Startseite » wie man » Facebook verfälscht Ihr Passwort für Ihre Bequemlichkeit

    Facebook verfälscht Ihr Passwort für Ihre Bequemlichkeit

    Wenn Sie der Meinung sind, dass die einzige korrekte Version Ihres Kennworts die genaue Großschreibung und die Buchstaben- / Symbolfolge ist, die Sie verwenden, kann dies zu einem Schock führen. Facebook akzeptiert geringfügige Änderungen Ihres Passworts. Und es ist absolut sicher.

    Kennwörter sind leicht zu verwechseln

    Facebook und andere Websites haben ein Problem. Sie möchten, dass Sie lange und komplizierte Passwörter verwenden, die jedoch schwer einzugeben sind. Sie sollten einen Passwort-Manager verwenden, um das für Sie zu erledigen, aber die meisten Leute tun dies nicht. Und aus diesen beiden Gründen ist es üblich, Ihr Passwort falsch einzugeben.

    An diesem Punkt, was soll Facebook tun??

    Sollten sie Ihnen die Eingabe verweigern, nur weil Ihr Passwort etwas falsch war, und Sie mit einem zweiten Versuch frustrieren? Oder sollten sie erkennen, dass das bereitgestellte Passwort wahrscheinlich korrekt war, jedoch mit einem Tippfehler, und Sie den Weg zu Katzen-Gifs und Babybildern glattstellen, indem Sie den Fehler ignorieren?

    Facebook wertet Fehler in Kennwörtern aus

    Wie Alec Muffet, ein ehemaliger Software-Ingenieur für das Sicherheitsinfrastruktur-Team von Facebook Engineering in London, erklärt, hat sich Facebook für letzteres entschieden. Wenn Ihr Passwort sehr nahe an der richtigen Stelle liegt, wird es möglicherweise als korrekt eingestuft. Die Regeln dafür sind unkompliziert. Facebook akzeptiert ein falsches Passwort, wenn eine der folgenden Bedingungen erfüllt ist:

    • Sie haben die Feststelltaste aktiviert und die Großbuchstaben werden storniert.
    • Sie geben ein zusätzliches Zeichen am Anfang oder Ende eines Passworts ein
    • Das erste Zeichen des Passworts sollte aus Kleinbuchstaben bestehen, aber Sie haben es in Großbuchstaben eingegeben

    Wie Sie sehen, konzentrieren sich alle diese Variationen auf das grundlegende Konzept, dass Sie Ihr Kennwort beim Tippen etwas verpassen. In einigen Fällen kann dies ein Problem der Autokorrektur sein, z. B. wenn der erste Buchstabe eines Wortes großgeschrieben wird. Wenn Ihr falsches Kennwort diese spezifischen Regeln erfüllt, wissen Sie nicht, dass ein Problem aufgetreten ist.

    Nehmen wir zum Beispiel an, Ihr Passwort lautet "letMeIn". Facebook akzeptiert auch "LETmEiN" (da dies eine direkte Umkehrung der Feststelltaste ist) und "LetMeIn" (weil das falsche Anfangsbuchstaben ist). Es werden auch Variationen wie "1letMeIn" und "letMeIn2" akzeptiert, da diese bis auf ein zusätzliches Zeichen am Anfang oder Ende korrekt sind. "LETMEIN", "letmein" oder "12LetMeIn" werden jedoch nicht akzeptiert.

    Dieser Prozess ist immer noch sicher

    Seasontime / Shutterstock

    Auf den ersten Blick erscheint Facebooks Passwortnachsicht unsicher. In diesem Fall ist die Wahrheit jedoch komplizierter. Während man sich leicht an alte Hacker-Krimis erinnern kann, die in wenigen Minuten ein schnelles Bestechen des Passworts zeigten, funktioniert Hacking überhaupt nicht so. Es gibt zwar Brute, das unbekannte Passwörter erzwingt, aber es unterscheidet sich stark von TV. Wie xkcd bekanntlich beweist, steigt die Zeit für das Cracken mit zunehmender Länge eines Kennworts auch exponentiell. Das Hinzufügen von Komplexität hilft, aber nicht so sehr, wie Sie vielleicht denken.

    Ein Szenario, das Facebook erlaubt, ein zusätzliches Zeichen am Anfang oder am Ende des Passworts, wäre noch schwerer zu erzwingen. Hacker müssten bereits das richtige Kennwort haben, bevor sie das Kennwort und ein zusätzliches Zeichen eingegeben haben.

    Von besonderem Interesse ist das Caps-Lock-Szenario. Ich testete dies, indem ich mein Passwort zuerst manuell in den Notizblock eingab, den Fall umkehrte und dann das Ergebnis in Facebook einfügte. Es hat dieses Passwort verweigert. Dann habe ich die Feststelltaste aktiviert und mein Passwort so eingegeben, als wäre die Feststelltaste deaktiviert, wodurch der Fall umgekehrt wurde. Dieser Versuch war erfolgreich und ich war angemeldet. Facebook überprüft nicht nur das Passwort, sondern auch die Eingabe. Brute Force hilft in diesem Szenario nicht, es sei denn, Sie simulieren die Feststelltaste, was schwieriger wäre, als nur das eigentliche Passwort anzustreben.

    AktualisierenWie der Informationssicherheitsberater Paul Moore auf Twitter feststellt, speichert Facebook höchstwahrscheinlich nur Ihr ursprüngliches Kennwort (ordnungsgemäß gehasht und gesalzen) und nicht die Variationen Ihres Kennworts. Wenn Sie zum Anmelden ein Kennwort eingeben, wird dieses mit Ihrem ursprünglichen Kennwort geprüft. Wenn dies nicht der Fall ist, verwendet Facebook Ihr Passwort durch diese Variationen. Wenn beispielsweise die Feststelltaste aktiviert ist, übernimmt Facebook Ihr eingegebenes Passwort, macht die Großschreibung der Buchstaben rückgängig und versucht es erneut. Wenn das nicht funktioniert, versucht Facebook das nächste Szenario erneut. Im Wesentlichen tut Facebook das, was Sie getan hätten, wenn Sie ein falsches Passwort erhalten und nach einem versehentlichen Fehler des eingegebenen Passworts suchen und es korrigieren. Das macht den gesamten Prozess für Sie weniger frustrierend. Die Sicherheit wird dadurch nicht beeinträchtigt, da immer noch eine Idee des richtigen Passworts benötigt wird und die akzeptierten Variationen eng sind.

    Noch wichtiger ist, dass Brute-Force-Methoden nicht die primäre Methode sind, um Zugang zu sozialen Netzwerken und anderen Konten zu erhalten. Social Engineering und Passwort-Dumps sind viel einfacher zu verwenden. Wenn Sie Fragen zum Zurücksetzen des Kennworts haben, besteht eine gute Chance, dass mindestens einige der Antworten öffentlich zugänglich sind. Wenn es sich bei Ihrer Reset-Frage um Ihren Geburtsort, den Mädchennamen der Mutter oder das Maskottchen der High School handelt, können Sie die Antwort aufspüren. An diesem Punkt kann ein böser Schauspieler Ihr Passwort zurücksetzen, wodurch erraten oder erraten werden muss, ob das Passwort selbst vollständig ist.

    Leider verwenden viele Benutzer immer noch dieselbe E-Mail- und Kennwortkombination an jeder Site, für die Anmeldeinformationen erforderlich sind. Sie müssen nicht weit nach Instanzen von Verstößen suchen. Wenn Sie dieselbe E-Mail- und Passwortkombination an mehreren Stellen verwenden und dies seit Jahren ist, sind Ihre Passwörter die Sicherheitsanfälligkeit, nicht die Richtlinien von Facebook.

    Wenn Sie nicht sicher sind, ob Sie Opfer eines Verstoßes geworden sind, gehen Sie zu haveibeenpwned.com und prüfen Sie, ob Ihr Passwort gestohlen wurde. Die Chancen stehen gut, dass Sie irgendwo irgendeinen Account kompromittiert haben.

    Sie sollten Ihre Konten immer sichern

    Nicescene / Shutterstock.com

    Wenn Sie sich immer noch Sorgen machen, dass diese Richtlinie Sie anfällig macht, gibt es Schritte, die Sie ergreifen können. Der erste Schritt besteht darin, nicht mehr dasselbe Passwort für jede Site zu verwenden. Besorgen Sie sich stattdessen einen Passwort-Manager, der für jede von Ihnen verwendete Site eindeutige lange Passwörter generiert. Wenn Sie das nächste Mal sehen, dass eine von Ihnen verwendete Website gefährdet ist, können Sie nur dieses eine Passwort ändern und sich sicher fühlen, dass dieses bekannte Passwort den Hackern nichts nützt.

    Nachdem Sie Ihre Kennwörter abgesichert haben, aktivieren Sie die Zwei-Faktor-Authentifizierung an jedem Standort, der dies bietet. Facebook bietet eine Zwei-Faktor-Authentifizierung, daher sollten Sie sie auch dort einrichten. Die beste Zwei-Faktor-Authentifizierung basiert auf einer App mit Ihrem Smartphone, die häufig einen neuen Code generiert oder einen physischen Schlüssel, den Sie bei sich behalten. SMS-basierte Zwei-Faktor-Authentifizierung ist zwar besser als nichts und dennoch anfällig für Social-Engineering-Techniken. Wenn Sie sich also auf eine Authentifizierungs-App oder einen physischen Schlüssel verlassen können, sollten Sie dies tun. Und haben Sie ein Backup für den Fall, dass mit Ihrem Telefon oder Ihrer Schlüssel etwas passiert.

    Mit dieser Kombination ist Ihr Konto ungeachtet der Passwortrichtlinien von Facebook weitaus sicherer. Sie sollten zumindest einen Passwort-Manager und eindeutige Passwörter verwenden. Die Verwendung dieser Passwörter in Kombination mit der Zwei-Faktor-Authentifizierung ist jedoch besser.

    Keine Panik Genieße die Bequemlichkeit

    Bei der Passwortrichtlinie von Facebook ist es leicht zu befürchten, dass sie weniger sicher ist. Die Realität ist jedoch, dass die Vorteile die Risiken überwiegen. Sicherheit ist ein Spagat. Je mehr Sie ein System sperren, desto unbequemer ist der Zugriff. Wenn Sie jedoch einen bequemeren Zugriff hinzufügen, verlieren Sie die Sicherheit. Der Trick besteht darin, die richtige Menge von beiden zu erhalten, um Ihre Benutzer zu schützen, ohne sie zu frustrieren. Facebook hat sich in Bezug auf die Benutzerfreundlichkeit als fehlerhaft erwiesen, und dies ist wahrscheinlich eine akzeptable Entscheidung.