7

Odzyskiwanie utraconych danych logowania do różnych serwisów, kontem na Facebooku…

Odzyskiwanie dostępu do kont poprzez adres email, pytania bezpieczeństwa, dwuskładnikowe uwierzytelnianie, klucze szyfrujące, to wszystko mało, Facebook uważa, że potrzebujemy dodatkowych opcji, a jedną z nich ma być odzyskiwanie dostępu do utraconych kont za pomocą konta na Facebooku. Jakby absurdalnie ten pomysł nie brzmiał, jest już wdrażany w życie i testowany przez wybranych użytkowników Github.

Wybór serwisu nie jest przypadkowy, Facebook udostępnił na Github kod swojego pomysłu o nazwie DelegatedRecovery, by użytkownicy tego serwisu wyłapali ewentualne błędy w zabezpieczeniach.

Cóż to takiego? To nowy protokół, który pozwala na zapisanie tokenu odzyskiwania dostępu do współpracujących serwisów na naszym koncie na Facebooku. Token jest szyfrowany, więc Facebook nie może odczytać danych osobowych posiadacza.

Po co mi to, na co, skoro mamy dwuskładnikowe uwierzytelnianie na wielu serwisach? Otóż przedstawiciel Facebooka przekonuje dalej, że są sytuacje, kiedy stracimy dostęp do telefonu, wtedy taki sposób autoryzacji może ukrócić męki związane z odzyskaniem dostępu do konta.

Mam dwuskładnikowe uwierzytelnianie na koncie Google, autoryzuje poprzez kody z aplikacji Google Authenticator lub poprzez SMS. Rzeczywiście, po stracie telefonu jest problem, pozostaje żmudny proces odzyskiwania, odpowiedzi na pytania, poprzednie hasła, daty itp., co nie każdy pewnie pamięta. Poza tym Google zaznacza, że ze względów bezpieczeństwa może to potrwać od 3 do 5 dni roboczych.

Inżynier ds. bezpieczeństwa Brad Hill, tak reklamuje nową opcję odzyskiwania dostępu do kont:

Potrzebujemy mieć lepszy sposób na odzyskanie dostępu, używając tożsamości i usług którym ufasz, niezależnie od tego, czy jest on powiązany z adresem e-mail czy numerem telefonu. Proces ten musi być łatwy, bezpieczny i z poszanowaniem twojej prywatności.

Większość z Was pewnie teraz się tylko zaśmieje, żadne z tych słów nie pasują nam do Facebooka, ja spojrzę na to jeszcze z innego punktu widzenia. Jeśli stracę dostęp do telefonu, to jednocześnie stracę dostęp do Facebooka, gdzie mam podobny sposób logowania. Mówimy przecież o sytuacji, gdy potrzebujemy zalogować się na „obcym” urządzeniu. A zarówno Google jak i Facebook umożliwiają zapamiętanie zaufanych urządzeń, więc bez problemu zalogujemy się na swoje konta z poziomu komputera.

To naprawdę muszą być więc jakieś ekstremalne przypadki, kiedy taki sposób uwierzytelniania może być niezbędny. Poza tym trzymanie takich tokenów uwierzytelniających, nie wiem jakby nie były zabezpieczone na Facebooku, brzmi co najmniej nieodpowiedzialnie. Wiem, że Facebook chce być miejscem do wszystkiego dla swoich użytkowników, ale to już lekka przesada. Choć muszę tu przyznać, że FB ostatnio zaczyna mocniej dbać o bezpieczeństwo dostępu do kont swoich użytkowników, udostępniając na przykład możliwość logowania kluczem USB i NFC.

Niemniej opcja ta jest już dostępna od wczoraj dla ograniczonej grupy użytkowników Github, a Facebook zachęca do podobnej współpracy inne serwisy. Planują też odwrotną interakcję, czyli za pośrednictwem takich serwisów jak właśnie Github, odzyskanie dostępu do Facebooka.

Photo: maxkabakov/Depositphotos.


Niedawno uruchomiliśmy serwis z Pracą w IT! Gorąco zachęcamy do przejrzenia najnowszych ofert pracy oraz profili pracodawców

  • mirosław borubar

    Ja mam dodany drugi numer, jak jeden stracę kod przepiszę z drugiego. Najśmieszniejsze jest to: „Token jest szyfrowany, więc Facebook nie może odczytać danych osobowych posiadacza.” Rily? Na FB? Gdzie większość owieczek siedzi pod prawdziwymi danymi osobowymi? No to fakt, nie odczytają danych osobowych z tokena, wcale nie będą tej bezsensownej roboty robić bo i tak już od dawna mają te dane. A do spieniężania i indywidualnych reklam wystarczy im korelacja stron z jakich są tokeny (to nie dane osobowe, do których mówią, że nie mają dostępu) i dane które mają od siebie- osobowe. I to jest właśnie ta potrzeba, którą chcą rozbudzić wśród użytkowników, a która ma im pomóc podkręcać swoje wyniki.

    • Mam podobne przemyślenia, ciężko mi już uwierzyć w dobre intencje, widzę w tle korzyści, które z tego chcą wyciągnąć dla siebie. BTW, na Google masz drugi numer i wyskakuje Ci przy próbie odzyskania dostępu ten numer?

    • mirosław borubar

      Nie wiem, jeszcze nie miałem potrzeby sprawdzać jak to działa a i nie przyszło mi to do głowy, żeby po prostu przetestować:)

    • Spróbuj, to cenna wiedza na przyszłość:) Odpal przez incognito konto Google, sprawdź sobie do tego ekranu, co na zrzucie we wpisie.

    • Grzegorz Krycki

      Myśle, że po obowiązkowej rejestracji numeru kom, jeden wystarczy.

    • skitex

      Zarejestrowany numer można bez problemu odzyskać wyrabiając duplikat karty.

  • Boże zachowaj rozum i nigdy nie kuś na pokuszenie logowania przez FB bo swoje życie i dane oddasz sympatykowi LGBT i Islamistom ISIS