С выходом SDK-комплектов для Java и Ruby протокол Delegated Account Recovery, позиционируемый Facebook как самый безопасный метод восстановления аккаунтов, стал доступным для бета-тестирования.

Механизмы Delegated Recovery, позволяющие приложениям делегировать разрешение на восстановление аккаунта сторонним приложениям, уже опробованы на GitHub. Вчера на проходящей в Сан-Франциско конференции F8, которую Facebook ежегодно проводит для разработчиков, компания объявила о выпуске SDK, документации и образцов приложений для серверных платформ Java и NodeJS. Одновременно GitHub опубликовал свой SDK для Ruby.

«Разработчики могут использовать эти ресурсы для построения модели восстановления, сочетаемой с их приложением, и сразу опробовать ее на тестовых пользователях», — заявил специалист по ИБ из Facebook Брэд Хилл (Brad Hill).

Delegated Account Recovery избавляет пользователя от необходимости запоминать контрольные вопросы и ответы или запрашивать PIN-код в виде SMS или email-сообщения. Вместо этого организация будет заранее создавать токен восстановления, разделяемый с делегированным сторонним сайтом. Этот токен шифруется и, по словам Facebook, не имеет доступа к персональным данным. Разработчик надеется, что созданная им опция особенно пригодится пользователю в случае утери дополнительного средства аутентификации — смартфона или аппаратного ключа безопасности.

«Вместо того чтобы запасаться данными пользователя, ваше предприятие создает маркер восстановления, связанный с идентификатором, который вы присвоили клиенту, и отсылает его на Facebook, — поясняет Хилл. — У нас он хранится в безопасном месте с соблюдением приватности до тех пор, пока не понадобится этому лицу. Представьте, что вы передаете запечатанный конверт проверенному другу. Facebook не сможет увидеть, что внутри; мы просто знаем, что его нельзя никому отдавать, кроме вас. Когда понадобится восстановить аккаунт, Facebook подвергнет пользователя повторной аутентификации и затем отошлет запечатанный конверт обратно на сервис, его создавший, с новой криптографической подписью от Facebook».

По словам представителя компании, разработчики, решившие использовать этот протокол, получат средство аутентификации пользователя и восстановления доступа, не требующее раскрытия личностной информации, хранимой Facebook, или данных пользователя на привязанном сервисе. Первым партнером Facebook в этом эксперименте был GitHub; его пользователи с января имели возможность восстанавливать доступ к учетной записи, подтверждая право владельца с помощью Facebook-аккаунта.

Хилл также отметил, что Delegated Account Recovery предусматривает замедление скорости соединения для предотвращения злоупотреблений. Кроме того, если аккаунт Facebook был недавно восстановлен, его владельцу можно ограничить возможность восстановления других аккаунтов. Персональные токены при этом криптографически защищены, что выгодно отличает эту процедуру от широко распространенных схем восстановления с использованием электронной почты.

«Ссылки для сброса пароля, отправляемые по почте открытым текстом, могут завести во множество разных мест, от систем извлечения ключевых слов для показа рекламы до систем поиска/представления электронных документов, спам-фильтров и антивирусных сканеров, — говорит Хилл. — Токен делегированного восстановления этим системам не виден, и при случайном раскрытии им нельзя злоупотребить. Наша система способна с честью выдержать даже пересылку по почте объемных дампов и создание баз данных пользователей, столь популярных ныне. Использование токенов восстановления требует наличия раздельно хранимых криптографических ключей, что обеспечивает уровень безопасности, недостижимый при использовании email».

Категории: кибероборона

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *