Facebook zastąpi mailowe odzyskiwanie haseł usługą Delegated Recovery

Dotychczasowe odzyskiwanie haseł poprzez emaila mają zastąpić tokeny przechowywane przez Facebooka. Ma to ograniczyć następstwa regularnych wycieków danych. Jak działa proponowany rodzaj zabezpieczeń?

  1. Skąd pochodzą informacje o planach Facebooka?
  2. Na czym polega działanie Delegated Recovery?
  3. Czy to oprogramowanie o otwartym kodzie?
  4. Czy do pracy wymaga instalacji pluginów?

Kiepski poziom dotychczasowych zabezpieczeń

Kolejne raporty zgodnie potwierdzają, że największym zagrożeniem bezpieczeństwa w sieci są sami użytkownicy, a w szczególności ich nieostrożność w posługiwaniu się danymi oraz zamiłowanie do stosowania jednego hasła na wszystkich witrynach. W przypadku wycieku danych jednej z nich oznacza to więc zwykle narażenie wszystkich kont bez wyjątku.

Popularnym sposobem jest zresetowanie hasła i przesłanie go na adres email podany przy rejestracji. Już wkrótce może się to jednak istotnie zmienić, o czym na konferencji USENIX Enigma poinformował inżynier ds. bezpieczeństwa Facebooka, Brad Hill. Społecznościowy gigant opracował technologię wykluczającą stosowanie adresu email w procesie odzyskiwania konta.

Emaile zastąpione tokenami

Zasada działania Delegated Recovery jest dość prosta, a przy tym nieporównywalnie bezpieczniejsza od dotychczasowej. Po zarejestrowaniu się na Facebooku i stronie wspierającej usługę (pierwszą będzie Github) generujemy indywidualny token zawierający informacje o użytkowniku, usłudze, a także sygnaturę czasową.

Zostaje on zapisany na serwerze Facebooka, a w razie konieczności odzyskania dostępu do konta na stronie partnera, przywraca go właśnie za pomocą przechowywanego na Facebooku, zaszyfrowanego tokena. W podobny sposób może również działać drugi stopień autoryzacji gdy dotychczasowy (smartfon bądź token fizyczny) znajdzie się poza zasięgiem użytkownika.

Delegated Recovery poprzez HTTPS działa w przeglądarce i do pracy nie wymaga instalacji żadnych pluginów. Jako otwarte oprogramowanie technologia trafi dziś na Githuba, gdzie każdy programista będzie mógł zweryfikować jej działanie i pokusić się o znalezienie ewentualnych błędów inżynierów Facebooka.

Przed innowacją jeszcze wiele wyzwań

Nowa procedura ma spory potencjał w kwestii poprawy bezpieczeństwa internautów. W sytuacji w której wycieki danych stanowią ponury standard a edukowanie użytkowników nie przynosi efektu, może stworzyć popularny i zaufany sposób zabezpieczeń. Dużo jednak zależy od zakresu jej spopularyzowania na największych witrynach.

Istotny okaże się także odzew internautów, którzy w proponowanej usłudze mogą doszukiwać się próby centralizacji wrażliwych danych na serwerach Facebooka. Tego samego, który wielokrotnie był już oskarżany o naruszenia prywatności, a dziś występuje w jej obronie. Oby więc zamieszczony na Githubie kod okazał się naprawdę przekonujący.

Źródło: materiały prasowe, Facebook

Podziel się:

Przeczytaj także:

Także w kategorii Technologie:

Binairy Talk – dane zapisane w obłokach dymu. Odczytamy je laserem Życie na pokaz. W sieci udajemy zdrowych i szczęśliwych, bo zmuszają nas różne aplikacje Nietypowe zastosowania WD-40. Do czego można go wykorzystać? Unikalne hasła: zakała współczesnego internetu. Jak pozbyć się tego problemu? Jak oni podrabiają! Chińczycy skopiowali kuchenkę gazową Apple'a i... alpejski kurort Bałakława - tajna baza radzieckich okrętów podwodnych Niesamowity XC-120 Packplane: eksperymentalny samolot z lat 50. Kosmiczne technologie, których używamy na co dzień Tego używaliśmy przed internetem. Skazane na zapomnienie stare nośniki danych Cyfrowi aktorzy w filmach. Jak wyglądała droga od prostych modeli 3D do fotorealizmu? Jaki nóż wybrać? Najlepsze scyzoryki i foldery za 50, 100 i więcej złotych Tego się po Apple nie spodziewałeś. 13 nieznanych faktów Anima Kronaby: eleganckie inteligentne zegarki o 2-letnim czasie pracy na baterii Seagate obiecuje rekord: dysk HDD 16 TB już w przyszłym roku Hatsune Miku: oto przyszłość muzyki. Ta Japonka zawsze będzie miała 16 lat ZeroTech Rollcap: pierwsza kamera sportowa 4K z wbudowanym, 3-osiowym gimbalem Satechi USB-C Power Meter: elektroniczny miernik pomoże zapobiec uszkodzeniu komputera Selfly: zaskakujące połączenie drona do selfie z obudową na smartfona JeVois: inteligentny system wizyjny dla Raspberry Pi oraz Arduino Nowy, lekki Windows także dla urządzeń z procesorami ARM DACBerry ONE: zaawansowana karta dźwiękowa dla Raspberry Pi Algorytm zabijania. Skynet istnieje i dzięki big data decyduje, kogo trzeba uśmiercić Solowheel Iota: dwukołowy elektryczny pojazd nie tylko dla fanów gadżetów Mobility Trends 2016 wyłoni najlepsze produkty i usługi w branży technologicznej

Popularne w tym tygodniu:

Nietypowe zastosowania WD-40. Do czego można go wykorzystać? Życie na pokaz. W sieci udajemy zdrowych i szczęśliwych, bo zmuszają nas różne aplikacje Unikalne hasła: zakała współczesnego internetu. Jak pozbyć się tego problemu? Tego używaliśmy przed internetem. Skazane na zapomnienie stare nośniki danych Jak oni podrabiają! Chińczycy skopiowali kuchenkę gazową Apple'a i... alpejski kurort Bałakława - tajna baza radzieckich okrętów podwodnych Developerzy Microsoftu zdradzają tajemnicę datowania sterowników na 2006 rok Kosmiczne technologie, których używamy na co dzień Niesamowity XC-120 Packplane: eksperymentalny samolot z lat 50. Fast Forward Gita: inteligentny osobisty transporter zaskakuje możliwościami W dobie Internetu rzeczy hakerzy mogą zaatakować nawet przez lodówkę. Wywiad z Karoliną Małagocką z F-Secure Growler Chill: inteligentny domowy nalewak do piw kraftowych