Facebook vil erstatte mail som platform til at ændre glemte kodeord

Illustration: leowolfert/Bigstock
En open source protokol gør det muligt for tredjeparts-systemer at sende glemte kodeord gennem det sociale medie.

Når man glemmer et kodeord til et af de utallige site, der kræver det, kan det typisk løses ved at få tilsendt en mail eller svare på et par sikkerhedsspørgsmål.

Men det er meget bedre at bruge Facebook til formålet, mener Facebook, der netop har lanceret en open source protokol, som gør det muligt for alle tjenester at bruge det sociale medie som go-to kodeords-genskaber.

Det skriver CIO.

Læs også: Kreativ hacker bruger telefonsvarer-funktion til at overtage Netflix-konto

Ofte har folk ikke et stærkt kodeord eller to-faktor-autentifikation aktiveret på deres mail-konti, forklarer Brad Hill, der er security engineer ved Facebook.

Og sider, der bruger sikkerhedsspørgsmål er ikke nødvendigvis designet hensigtsmæssigt, fortsætter Brad Hill, der selv har oplevet, at en side spurgte om hans yndlingsfarve - og lod ham gætte så mange gange han ville.

Facebooks ide er istedet, at brugere tilknytter deres profil til de sites, der implementerer protokollen. Og derfra kan man så bruge Facebook til at genskabe et glemt kodeord.

Læs også: Microsoft dumper tre klassiske regler for gode kodeord

Og hvis det skulle være bekymrende for nogle læsere, at centre endnu mere digitalt liv omkring Facebook-platformen, så understreger Brad Hill, at protokollen - der ligger på GitHub - er ikke designet til kun at fungere med Facebook.

Det vil sige at protokollen kan bruges til at gøre alle tjenester til den betroede tredjepart, når kodeord er gået i glemslen. GitHub har som det første site angiveligt implementeret protokollen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Peter Lund

Facebook gør da det her, for så er der en til måde de kan overvåge dig, og da slet ikke fordi de bekymrer sig om din sikkerhed.

Var det zuckerberg eller google drengene der udtalte at de mente privat liv var en fejl og skulle afskaffes?

med Messenger og nu også whatsapp og den totale overvågning via facebook like knapper alle vegne så føler man sig kun sikker på en ting, de vil gerne vide mere om dig :(

ikke på vilkår

  • 12
  • 1
 
#3 Michael Hansen

Synes de nuværende systemer fungerer ganske fint, ønsker ikke facebook skal blandes ind i noget som helst, open source projekt eller ej.

Så hellere folks energi, lå på at tilbyde 2FA istedet, det er der stadig alt for mange der ikke gør, de kan passende bruge HOTP/TOTP standarderne, så man ikke skal til at have diverse separate apps til hver service/site (Steam/Blizzard m.fl. , i'm looking at you).

  • 4
  • 0
#5 Henrik Biering Blogger

Så hellere folks energi, lå på at tilbyde 2FA istedet, det er der stadig alt for mange der ikke gør, de kan passende bruge HOTP/TOTP standarderne, så man ikke skal til at have diverse separate apps til hver service/site

2FA er ikke et alternativ til effektiv "Account recovery". Tværtimod vil 2FA mangedoble behovet for "Account Recovery" og samtidigt komplicere processen, hvis det ikke skal blive en sikkerhedsmæssig achilleshæl - eller føre til at mange mister deres konti for bestandig.

Principielt er jeg enig i synspunktet om at Facebook i kraft af sin forretningsmodel ikke er det ideelle valg som betroet part. Men det, der driver sikkerhedsfolkene hos Facebook, Google m.fl. er ubetinget ønsket om at beskytte brugerne mod såvel ondsindede tredjeparter som egne dumheder og forglemmelse. Facebook har jo f.eks. forlængst implementeret TOTP samt for nylig ligeså FIDO U2F som 2FA mekanismer.

Derfor synes jeg man bør se den ny protokol grundigt igennem og overveje om den muliggør forbedrede account recovery flows, for så vidt den kan implementeres af en part, man vælger at stole på.

  • 3
  • 0
Log ind eller Opret konto for at kommentere