7

Odzyskiwanie utraconych danych logowania do różnych serwisów, kontem na Facebooku…

Odzyskiwanie dostępu do kont poprzez adres email, pytania bezpieczeństwa, dwuskładnikowe uwierzytelnianie, klucze szyfrujące, to wszystko mało, Facebook uważa, że potrzebujemy dodatkowych opcji, a jedną z nich ma być odzyskiwanie dostępu do utraconych kont za pomocą konta na Facebooku. Jakby absurdalnie ten pomysł nie brzmiał, jest już wdrażany w życie i testowany przez wybranych użytkowników Github.

Wybór serwisu nie jest przypadkowy, Facebook udostępnił na Github kod swojego pomysłu o nazwie DelegatedRecovery, by użytkownicy tego serwisu wyłapali ewentualne błędy w zabezpieczeniach.

Cóż to takiego? To nowy protokół, który pozwala na zapisanie tokenu odzyskiwania dostępu do współpracujących serwisów na naszym koncie na Facebooku. Token jest szyfrowany, więc Facebook nie może odczytać danych osobowych posiadacza.

Po co mi to, na co, skoro mamy dwuskładnikowe uwierzytelnianie na wielu serwisach? Otóż przedstawiciel Facebooka przekonuje dalej, że są sytuacje, kiedy stracimy dostęp do telefonu, wtedy taki sposób autoryzacji może ukrócić męki związane z odzyskaniem dostępu do konta.

Mam dwuskładnikowe uwierzytelnianie na koncie Google, autoryzuje poprzez kody z aplikacji Google Authenticator lub poprzez SMS. Rzeczywiście, po stracie telefonu jest problem, pozostaje żmudny proces odzyskiwania, odpowiedzi na pytania, poprzednie hasła, daty itp., co nie każdy pewnie pamięta. Poza tym Google zaznacza, że ze względów bezpieczeństwa może to potrwać od 3 do 5 dni roboczych.

Inżynier ds. bezpieczeństwa Brad Hill, tak reklamuje nową opcję odzyskiwania dostępu do kont:

Potrzebujemy mieć lepszy sposób na odzyskanie dostępu, używając tożsamości i usług którym ufasz, niezależnie od tego, czy jest on powiązany z adresem e-mail czy numerem telefonu. Proces ten musi być łatwy, bezpieczny i z poszanowaniem twojej prywatności.

Większość z Was pewnie teraz się tylko zaśmieje, żadne z tych słów nie pasują nam do Facebooka, ja spojrzę na to jeszcze z innego punktu widzenia. Jeśli stracę dostęp do telefonu, to jednocześnie stracę dostęp do Facebooka, gdzie mam podobny sposób logowania. Mówimy przecież o sytuacji, gdy potrzebujemy zalogować się na „obcym” urządzeniu. A zarówno Google jak i Facebook umożliwiają zapamiętanie zaufanych urządzeń, więc bez problemu zalogujemy się na swoje konta z poziomu komputera.

To naprawdę muszą być więc jakieś ekstremalne przypadki, kiedy taki sposób uwierzytelniania może być niezbędny. Poza tym trzymanie takich tokenów uwierzytelniających, nie wiem jakby nie były zabezpieczone na Facebooku, brzmi co najmniej nieodpowiedzialnie. Wiem, że Facebook chce być miejscem do wszystkiego dla swoich użytkowników, ale to już lekka przesada. Choć muszę tu przyznać, że FB ostatnio zaczyna mocniej dbać o bezpieczeństwo dostępu do kont swoich użytkowników, udostępniając na przykład możliwość logowania kluczem USB i NFC.

Niemniej opcja ta jest już dostępna od wczoraj dla ograniczonej grupy użytkowników Github, a Facebook zachęca do podobnej współpracy inne serwisy. Planują też odwrotną interakcję, czyli za pośrednictwem takich serwisów jak właśnie Github, odzyskanie dostępu do Facebooka.

Photo: maxkabakov/Depositphotos.


Niedawno uruchomiliśmy serwis z Pracą w IT! Gorąco zachęcamy do przejrzenia najnowszych ofert pracy oraz profili pracodawców