Es mag überraschend sein, aber Facebook akzeptiert leichte Abweichungen von Ihrem Passwort, um Ihnen das Einloggen zu erleichtern. Dies geschieht, ohne die Sicherheit zu beeinträchtigen, selbst wenn Sie annehmen, dass nur die exakte Kombination aus Groß-/Kleinschreibung, Buchstaben und Symbolen gültig ist.
Passwörter und die Schwierigkeit der korrekten Eingabe
Webseiten wie Facebook stehen vor einem Dilemma: Einerseits wünschen sie sich, dass Benutzer lange, komplexe Passwörter verwenden. Andererseits sind solche Passwörter schwer einzugeben. Obwohl Passwortmanager eine Lösung darstellen, nutzen die meisten Benutzer diese nicht. Dies führt dazu, dass Passwörter häufig falsch eingegeben werden.
Was sollte Facebook in so einer Situation tun?
Sollten sie den Zugang verwehren, nur weil das Passwort geringfügig abweicht, und den Benutzer zu einem zweiten Versuch zwingen? Oder sollten sie erkennen, dass das eingegebene Passwort wahrscheinlich richtig ist, aber einen Tippfehler enthält, und den Zugang ermöglichen, indem sie den Fehler tolerieren?
Wie Facebook Passwortfehler behandelt
Alec Muffet, ein ehemaliger Software-Ingenieur im Sicherheitsteam von Facebook, erklärt, dass Facebook sich für die zweite Option entschieden hat. Wenn Ihr Passwort beinahe korrekt ist, wird es möglicherweise als richtig gewertet. Facebook akzeptiert ein Passwort auch dann, wenn:
- Die Feststelltaste aktiviert ist und die Groß-/Kleinschreibung umgekehrt wurde.
- Ein zusätzliches Zeichen am Anfang oder Ende des Passworts eingefügt wurde.
- Der erste Buchstabe des Passworts fälschlicherweise großgeschrieben wurde.
Diese Variationen berücksichtigen die Tatsache, dass Passwörter leicht falsch getippt werden können. Dies kann auch durch Autokorrektur verursacht werden, wenn beispielsweise der erste Buchstabe eines Wortes automatisch großgeschrieben wird. Wenn Ihr falsch eingegebenes Passwort diese Regeln erfüllt, werden Sie sich unbemerkt einloggen.
Ein Beispiel: Wenn Ihr Passwort „letMeIn“ lautet, akzeptiert Facebook auch „LETmEiN“ (wegen der umgekehrten Groß-/Kleinschreibung) und „LetMeIn“ (wegen der falschen Großschreibung des ersten Buchstabens). Variationen wie „1letMeIn“ und „letMeIn2“ sind ebenfalls zulässig, da sie bis auf ein zusätzliches Zeichen korrekt sind. Allerdings werden „LETMEIN“, „letmein“ oder „12LetMeIn“ nicht akzeptiert.
Sicherheitsaspekte dieser Vorgehensweise
Auf den ersten Blick mag Facebooks Nachsicht mit Passwörtern unsicher erscheinen, aber die Realität ist komplexer. Die Vorstellung, dass Passwörter mit Brute-Force-Methoden schnell erraten werden können, entspricht nicht der Realität. Zwar gibt es Brute-Force-Angriffe, aber diese unterscheiden sich stark von dem, was in Filmen gezeigt wird. Wie xkcd aufzeigt, steigt die Zeit, die zum Knacken eines Passworts benötigt wird, mit zunehmender Länge exponentiell. Komplexität hilft, aber nicht so viel, wie man vielleicht denkt.
Das Hinzufügen eines zusätzlichen Zeichens am Anfang oder Ende eines Passworts erschwert Brute-Force-Angriffe zusätzlich, da Hacker zuerst das korrekte Passwort kennen müssten.
Besonders interessant ist das Caps-Lock-Szenario. Ein Test zeigte, dass Facebook ein Passwort verweigerte, wenn die Groß-/Kleinschreibung nachträglich geändert wurde. Wenn das Passwort jedoch direkt mit aktivierter Feststelltaste eingegeben wurde, war der Login erfolgreich. Facebook analysiert also nicht nur das Passwort selbst, sondern auch die Art der Eingabe. Brute-Force-Methoden sind hier nicht hilfreich, da sie auch die Feststelltaste simulieren müssten, was aufwändiger wäre, als das eigentliche Passwort anzugreifen.
Wie der Informationssicherheitsexperte Paul Moore auf Twitter bemerkt, speichert Facebook wahrscheinlich nur das ursprüngliche Passwort (gehasht und gesalzen) und nicht die Variationen. Beim Login wird das eingegebene Passwort zunächst mit dem Original verglichen. Bei einer Abweichung wendet Facebook verschiedene Anpassungen an (z.B. Umkehrung der Groß-/Kleinschreibung bei aktivierter Feststelltaste) und versucht es erneut. Dies ist vergleichbar mit dem, was Benutzer tun würden, wenn sie eine „Falsches Passwort“-Meldung erhalten – nach möglichen Tippfehlern suchen und diese korrigieren. Dieser Ansatz macht den Anmeldeprozess komfortabler, ohne die Sicherheit zu beeinträchtigen, da weiterhin eine gewisse Korrektheit des Passworts erforderlich ist und die akzeptierten Abweichungen begrenzt sind.
Es ist wichtig zu betonen, dass Brute-Force-Methoden nicht die Hauptmethode für den Zugriff auf Konten in sozialen Netzwerken sind. Social Engineering und Passwort-Dumps sind wesentlich einfacher zu nutzen. Bei Fragen zur Passwortwiederherstellung sind oft öffentlich zugängliche Informationen gefragt, wie Geburtsort, Mädchenname der Mutter oder das Highschool-Maskottchen. Diese Informationen können Angreifer nutzen, um das Passwort zurückzusetzen.
Leider verwenden viele Benutzer dieselbe E-Mail- und Passwortkombination für verschiedene Websites. Wenn dies auf Sie zutrifft und Sie dies schon seit Jahren tun, sind Ihre Passwörter die Schwachstelle, nicht die Richtlinien von Facebook.
Um zu überprüfen, ob Ihre Daten von einem Datenleck betroffen sind, besuchen Sie haveibeenpwned.com. Es ist möglich, dass mindestens eines Ihrer Konten kompromittiert wurde.
Sicherheitsmaßnahmen für Ihre Konten
Wenn Sie Bedenken wegen dieser Richtlinie haben, können Sie einige Schritte unternehmen. Verwenden Sie zunächst nicht für jede Website dasselbe Passwort. Verwenden Sie stattdessen einen Passwortmanager, um für jede Ihrer Webseiten einzigartige, lange Passwörter zu generieren. So können Sie im Falle eines Datenlecks das kompromittierte Passwort ändern, ohne dass sich dies auf andere Konten auswirkt.
Aktivieren Sie nach dem Härten Ihrer Passwörter die Zwei-Faktor-Authentifizierung (2FA) auf allen Webseiten, die dies anbieten. Auch Facebook bietet 2FA an. Die beste Form der 2FA basiert auf einer Smartphone-App oder einem physischen Sicherheitsschlüssel. SMS-basierte 2FA ist zwar besser als keine, aber anfälliger für Social Engineering. Es ist daher ratsam, eine Authenticator-App oder einen physischen Schlüssel zu verwenden und ein Backup für den Fall zu haben, dass etwas mit Ihrem Telefon oder Schlüssel passiert.
Mit dieser Kombination sind Ihre Konten deutlich sicherer, unabhängig von den Passwortrichtlinien von Facebook. Ein Passwortmanager und eindeutige Passwörter sind ein Muss, in Kombination mit 2FA sind sie noch besser.
Keine Panik, sondern den Komfort genießen
Die Passwortrichtlinie von Facebook mag Anlass zur Sorge geben, dass sie die Sicherheit beeinträchtigt, aber die Vorteile überwiegen die Risiken. Sicherheit und Komfort stehen oft im Widerspruch zueinander. Je sicherer ein System ist, desto unkomfortabler ist der Zugriff. Facebook hat sich hier für einen gewissen Komfort entschieden, was wahrscheinlich eine akzeptable Entscheidung ist.