Cada vez más internautas utilizan servicios de almacenamiento de contraseñas como
LastPass o
KeePass, pero no siempre es posible acceder a los mismos. De igual forma, la verificación en dos pasos puede resultar excesivamente compleja (o directamente imposible de utilizar) en algunos contextos. Esto deja a un buen número de usuarios ante una tesitura delicada: o utilizan contraseñas simples y potencialmente inseguras o deja su suerte en manos de preguntas (¿cuál es el nombre de tu mascota? ¿dónde naciste?) fáciles de resolver por posibles atacantes. Para resolver este problema, Facebook ha lanzado un sistema de recuperación segura de contraseñas con el que aspira a eliminar las preguntas de seguridad y la dependencia en los correos electrónicos.
Recién estrenado en GitHub, que se ha convertido en el primer sitio en implementarlo, el sistema de recuperación delegada desarrollado por Facebook genera un
token de recuperación de contraseña y se guarda con la cuenta del usuario de la red social. De esta forma, si se pierde la contraseña de GitHub es posible autenticarse en Facebook para enviar automáticamente dicho
token a GitHub con el momento de la solicitud (
time-stamp) introducido en la firma.
Puesto que el
token está cifrado, Facebook no tiene acceso a la información personal del usuario. Asimismo, GitHub no accede a otra información aparte del
token. Todo lo que se comunica entre ambos sitios es el hecho de que el usuario de Facebook que quiere recuperar una contraseña de GitHub es el mismo que salvó inicialmente dicho
token, lo cual según Facebook se puede realizar de forma anónima.
El sistema de recuperación de contraseñas de Facebook solo ha sido implementado por ahora en GitHub y con carácter parcial, pero la red social espera que otros sitios se animen a utilizarlo en lugar de las clásicas preguntas de seguridad. Mientras tanto, Facebook
ha publicado el código del protocolo de recuperación delegada para su inspección y trabaja con GitHub para publicar "implementaciones de referencia de código abierto del protocolo en varios lenguajes de programación para hacer sencillo construir conexiones seguras y que preserven la privacidad entre tus cuentas y asegurar que nunca pierdes acceso". Facebook también ha anunciado que lanzará un programa de caza de
bugs con recompensas para mejorar la seguridad del sistema.
Fuente: Facebook