Cada vez más internautas utilizan servicios de almacenamiento de contraseñas como LastPass o KeePass, pero no siempre es posible acceder a los mismos. De igual forma, la verificación en dos pasos puede resultar excesivamente compleja (o directamente imposible de utilizar) en algunos contextos. Esto deja a un buen número de usuarios ante una tesitura delicada: o utilizan contraseñas simples y potencialmente inseguras o deja su suerte en manos de preguntas (¿cuál es el nombre de tu mascota? ¿dónde naciste?) fáciles de resolver por posibles atacantes. Para resolver este problema, Facebook ha lanzado un sistema de recuperación segura de contraseñas con el que aspira a eliminar las preguntas de seguridad y la dependencia en los correos electrónicos.
Recién estrenado en GitHub, que se ha convertido en el primer sitio en implementarlo, el sistema de recuperación delegada desarrollado por Facebook genera un token de recuperación de contraseña y se guarda con la cuenta del usuario de la red social. De esta forma, si se pierde la contraseña de GitHub es posible autenticarse en Facebook para enviar automáticamente dicho token a GitHub con el momento de la solicitud (time-stamp) introducido en la firma.
Puesto que el token está cifrado, Facebook no tiene acceso a la información personal del usuario. Asimismo, GitHub no accede a otra información aparte del token. Todo lo que se comunica entre ambos sitios es el hecho de que el usuario de Facebook que quiere recuperar una contraseña de GitHub es el mismo que salvó inicialmente dicho token, lo cual según Facebook se puede realizar de forma anónima.
El sistema de recuperación de contraseñas de Facebook solo ha sido implementado por ahora en GitHub y con carácter parcial, pero la red social espera que otros sitios se animen a utilizarlo en lugar de las clásicas preguntas de seguridad. Mientras tanto, Facebook ha publicado el código del protocolo de recuperación delegada para su inspección y trabaja con GitHub para publicar "implementaciones de referencia de código abierto del protocolo en varios lenguajes de programación para hacer sencillo construir conexiones seguras y que preserven la privacidad entre tus cuentas y asegurar que nunca pierdes acceso". Facebook también ha anunciado que lanzará un programa de caza de bugs con recompensas para mejorar la seguridad del sistema.
Recién estrenado en GitHub, que se ha convertido en el primer sitio en implementarlo, el sistema de recuperación delegada desarrollado por Facebook genera un token de recuperación de contraseña y se guarda con la cuenta del usuario de la red social. De esta forma, si se pierde la contraseña de GitHub es posible autenticarse en Facebook para enviar automáticamente dicho token a GitHub con el momento de la solicitud (time-stamp) introducido en la firma.
Puesto que el token está cifrado, Facebook no tiene acceso a la información personal del usuario. Asimismo, GitHub no accede a otra información aparte del token. Todo lo que se comunica entre ambos sitios es el hecho de que el usuario de Facebook que quiere recuperar una contraseña de GitHub es el mismo que salvó inicialmente dicho token, lo cual según Facebook se puede realizar de forma anónima.
El sistema de recuperación de contraseñas de Facebook solo ha sido implementado por ahora en GitHub y con carácter parcial, pero la red social espera que otros sitios se animen a utilizarlo en lugar de las clásicas preguntas de seguridad. Mientras tanto, Facebook ha publicado el código del protocolo de recuperación delegada para su inspección y trabaja con GitHub para publicar "implementaciones de referencia de código abierto del protocolo en varios lenguajes de programación para hacer sencillo construir conexiones seguras y que preserven la privacidad entre tus cuentas y asegurar que nunca pierdes acceso". Facebook también ha anunciado que lanzará un programa de caza de bugs con recompensas para mejorar la seguridad del sistema.
Y si cambias de contraseña actualizar los tockens que tengas por ahi ?
No, me imagino que el token será para activar la secuencia de cambiar contraseña.
Lo cual no quita que me de un poco de grima, si la base de facebook cayera, un atacante podría tener acceso a tokens con el que puede robarme las cuentas. Ofrece el mismo nivel de seguridad que que te guarden la contraseña XD