Jika menurut Anda satu-satunya versi yang benar dari kata sandi Anda adalah huruf besar dan urutan huruf / simbol yang Anda gunakan, Anda mungkin akan terkejut. Facebook akan menerima sedikit variasi dari kata sandi Anda, demi kenyamanan Anda. Dan itu sangat aman.
Kata Sandi Mudah Salah Ketik
Facebook dan situs lain seperti itu punya masalah. Mereka ingin Anda menggunakan sandi yang panjang dan rumit, tetapi sulit untuk diketik. Anda harus menggunakan pengelola kata sandi untuk mengurusnya untuk Anda, tetapi kebanyakan orang tidak. Dan karena kedua faktor tersebut, sering terjadi kesalahan ketik sandi Anda.
Pada titik itu, apa yang harus dilakukan Facebook?
Haruskah mereka menolak Anda masuk hanya karena sandi Anda salah, dan membuat Anda frustrasi dengan upaya kedua? Atau haruskah mereka menyadari bahwa kata sandi yang diberikan kemungkinan besar benar tetapi dengan kesalahan ketik dan memperlancar perjalanan Anda ke gif kucing dan gambar bayi dengan mengabaikan kesalahan?
Facebook Mengevaluasi Kesalahan dalam Kata Sandi
Sebagai Alec Muffet , mantan insinyur perangkat lunak untuk tim infrastruktur keamanan di Facebook Engineering di London menjelaskan, Facebook memilih yang terakhir. Jika kata sandi Anda hampir benar, mereka mungkin menganggapnya akurat. Aturan untuk ini sangat mudah. Facebook akan menerima kata sandi yang salah jika memenuhi salah satu dari kondisi berikut:
- Anda mengaktifkan caps lock, dan kapitalisasi dibalik.
- Anda memasukkan karakter tambahan di awal atau akhir kata sandi
- Karakter pertama kata sandi harus huruf kecil, tetapi Anda mengetiknya dengan huruf besar
Seperti yang Anda lihat, semua variasi ini berpusat di sekitar konsep dasar sedikit kehilangan kata sandi Anda saat mengetik. Dalam beberapa kasus, ini mungkin masalah koreksi otomatis, seperti huruf pertama dari kata yang dikapitalisasi. Jika sandi Anda yang salah ketik memenuhi aturan khusus ini, Anda tidak akan tahu ada masalah — Anda hanya akan menemukan diri Anda masuk.
Misalnya, sandi Anda adalah "letMeIn". Facebook juga akan menerima "LETmEiN" (karena itu adalah pembalikan caps lock langsung) dan "LetMeIn" (karena itu adalah huruf besar yang salah untuk huruf pertama). Ini juga akan menerima variasi seperti "1letMeIn" dan "letMeIn2" karena keduanya benar kecuali untuk karakter tambahan di awal atau akhir. Namun, itu tidak akan menerima "LETMEIN", "letmein", atau "12LetMeIn" sama sekali.
Proses Ini Masih Aman
Sekilas, kelonggaran sandi Facebook terdengar tidak aman. Tapi dalam kasus ini, kebenarannya lebih rumit. Meskipun mudah untuk membayangkan drama kejahatan peretas lama yang menunjukkan kekuatan brutal yang cepat menebak sandi hanya dalam beberapa menit, peretasan tidak bekerja seperti itu sama sekali. Brute memaksa sandi yang tidak dikenal memang ada, tetapi ini sangat berbeda dari yang disiratkan TV. Sebagai xkcd mendemonstrasikan terkenal , seiring bertambahnya panjang kata sandi, waktu untuk memecahkannya juga meningkat secara eksponensial. Menambahkan kompleksitas membantu, tetapi tidak sebanyak yang Anda kira.
Jadi salah satu skenario yang diizinkan Facebook, karakter tambahan di awal atau akhir kata sandi, akan lebih sulit untuk dilakukan secara brutal. Peretas harus memiliki kata sandi yang benar sebelum mereka membuat kata sandi plus karakter tambahan.
Yang menarik adalah skenario caps lock. Saya menguji ini dengan terlebih dahulu mengetikkan kata sandi saya secara manual ke dalam notepad, membalikkan kasing, lalu menempelkan hasilnya ke Facebook. Itu menyangkal kata sandi itu. Saya kemudian mengaktifkan caps lock dan mengetikkan kata sandi saya seolah-olah cap lock tidak aktif, sehingga membalikkan kasus. Upaya itu berhasil, dan saya masuk. Facebook tidak hanya memeriksa apa kata sandinya tetapi bagaimana Anda memasukkannya. Brute Force tidak akan membantu dalam skenario itu, selain simulasi caps lock, yang akan lebih sulit daripada hanya membidik sandi yang sebenarnya.
Update : Seperti yang ditunjukkan oleh konsultan keamanan informasi Paul Moore Indonesia , Facebook kemungkinan besar hanya menyimpan kata sandi asli Anda (di-hash dan diasinkan dengan benar) dan bukan variasi kata sandi Anda. Ketika Anda mengirimkan kata sandi untuk masuk, itu diperiksa dengan kata sandi asli Anda. Jika tidak cocok, Facebook menjalankan sandi yang Anda kirimkan melalui variasi ini. Misalnya, jika Caps Lock Anda aktif, Facebook mengambil kata sandi yang Anda kirimkan, membalik kapitalisasi huruf, dan mencoba lagi. Jika tidak berhasil, Facebook mencoba lagi dengan skenario berikutnya. Pada dasarnya, Facebook melakukan apa yang akan Anda lakukan setelah mendapatkan pesan "kata sandi salah" — memeriksa kesalahan yang tidak disengaja dalam kata sandi yang diketik dan memperbaikinya. Itu membuat seluruh proses tidak terlalu membuat Anda frustrasi. Ini tidak menurunkan keamanan, karena beberapa gagasan tentang sandi yang benar masih diperlukan dan variasi yang diterima sempit.
Lebih penting lagi, metode brute force bukanlah metode utama untuk mendapatkan akses ke jejaring sosial dan akun lain. Rekayasa sosial dan dump kata sandi jauh lebih mudah digunakan. Jika Anda memiliki pertanyaan penyetelan ulang sandi, ada kemungkinan besar setidaknya beberapa jawaban adalah informasi yang dapat diakses publik. Jika pertanyaan setel ulang Anda adalah tentang tempat lahir Anda, nama gadis ibu, atau maskot sekolah menengah, maka Anda dapat melacak jawabannya. Pada saat itu, pelaku kejahatan dapat mengatur ulang kata sandi Anda, membuat kebutuhan untuk menebak atau menentukan kata sandi itu sendiri sepenuhnya diperdebatkan.
Sayangnya, banyak orang masih menggunakan kombinasi email dan kata sandi yang sama di setiap situs yang membutuhkan kredensial login. Anda tidak perlu mencari jauh-jauh untuk menemukan contoh setelah contoh dari pelanggaran data . Jika Anda menggunakan kombinasi email dan sandi yang sama di lebih dari satu tempat, dan telah bertahun-tahun, sandi Anda adalah yang paling rentan, bukan kebijakan Facebook.
Jika Anda tidak yakin apakah Anda telah menjadi korban suatu pelanggaran, buka haveibeenpwned.com dan periksa apakah file kata sandi telah dicuri . Kemungkinan Anda pernah memiliki setidaknya beberapa akun yang disusupi di suatu tempat.
Anda Harus Selalu Mengamankan Akun Anda
Jika Anda masih khawatir bahwa kebijakan ini membuat Anda rentan, ada beberapa langkah yang dapat Anda ambil. Langkah pertama adalah berhenti menggunakan kata sandi yang sama untuk setiap situs. Sebaliknya, dapatkan file pengelola kata sandi dan biarkan menghasilkan sandi panjang yang unik untuk setiap situs berbeda yang Anda gunakan. Kemudian, pada saat Anda melihat bahwa situs web yang Anda gunakan telah disusupi, Anda dapat mengubah hanya satu kata sandi itu dan merasa aman mengetahui bahwa kata sandi yang dikenal ini tidak akan berguna bagi peretas.
Setelah Anda memperkuat kata sandi Anda, aktifkan otentikasi dua faktor di situs mana pun yang menawarkannya. Facebook memang menawarkan otentikasi dua faktor, jadi Anda harus mengaturnya di sana juga. Otentikasi dua faktor terbaik bergantung pada aplikasi dengan ponsel cerdas Anda yang sering menghasilkan kode baru atau kunci fisik yang Anda simpan. Sedangkan otentikasi dua faktor berbasis SMS lebih baik daripada tidak sama sekali , itu masih rentan terhadap teknik manipulasi psikologis. Jadi, jika Anda dapat mengandalkan aplikasi pengautentikasi atau kunci fisik, Anda harus melakukannya. Dan punya cadangan di tempat seandainya terjadi sesuatu dengan ponsel atau kunci Anda.
Dengan kombinasi ini, akun Anda jauh lebih aman terlepas dari kebijakan sandi Facebook. Anda setidaknya harus menggunakan pengelola kata sandi dan kata sandi unik, tetapi menggunakan yang dikombinasikan dengan otentikasi dua faktor lebih baik.
Jangan Panik; Nikmati Kenyamanannya
Mengenai kebijakan sandi Facebook, mudah untuk khawatir karena kurang aman, tetapi kenyataannya manfaatnya lebih besar daripada risikonya. Keamanan adalah tindakan penyeimbangan. Semakin Anda mengunci suatu sistem, semakin kurang nyaman untuk diakses. Namun saat Anda menambahkan akses yang lebih nyaman, Anda kehilangan keamanan. Triknya adalah mendapatkan jumlah yang tepat dari keduanya untuk melindungi pengguna Anda tanpa membuat mereka frustrasi. Facebook salah dalam sisi kemudahan pengguna di sini, dan itu mungkin keputusan yang dapat diterima.
