Facebook diseña un sistema de recuperación de cuentas usando varios servicios
Ingenieros de Facebook han presentado en la conferencia USENIX Enigma un nuevo mecanismo de recuperación de cuentas que se apoya en diferentes servicios online para su ejecución.
El mecanismo de recuperación de cuentas ha recibido el nombre de Recuperación Delegada (Delegated Recovery), y se trata de un protocolo que permite a un servicio en línea confirmar a un usuario desde otro servicio, siendo su funcionamiento el siguiente:
- El usuario de ejemplo Bob tiene una cuenta en Facebook y otra en GitHub.
- Bob genera un token de recuperación con GitHub.
- Bob guarda el token de recuperación de GitHub dentro de su cuenta de Facebook.
- Bob pierde el acceso a su cuenta de GitHub.
- Bob recupera su cuenta de GitHub utilizando el token de recuperación almacenado en su cuenta de Facebook.
Según Facebook, el token de recuperación está cifrado y ningún servicio que lo almacene temporalmente puede leerlo. Además, el token también tiene entre sus características una contra-firma de marca de tiempo, por lo que el servicio emisor siempre puede decir si alguien manipuló el token original. El proceso se realiza enteramente con un navegador web que accede siempre a través de HTTPS.
Los ingenieros que presentaron Recuperación Delegada han hecho hincapié en que su sistema de recuperación de cuentas es una solución mejor y más moderna que las direcciones de email de recuperación, las preguntas secretas y el número de teléfono, aunque de momento solo se apoya en Facebook y GitHub. El protocolo que sostiene este mecanismo ha sido publicado en el mismo GitHub.
Facebook también añade soporte para claves de seguridad U2F
Por otro lado, la red social añadió la semana pasada soporte para claves de seguridad Universal 2nd Factor (U2F), que son tokens criptográficos almacenados en llaves USB especiales. Dicha clave de seguridad U2F permite a un usuario conectar un pequeño dispositivos USB en un computador (ya sea x86 o ARM) y acceder directamente a la cuenta de Facebook sin introducir la contraseña.
Fuente | BleepingComputer
Via: muyseguridad.net