Facebook Memalsukan Kata Sandi Anda untuk Kenyamanan Anda
Jika menurut Anda satu-satunya versi kata sandi yang benar adalah huruf besar dan urutan huruf / simbol yang Anda gunakan, Anda mungkin akan terkejut. Facebook akan menerima sedikit variasi kata sandi Anda, untuk kenyamanan Anda. Dan itu sangat aman.
Kata Sandi Mudah Terjadi Kesalahan
Facebook dan situs lain seperti itu punya masalah. Mereka ingin Anda menggunakan kata sandi yang panjang dan rumit, tetapi sulit untuk mengetik. Anda harus menggunakan pengelola kata sandi untuk mengatasinya, tetapi kebanyakan orang tidak. Dan karena kedua faktor itu, sering terjadi kesalahan ketik kata sandi Anda.
Pada titik itu apa yang harus dilakukan Facebook?
Haruskah mereka menolak Anda masuk hanya karena kata sandi Anda sedikit tidak aktif, dan membuat Anda frustrasi dengan upaya kedua? Atau haruskah mereka mengenali bahwa kata sandi yang diberikan mungkin benar tetapi dengan kesalahan ketik dan memperlancar perjalanan Anda ke gif kucing dan foto bayi dengan mengabaikan kesalahan?
Facebook Mengevaluasi Kesalahan dalam Kata Sandi
Seperti yang dijelaskan Alec Muffet, mantan insinyur perangkat lunak untuk tim infrastruktur keamanan di Facebook Engineering di London, Facebook memilih yang terakhir. Jika kata sandi Anda hampir benar, mereka mungkin menganggapnya akurat. Aturan untuk ini sangat mudah. Facebook akan menerima kata sandi yang salah jika memenuhi salah satu dari kondisi berikut:
- Anda telah mengaktifkan caps lock, dan huruf besar terbalik.
- Anda memasukkan karakter tambahan di awal atau akhir kata sandi
- Karakter pertama kata sandi harus berupa huruf kecil, tetapi Anda mengetiknya dengan huruf besar
Seperti yang Anda lihat, variasi-variasi ini semuanya berpusat di sekitar konsep dasar tentang sedikit kehilangan kata sandi saat mengetik. Dalam beberapa kasus, ini mungkin masalah koreksi otomatis, seperti huruf pertama dari kata yang ditulis dengan huruf besar. Jika kata sandi salah ketik Anda memenuhi aturan khusus ini, Anda tidak akan tahu ada masalah-Anda hanya akan menemukan diri Anda masuk.
Sebagai contoh, katakanlah kata sandi Anda adalah "letMeIn." Facebook juga akan menerima "LETmEiN" (karena itu adalah pembalikan kunci huruf langsung) dan "LetMeIn" (karena itu modal yang salah untuk huruf pertama). Ini juga akan menerima variasi seperti "1letMeIn" dan "letMeIn2" karena itu benar kecuali untuk karakter tambahan di awal atau akhir. Namun, ia tidak akan menerima "LETMEIN", "letmein", atau "12LetMeIn" sama sekali.
Proses Ini Masih Aman
Seasontime / ShutterstockPada awalnya, lenience kata sandi Facebook terdengar tidak aman. Tetapi dalam kasus ini, kebenarannya lebih rumit. Meskipun mudah untuk memikirkan drama kriminal peretasan yang menunjukkan brute force dengan cepat menebak kata sandi hanya dalam beberapa menit, peretasan tidak bekerja seperti itu sama sekali. Brute memaksa kata sandi yang tidak dikenal memang ada, tetapi sangat berbeda dari yang tersirat oleh TV. Seperti yang ditunjukkan oleh xkcd, seiring meningkatnya panjang kata sandi, waktu untuk memecahkannya juga meningkat secara eksponensial. Menambahkan kompleksitas membantu, tetapi tidak sebanyak yang Anda kira.
Jadi salah satu skenario yang memungkinkan Facebook, karakter tambahan di awal atau di akhir kata sandi, akan lebih sulit untuk di paksa. Peretas sudah harus memiliki kata sandi yang benar sebelum mereka membuatnya ke kata sandi plus karakter tambahan.
Yang menarik adalah skenario caps lock. Saya mengujinya dengan terlebih dahulu mengetikkan kata sandi secara manual ke notepad, membalik koper, lalu menempelkan hasilnya ke Facebook. Itu membantah kata sandi itu. Saya kemudian menyalakan caps lock dan mengetik kata sandi saya seolah-olah caps lock tidak aktif, sehingga membalik kasing. Upaya itu berhasil, dan saya masuk. Facebook tidak hanya memeriksa apa kata sandinya tetapi bagaimana Anda memasukkannya. Brute Force tidak akan membantu dalam skenario itu, pendek mensimulasikan caps lock, yang akan lebih sulit daripada hanya bertujuan untuk kata sandi yang sebenarnya.
Memperbarui: Seperti yang ditunjukkan oleh konsultan keamanan informasi Paul Moore di Twitter, Facebook kemungkinan besar hanya menyimpan kata sandi asli Anda (hash dan salin yang benar) dan bukan variasi kata sandi Anda. Ketika Anda mengirimkan kata sandi untuk login, itu dicocokkan dengan kata sandi asli Anda. Jika tidak cocok, Facebook menjalankan kata sandi yang Anda kirim melalui variasi ini. Misalnya, jika Caps Lock Anda aktif, Facebook akan mengambil kata sandi yang Anda kirimkan, membalikkan huruf besar huruf, dan mencoba lagi. Jika itu tidak berhasil, Facebook mencoba lagi dengan skenario berikutnya. Pada dasarnya, Facebook melakukan apa yang akan Anda lakukan setelah mendapatkan pesan "kata sandi salah" untuk memeriksa kesalahan tak sengaja pada kata sandi yang diketik dan memperbaikinya. Itu membuat seluruh proses tidak membuat Anda frustrasi. Ini tidak mengurangi keamanan, karena beberapa gagasan tentang kata sandi yang benar masih diperlukan dan variasi yang diterima sempit.
Lebih penting lagi, metode brute force bukan metode utama untuk mendapatkan akses ke jejaring sosial dan akun lainnya. Rekayasa sosial dan dump kata sandi jauh lebih mudah digunakan. Jika Anda memiliki pertanyaan setel ulang kata sandi, ada peluang yang layak setidaknya beberapa jawaban adalah informasi yang dapat diakses publik. Jika pertanyaan reset Anda adalah tentang tempat kelahiran Anda, nama gadis ibu, atau maskot sekolah menengah, maka mungkin untuk melacak jawabannya. Pada saat itu, aktor yang buruk dapat mengatur ulang kata sandi Anda, membuat kebutuhan untuk menebak atau menentukan kata sandi itu sendiri sepenuhnya diperdebatkan.
Sayangnya, banyak orang masih menggunakan kombinasi email dan kata sandi yang sama di setiap situs yang memerlukan kredensial login. Anda tidak perlu melihat jauh untuk menemukan contoh setelah contoh pelanggaran data. Jika Anda menggunakan kombinasi email dan kata sandi yang sama di lebih dari satu tempat, dan telah bertahun-tahun, maka kata sandi Anda adalah kerentanan, bukan kebijakan Facebook..
Jika Anda tidak yakin apakah Anda telah menjadi korban pelanggaran, buka haveibeenpwned.com dan periksa untuk melihat apakah kata sandi Anda telah dicuri. Kemungkinan Anda memiliki setidaknya beberapa akun dikompromikan di suatu tempat.
Anda Harus Selalu Mengamankan Akun Anda
Nicescene / Shutterstock.comJika Anda masih khawatir kebijakan ini membuat Anda rentan, ada beberapa langkah yang dapat Anda ambil. Langkah pertama adalah berhenti menggunakan kata sandi yang sama untuk setiap situs. Alih-alih, dapatkan pengelola kata sandi dan biarkan itu menghasilkan kata sandi panjang unik untuk setiap situs berbeda yang Anda gunakan. Kemudian, lain kali Anda melihat bahwa situs web yang Anda gunakan telah dikompromikan, Anda dapat mengubah satu kata sandi itu saja dan merasa aman mengetahui bahwa kata sandi yang dikenal ini tidak akan berguna bagi peretas..
Setelah Anda mengeraskan kata sandi, nyalakan otentikasi dua faktor di situs mana pun yang menawarkannya. Facebook memang menawarkan otentikasi dua faktor, jadi Anda juga harus mengaturnya di sana. Otentikasi dua faktor terbaik bergantung pada aplikasi dengan ponsel cerdas Anda yang sering membuat kode baru atau kunci fisik yang Anda simpan. Meskipun otentikasi dua faktor berbasis SMS lebih baik daripada tidak sama sekali, otentikasi masih rentan terhadap teknik rekayasa sosial. Jadi, jika Anda dapat mengandalkan aplikasi autentikator atau kunci fisik, Anda harus melakukannya. Dan siapkan cadangan jika terjadi sesuatu dengan ponsel atau kunci Anda.
Dengan kombinasi ini, akun Anda jauh lebih aman terlepas dari kebijakan kata sandi Facebook. Paling tidak Anda harus menggunakan pengelola kata sandi dan kata sandi unik, tetapi menggunakan kata sandi yang dikombinasikan dengan otentikasi dua faktor lebih baik.
Jangan Panik; Nikmati Kenyamanan
Adapun kebijakan kata sandi Facebook, mudah untuk khawatir bahwa itu kurang aman, tetapi kenyataannya adalah manfaatnya lebih besar daripada risikonya. Keamanan adalah tindakan penyeimbang. Semakin Anda mengunci suatu sistem, semakin tidak nyaman untuk mengaksesnya. Tetapi saat Anda menambahkan akses yang lebih nyaman, Anda kehilangan keamanan. Triknya adalah mendapatkan jumlah yang tepat dari keduanya untuk melindungi pengguna Anda tanpa membuat mereka frustrasi. Facebook salah karena kemudahan pengguna di sini, dan itu mungkin keputusan yang bisa diterima.