La semana pasada, Facebook anunció su compatibilidad con las llaves de seguridad de U2F, para ayudar a mantener las cuentas seguras y permitir otra forma de autenticación de segundo factor.
Ahora, Facebook y GitHub crearon un sistema de seguridad y verificación para sus cuentas con dos sencillos pasos llamados Delegated Recovery. La aplicación de este nuevo procedimiento nos ayudará a acceder a nuestras cuentas así olvidemos momentáneamente nuestra contraseña de acceso.
Por lo general, la pérdida de recuperación de contraseña puede involucrar a responder a las preguntas de seguridad, que a veces pueden ser adivinadas, o enviando un correo electrónico o mensaje de texto, que no están cifrados. Peor aún, si alguien tiene acceso a una cuenta de correo electrónico, se puede secuestrar otras cuentas a través del proceso de recuperación de correo electrónico antes mencionado.
La nueva “solución” de Facebook trata de establecer un “testigo de recuperación” en GitHub que se puede volver a autenticar a través de Facebook, si se olvida la contraseña. Este método se debe configurar de antemano, guardando un token de recuperación con la cuenta de Facebook. Si alguna vez se necesita recuperar la cuenta de GitHub, la persona puede volver a autenticarse en Facebook y se enviará el token de confirmación a GitHub.
En este proceso Facebook no comparte los datos personales con GitHub; sólo se necesita la confirmación de Facebook de que la persona que está recuperando la cuenta de GitHub es la misma que grabó el token originalmente. El testigo de recuperación está cifrado, y Facebook y GitHub no compartien ningún tipo información personal del usuario -sólo que las dos cuentas están conectadas-. “El proceso tomaría sólo unos pocos clics y todo a través de HTTPS” dijo el Ingeniero de Seguridad de Facebook, Brad Hill,
El sistema está siendo probado por varios usuarios y quienes sean capaces de detectar algún error o fallos en el sistema recibirán una recompensa, sostuvo el jefe de seguridad informática de la plataforma. Mientras ya se puede consultar el protocolo “Delegated Recovery” en Github.
Desde Facebook afirman que el método responde de manera efectiva a lo que buscaba la empresa: un modelo rápido, seguro y que respetase la privacidad que tanto nos importa, además de no estar ligado a cuentas de correo externas o números de teléfono que hicieran el sistema más vulnerable.
El sistema todavía no está disponible para todos los usuarios, pero se cree que estará con los usuarios en el próximo semestre del año.
Fuente: Facebook