Facebook запустила новий метод відновлення доступу до акаунту
«Делеговане відновлення» – таку назву отримав новий метод відновлення доступу до акаунту, який використовує Facebook як довірчий сервіс. Поки цей метод тестується для користувачів GitHub, але ним можуть скористатися й інші сервіси.
Як скинути пароль для Facebook-профайлу або будь-якого іншого профілю, якщо було зламано основну адресу електронної пошти або втрачено телефон, на який може прийти SMS-код для відновлення? В цьому випадку відновлення доступу до профайлу є практично неможливим.
Процес відновлення акаунта – це другий по важливості після аутентифікації процес взаємодії з онлайн-сервісом. Погодьтеся, що контрольні питання чи відновлення паролю по електронній пошті – це доволі ненадійні методи, які використовуються для відновлення доступу до акаунту. Особливо ці традиційні механізми відновлення доступу не є безпечними для захисту онлайн-акаунтів, пов’язаних з обліковим записом електронної пошти.
Отримавши доступ до електронної пошти, хакери можуть запустити відновлення паролю до інших акаунтів, пов’язаних цим e-mail, і заволодіти, наприклад, Facebook, Twitter, хостингом – та будь-яким іншим сервісом. Досить просто на відповідному сайті перейти по посиланню «Забули пароль» і задати адресу зламаного е-мейла.
Нещодавно Facebook представив інструмент, який змінить цей процес відновлення доступу до акаунту. Він допоможе відновити доступ до всіх інших акаунтів набагато надійніше.
Нова функція була представлена на конференції Enigma Facebook в Окленді. Там Facebook розказала про нову функцію відновлення облікового запису – інструмент під назвою Delegated Recovery («Делеговане відновлення»). Цей інструмент допомагає відновити акаунт в одному сервісі за допомогою іншого акаунту в іншому сервісі. По суті, Delegated Recovery делегує дозвіл на відновлення доступу до акаунта іншим акаунтам того ж користувача.
Наразі сервіс доступний лише користувачам GitHub, які стали учасниками програми відкритого тестування сервісу. Вони можуть налаштовувати відновлення доступу на GitHub за домовою своїх Facebook-акаунтів.
В разі втрати доступу до свого облікового запису на Github користувачі цього сервісу можуть запросити токен для відновлення доступу, передавши його зі свого акаунту на Facebook назад на Github. Це доведе їх особистість і дозволить відновити доступ до втраченого Github-акаунту.
Зрозуміти, як працює сервіс, дуже просто.
- Нехай у користувача Х є акаунт на Facebook и GitHub.
- Користувач Х подбав про акаунт на GitHub і створив для цього спеціальний токен (набір символів).
- Втративши доступ до акаунту на GitHub, користувач Х може передати туди токен з Facebook і довести свою особу.
Facebook сказав послуга буде особливо ефективною для користувачів , які втратили смартфон, фізичний ключ захисту або інструмент, який використовується в якості другого фактора аутентифікації.
Передача даних відбувається по зашифрованому протоколу я HTTPS. В Facebook підкреслюють, що всі токени відновлення зашифровані і інші сервіси не можуть їх прочитати. Більше того, токени містять контр-підпис (counter-signature) з тимчасовою міткою, що дозволить переконатися у їх оригінальності. Оскільки токен зберігається в зашифрованому вигляді, то навіть Facebook не може прочитати персональні дані, які в ньому зберігаються.
Інструмент Delegated Recovery («Делеговане відновлення») доступний з відкритим кодом, тому його зможуть в майбутньому використати інші сервіси.