Als u denkt dat de enige juiste versie van uw wachtwoord het exacte hoofdlettergebruik en de letter- / symboolreeks is die u gebruikt, kunt u in shock zijn. Facebook accepteert voor uw gemak kleine variaties in uw wachtwoord. En het is volkomen veilig.
Wachtwoorden zijn gemakkelijk verkeerd te typen
Facebook en andere soortgelijke sites hebben een probleem. Ze willen dat je lange en ingewikkelde wachtwoorden gebruikt, maar die zijn moeilijk te typen. U zou een wachtwoordbeheerder moeten gebruiken om dat voor u te regelen, maar de meeste mensen doen dat niet. En vanwege deze twee factoren is het gebruikelijk om uw wachtwoord verkeerd in te typen.
Wat moet Facebook op dat moment doen?
Moeten ze u de toegang weigeren alleen omdat uw wachtwoord een beetje verkeerd was, en u frustreren met een tweede poging? Of moeten ze erkennen dat het verstrekte wachtwoord waarschijnlijk correct was, maar met een typefout en uw reis naar katten-gifs en babyfoto’s vergemakkelijken door de fout te negeren?
Facebook evalueert fouten in wachtwoorden
Zoals Alec Muffet, een voormalig software-engineer voor het beveiligingsinfrastructuurteam van Facebook Engineering in Londen, uitlegt, koos Facebook voor het laatste. Als uw wachtwoord bijna correct is, kunnen ze het als nauwkeurig beschouwen. De regels hiervoor zijn duidelijk. Facebook accepteert een onjuist wachtwoord als het aan een van deze voorwaarden voldoet:
- U heeft caps lock ingeschakeld en de hoofdletters zijn omgekeerd.
- U voert een extra teken in aan het begin of einde van een wachtwoord
- Het eerste teken van het wachtwoord moet een kleine letter zijn, maar u hebt het in hoofdletters getypt
Zoals u kunt zien, zijn deze variaties allemaal gecentreerd rond het basisconcept van het enigszins missen van uw wachtwoord tijdens het typen. In sommige gevallen kan dit een kwestie van autocorrectie zijn, zoals de eerste letter van een woord dat met een hoofdletter wordt geschreven. Als uw verkeerd getypte wachtwoord aan deze specifieke regels voldoet, weet u niet dat er een probleem was – u merkt gewoon dat u bent ingelogd.
Stel dat uw wachtwoord ‘letMeIn’ is. Facebook accepteert ook “LETmEiN” (omdat dat een regelrechte caps lock-omkering is) en “LetMeIn” (omdat dat een onjuist hoofdletter is voor de eerste letter). Het accepteert ook variaties zoals “1letMeIn” en “letMeIn2” omdat deze correct zijn, behalve een extra teken aan het begin of einde. Het accepteert echter helemaal geen “LETMEIN”, “letmein” of “12LetMeIn”.
Dit proces is nog steeds beveiligd
Op het eerste gezicht klinkt de soepelheid van Facebook’s wachtwoord onzeker. Maar in dit geval is de waarheid ingewikkelder. Hoewel het gemakkelijk is om oude hacker-misdaaddrama’s te bedenken die lieten zien dat snel brute kracht in slechts enkele minuten naar een wachtwoord gokte, werkt hacken helemaal niet op die manier. Het bruut forceren van onbekende wachtwoorden bestaat wel, maar het is heel anders dan tv impliceert. Zoals xkcd op beroemde wijze aantoont, neemt de tijd om het wachtwoord te kraken exponentieel toe naarmate de lengte van een wachtwoord toeneemt. Complexiteit toevoegen helpt, maar niet zoveel als u misschien denkt.
Dus een van de scenario’s die Facebook toestaat, een extra teken aan het begin of het einde van het wachtwoord, zou nog moeilijker te bruut zijn. Hackers moeten al het juiste wachtwoord hebben voordat ze het wachtwoord plus een extra teken hebben bereikt.
Van bijzonder belang is het caps lock-scenario. Ik heb dit getest door eerst mijn wachtwoord handmatig in kladblok te typen, de zaak om te draaien en dat resultaat vervolgens in Facebook te plakken. Het heeft dat wachtwoord geweigerd. Ik heb toen caps lock ingeschakeld en mijn wachtwoord getypt alsof cap lock was uitgeschakeld, waardoor de zaak omgedraaid was. Die poging was succesvol, en ik was ingelogd. Facebook controleert niet alleen wat het wachtwoord is, maar ook hoe je het invoert. Brute Force zal in dat scenario niet helpen, behalve het simuleren van caps lock, wat moeilijker zou zijn dan alleen naar het daadwerkelijke wachtwoord te streven.
Bijwerken: Zoals informatiebeveiligingsadviseur Paul Moore opmerkt Twitter, Slaat Facebook waarschijnlijk alleen uw originele wachtwoord op (correct gehasht en gezouten) en niet de variaties van uw wachtwoord. Wanneer u een wachtwoord opgeeft om in te loggen, wordt het vergeleken met uw oorspronkelijke wachtwoord. Als het niet overeenkomt, voert Facebook uw opgegeven wachtwoord door deze variaties uit. Als uw Caps Lock bijvoorbeeld is ingeschakeld, neemt Facebook het door u opgegeven wachtwoord over, keert het hoofdlettergebruik van de letters om en probeert het opnieuw. Als dat niet werkt, probeert Facebook het opnieuw met het volgende scenario. In wezen doet Facebook wat u zou hebben gedaan als u een bericht met een ‘verkeerd wachtwoord’ krijgt – controleren op een onbedoelde fout in het getypte wachtwoord en het corrigeren. Dat maakt het hele proces voor jou minder frustrerend. Dit doet niets af aan de beveiliging, omdat er nog steeds een idee van het juiste wachtwoord nodig is en de geaccepteerde variaties beperkt zijn.
Wat nog belangrijker is, brute force-methoden zijn niet de primaire methode om toegang te krijgen tot sociale netwerken en andere accounts. Social engineering en wachtwoorddumps zijn veel eenvoudiger te gebruiken. Als u vragen heeft over het opnieuw instellen van uw wachtwoord, is de kans groot dat ten minste enkele van de antwoorden openbaar toegankelijke informatie zijn. Als je resetvraag gaat over je geboorteplaats, de meisjesnaam van je moeder of de mascotte van de middelbare school, dan is het mogelijk om het antwoord op te sporen. Op dat moment kan een slechterik uw wachtwoord opnieuw instellen, waardoor het niet nodig is om het wachtwoord zelf te raden of te bepalen.
Helaas gebruiken veel mensen nog steeds dezelfde combinatie van e-mailadres en wachtwoord op elke site waarvoor inloggegevens nodig zijn. U hoeft niet ver te zoeken om bijvoorbeeld datalekken te vinden. Als je dezelfde combinatie van e-mail en wachtwoord op meer dan één plaats gebruikt, en dat al jaren doet, dan zijn je wachtwoorden de kwetsbaarheid, niet het beleid van Facebook.
Als u niet zeker weet of u het slachtoffer bent geworden van een inbreuk, ga dan naar haveibeenpwned.com en controleer of uw wachtwoord is gestolen. De kans is groot dat er ergens een account is gehackt.
U moet uw accounts altijd beveiligen
Als u zich nog steeds zorgen maakt dat dit beleid u kwetsbaar maakt, zijn er stappen die u kunt nemen. De eerste stap is om te stoppen met het gebruik van hetzelfde wachtwoord voor elke site. Schaf in plaats daarvan een wachtwoordbeheerder aan en laat deze unieke lange wachtwoorden genereren voor elke verschillende site die u gebruikt. De volgende keer dat u ziet dat een website die u gebruikt is gecompromitteerd, kunt u alleen dat ene wachtwoord wijzigen en u gerust voelen wetende dat dit ene bekende wachtwoord de hackers geen goed zal doen.
Nadat u uw wachtwoorden heeft verhard, schakelt u tweefactorauthenticatie in op elke site die dit aanbiedt. Facebook biedt wel tweefactorauthenticatie, dus u moet het daar ook instellen. De beste tweefactorauthenticatie is afhankelijk van een app met uw smartphone die regelmatig een nieuwe code genereert of een fysieke sleutel die u bij u houdt. Hoewel sms-gebaseerde tweefactorauthenticatie beter is dan niets, is het nog steeds kwetsbaar voor social engineering-technieken. Dus als u kunt vertrouwen op een authenticator-app of een fysieke sleutel, zou u dat moeten doen. En zorg voor een back-up voor het geval er iets gebeurt met uw telefoon of sleutel.
Met deze combinatie is uw account veel veiliger, ongeacht het wachtwoordbeleid van Facebook. U moet op zijn minst een wachtwoordbeheerder en unieke wachtwoorden gebruiken, maar deze gebruiken in combinatie met tweefactorauthenticatie is beter.
Geen paniek; Geniet van het gemak
Wat het wachtwoordbeleid van Facebook betreft, het is gemakkelijk om je zorgen te maken dat het minder veilig is, maar de realiteit is dat de voordelen opwegen tegen de risico’s. Veiligheid is een evenwichtsoefening. Hoe meer u een systeem vergrendelt, hoe minder gemakkelijk het is om toegang te krijgen. Maar als u gemakkelijkere toegang toevoegt, verliest u de beveiliging. De truc is om de juiste hoeveelheden van beide te krijgen om uw gebruikers te beschermen zonder ze te frustreren. Facebook vergiste zich hier aan de kant van gebruikersgemak, en dat is waarschijnlijk een acceptabele beslissing.
