Facebook zastąpi mailowe odzyskiwanie haseł usługą Delegated Recovery
Dotychczasowe odzyskiwanie haseł poprzez emaila mają zastąpić tokeny przechowywane przez Facebooka. Ma to ograniczyć następstwa regularnych wycieków danych. Jak działa proponowany rodzaj zabezpieczeń?
Kiepski poziom dotychczasowych zabezpieczeń
Kolejne raporty zgodnie potwierdzają, że największym zagrożeniem bezpieczeństwa w sieci są sami użytkownicy, a w szczególności ich nieostrożność w posługiwaniu się danymi oraz zamiłowanie do stosowania jednego hasła na wszystkich witrynach. W przypadku wycieku danych jednej z nich oznacza to więc zwykle narażenie wszystkich kont bez wyjątku.
Popularnym sposobem jest zresetowanie hasła i przesłanie go na adres email podany przy rejestracji. Już wkrótce może się to jednak istotnie zmienić, o czym na konferencji USENIX Enigma poinformował inżynier ds. bezpieczeństwa Facebooka, Brad Hill. Społecznościowy gigant opracował technologię wykluczającą stosowanie adresu email w procesie odzyskiwania konta.
Emaile zastąpione tokenami
Zasada działania Delegated Recovery jest dość prosta, a przy tym nieporównywalnie bezpieczniejsza od dotychczasowej. Po zarejestrowaniu się na Facebooku i stronie wspierającej usługę (pierwszą będzie Github) generujemy indywidualny token zawierający informacje o użytkowniku, usłudze, a także sygnaturę czasową.
Zostaje on zapisany na serwerze Facebooka, a w razie konieczności odzyskania dostępu do konta na stronie partnera, przywraca go właśnie za pomocą przechowywanego na Facebooku, zaszyfrowanego tokena. W podobny sposób może również działać drugi stopień autoryzacji gdy dotychczasowy (smartfon bądź token fizyczny) znajdzie się poza zasięgiem użytkownika.
Delegated Recovery poprzez HTTPS działa w przeglądarce i do pracy nie wymaga instalacji żadnych pluginów. Jako otwarte oprogramowanie technologia trafi dziś na Githuba, gdzie każdy programista będzie mógł zweryfikować jej działanie i pokusić się o znalezienie ewentualnych błędów inżynierów Facebooka.
Przed innowacją jeszcze wiele wyzwań
Nowa procedura ma spory potencjał w kwestii poprawy bezpieczeństwa internautów. W sytuacji w której wycieki danych stanowią ponury standard a edukowanie użytkowników nie przynosi efektu, może stworzyć popularny i zaufany sposób zabezpieczeń. Dużo jednak zależy od zakresu jej spopularyzowania na największych witrynach.
Istotny okaże się także odzew internautów, którzy w proponowanej usłudze mogą doszukiwać się próby centralizacji wrażliwych danych na serwerach Facebooka. Tego samego, który wielokrotnie był już oskarżany o naruszenia prywatności, a dziś występuje w jej obronie. Oby więc zamieszczony na Githubie kod okazał się naprawdę przekonujący.