsmål handler om dit fødested, din mors pigenavn eller gymnasiets maskot, så er det muligt at spore svaret. På det tidspunkt kan en dårlig skuespiller nulstille din adgangskode, hvilket gør ethvert behov for at gætte eller bestemme selve adgangskoden fuldstændig uvidende.
Desværre bruger mange mennesker stadig den samme e-mail- og adgangskodekombination på alle websteder, der kræver login-legitimationsoplysninger. Du behøver ikke lede langt for at finde tilfælde efter tilfælde af databrud. Hvis du bruger den samme e-mail- og adgangskodekombination mere end ét sted og har været det i årevis, så er dine adgangskoder sårbarheden, ikke Facebooks politikker.
Hvis du ikke er sikker på, om du har været udsat for et brud, skal du gå til haveibeenpwned.com og tjek om din adgangskode er blevet stjålet. Chancerne er, at du i det mindste har haft en eller anden konto kompromitteret et eller andet sted.
Du bør altid sikre dine konti
Hvis du stadig er bekymret for, at denne politik efterlader dig sårbar, er der trin, du kan tage. Det første skridt er at stoppe med at bruge den samme adgangskode for hvert websted. I stedet skal du få en adgangskodeadministrator og lade den generere unikke lange adgangskoder til hvert andet websted, du bruger. Så, næste gang du ser, at et websted, du brugte, er blevet kompromitteret, kan du ændre blot den ene adgangskode og føle dig tryg ved, at denne ene kendte adgangskode ikke vil gøre hackerne noget godt.
Når du hærder dine adgangskoder, skal du aktivere tofaktorgodkendelse på ethvert websted, der tilbyder det. Facebook tilbyder to-faktor-godkendelse, så du bør også konfigurere det der. Den bedste to-faktor-godkendelse er afhængig af en app med din smartphone, der genererer en ny kode ofte eller en fysisk nøgle, du har med dig. Selvom SMS-baseret to-faktor-godkendelse er bedre end ingenting, er den stadig sårbar over for social engineering-teknikker. Så hvis du kan stole på en godkendelsesapp eller en fysisk nøgle, skal du. Og hav en backup på plads, hvis der skulle ske noget med din telefon eller nøgle.
Med denne kombination er din konto langt mere sikker uanset Facebooks adgangskodepolitikker. Du bør i det mindste bruge en adgangskodemanager og unikke adgangskoder, men det er bedre at bruge dem i kombination med tofaktorautentificering.
Gå ikke i panik; Nyd bekvemmeligheden
Hvad angår Facebooks adgangskodepolitik, er det let at bekymre sig om, at det er mindre sikkert, men virkeligheden er, at fordelene opvejer risiciene. Sikkerhed er en balancegang. Jo mere du låser et system, jo mindre bekvemt er det at få adgang til det. Men efterhånden som du tilføjer mere bekvem adgang, mister du sikkerheden. Tricket er at få de rigtige mængder af begge for at beskytte dine brugere uden at frustrere dem. Facebook tog fejl på siden af brugervenligheden her, og det er nok en acceptabel beslutning.