Een nieuw door Facebook ontwikkeld protocol moet internetgebruikers helpen bij het herstellen van accounts op andere websites. Gisteren presenteerde de sociale netwerksite "Delegated Recovery". Het is met name bedoeld voor gebruikers die hun smartphone, fysieke token of usb-sleutels zijn verloren en die als tweede factor bij het inloggen gebruikten.
"Een e-mailadres alleen biedt niet hetzelfde niveau als tweefactorauthenticatie om de toegang te herstellen", stelt Facebook security-engineer Brad Hill. "Dus vanaf dinsdag kun je je Facebook-account gebruiken om je account bij GitHub te herstellen." Delegated Recovery werkt door het van tevoren opslaan van een "recovery token" in het Facebook-account. Het token is versleuteld zodat Facebook de inhoud niet kan zien.
In het geval een gebruiker de toegang tot zijn GitHub-account wil herstellen, kan hij inloggen bij Facebook en zal de sociale netwerksite het token naar GitHub sturen. Op deze manier weet GitHub dat de persoon die toegang tot het account wil ook dezelfde persoon is die eerst het token bij Facebook opsloeg. Het protocol is nu alleen beschikbaar voor GitHub, maar Facebook hoopt dat meer websites zullen volgen.
"GitHub bewaart alleen het token-ID, gebruiker-ID en tokenstatus. Facebook bewaart alleen de token met een versleuteld geheim dat is gekoppeld aan het Facebook-account en pas geldig wordt bij het herstellen van een account. Dit proces beperkt de impact van gelekte database en sql-injectie zonder de sleutels voor de encryptie en het signeren in gevaar te brengen", aldus security-engineer Neil Matatall van GitHub.
Deze posting is gelocked. Reageren is niet meer mogelijk.