返回

Facebook推出“授权恢复”以取代传统的密码恢复方法

发布时间:2022-08-08 15:47:55 365
# 漏洞# 研究# 数据# 信息# 工具
facebook-password-reset


使用基于短信的安全代码,或者回答安全问题?

好吧,现在是2017年,我们仍然被迫依赖于不安全和不可靠的密码重置方案,比如基于电子邮件或短信代码验证过程。

但这些传统的访问恢复机制不够安全,无法保护我们所有其他与电子邮件帐户链接的在线帐户。

雅虎邮件可以作为一个很好的例子。
 
一旦黑客访问了你的雅虎账户,他们也可以通过点击“忘记密码”的链接进入与同一封电子邮件链接的任何其他在线账户

幸运的是,Facebook有一个旨在修复此过程的工具,帮助您安全地恢复对所有其他在线帐户的访问。

在周一于加利福尼亚州奥克兰举行的Enigma大会上,Facebook为其他名为委托恢复— 帮助应用程序将帐户恢复权限委托给同一用户控制的第三方帐户的协议。

从今天开始,GitHub用户可以使用委托恢复进行帐户恢复,允许他们提前为GitHub帐户设置加密恢复令牌,并将其保存到Facebook帐户中。

因此,如果他们失去了对Github帐户的访问权限,他们可以重新向Facebook进行身份验证,并请求将存储的令牌从Facebook帐户发送回Github,并带有时间戳签名,以证明他们的身份,并安全地重新获得对其帐户的访问权限。

整个过程通过加密的HTTPS Web链接进行,并在几秒钟内完成。
 
由于存储的令牌是加密的,即使Facebook也无法读取存储在该令牌中的个人数据。

这家社交网络巨头还保证,除了声称恢复GitHub帐户的人与保存代币的人相同外,该公司不会与GitHub共享有关该用户的任何个人信息。

据这家社交网络巨头称,委托恢复服务将对那些丢失智能手机、物理令牌或密钥的在线用户特别有用,这些密钥被用作身份验证的第二个因素。
“我们还希望让人们能够使用其他帐户,例如GitHub帐户,帮助您恢复对Facebook的访问。”Facebook的安全工程师布拉德·希尔说
Facebook在其GitHub页面上发布了该功能背后的协议和技术规范。你也可以在Facebook的官方帖子上阅读更多关于该功能的信息。

由于没有一个系统是防黑客的,Facebook邀请黑客和安全社区报告漏洞、提交建议和反馈。

授权恢复是Facebook漏洞奖励计划的一部分,允许安全研究人员和漏洞搜寻者测试并找出其中的安全漏洞。

该工具以开源的形式发布,允许其他第三方网站实现,但目前,该服务仅适用于GitHub。

 

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线