The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

31.01.2017 09:06  Facebook предложил новый метод восстановления забытых паролей

Инженеры из компании Facebook разработали новый протокол DelegatedRecovery, предназначенный для восстановления забытых паролей. Протокол предоставляет сайтам возможность делегирования функций восстановления учётной записи через рабочую учётную запись, контролируемую тем же пользователем, но размещённую в другом сервисе. В качестве эксперимента в ограниченном виде данный протокол опробован в GitHub для организации восстановления доступа при наличии рабочей учётной записи в Facebook, и может пригодиться в случае утери телефона или носимого токена, применяемых в двухфакторной аутентификации на GitHub.

Протокол нацелен на устранение дополнительных угроз, возникающих при использовании традиционных схем восстановления паролей, манипулирующих известными для конкретного пользователя фактами из разряда "девичья фамилия матери" или использующими отправку кода восстановления через email/SMS (например, при захвате злоумышленником контроля над email или смартфоном, они могут быть использованы для получения контроля над учётными записями во всех привязанных к ним сервисах). DelegatedRecovery позволяет обойтись без привязки к email или номеру телефона, применяя в качестве фактора для восстановления контроля над учётными данными наличие доступа к другому доверительному сервису. Например, для восстановления входа в GitHub может использоваться учетная запись в Facebook.

Суть метода в предварительной генерации и сохранении на стороне другой системы специального токена, содержащего криптослепок параметров аутентификации (в рассмотренном примере GitHub по запросу пользователя может создать слепок учётных данных, после чего этот слепок необходимо сохранить в аккаунте этого же пользователя в Facebook). Все данные в токене зашифрованы и сторонний сервис (в примере Facebook) не может получить доступ к информации. На стороне сгенерировавшей токен системы (в примере GitHub) в привязке к пользователю сохраняется идентификатор токена и его состояние. В случае если пользователь потеряет контроль над учётной записью в GitHub он может воспользоваться ранее сгенерированным токеном для подтверждения своих прав на учётную запись.

При необходимости восстановления утерянного доступа, пользователь может войти в Facebook и отправить в GitHub проверочный токен, который имеет фиксированное небольшое время жизни и ограничен по числу возможных попыток восстановления. Кроме содержимого ранее сохранённого токента, ключ восстановления также снабжается цифровой подписью сервиса, подтверждающей, что данные отправлены тем же пользователем, который когда-то сохранил токен. Интенсивность применения операции восстановления ограничена - если в случае с получением контроля над email или смартфоном атакующий может сразу атаковать все другие учётные записи пользователя, то получив контроль за аккаунтом в Facebook, он сможет формировать запросы на восстановление, например, не чаще одного раза в день.

В настоящее время для изучения и обсуждения доступен черновой вариант спецификации протокола, который поставляется под лицензией Creative Commons Attribution 4.0. В ближайшее время планируется опубликовать код эталонной реализации протокола для различных языков программирования, которая позволит внедрить новый метод восстановления доступа на собственном сайте.

  1. Главная ссылка к новости (https://www.facebook.com/notes...)
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: password, crypt, facebook
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 09:46, 31/01/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +16 +/
    А это разве не равносильно использованию одного пароля на нескольких сайтах? И вообще мордокниге не стоит доверять.
     
     
  • 2.6, Доктор Звездулькин (?), 10:21, 31/01/2017 [^] [ответить]    [к модератору]
  • –3 +/
    Я так понимаю, нет, потому что если кто-нибудь восстановит твой пароль на Гитхабе взломав твой аккаунт в Фейсбуке, при следующем входе на Гитхаб ты заметишь, что пароль был изменён.
     
     
  • 3.15, Аноним (-), 11:52, 31/01/2017 [^] [ответить]    [к модератору]
  • +14 +/
    Это как бы уже поздно.
     
  • 1.2, Виталий (??), 09:54, 31/01/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +15 +/
    Да и метаданные собирать удобно
    Это проверка на тупость похоже
     
     
  • 2.14, Аноним (-), 11:50, 31/01/2017 [^] [ответить]    [к модератору]
  • +3 +/
    > проверка на тупость

    пользователям фб можно сразу внедрять

     
  • 1.3, SpiritOfStallman (ok), 09:56, 31/01/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    Взломал один сервис - взломал все. Наверно еще будут и подсказки, для каких других сервисов тут есть токены. Удобно.

    Ну и даже стыдно упоминать, насколько это было бы удобно для рекламщиков и прочих датамайнеров.

     
     
  • 2.5, Аноним (-), 10:09, 31/01/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Скорее наоборот Сейчас взломав email пользователя например, устроив перехват ч... весь текст скрыт [показать]
     
     
  • 3.13, scorry (ok), 11:32, 31/01/2017 [^] [ответить]    [к модератору]  
  • +6 +/
    > через _доверительный_ сервис

    Ну вот же, положила (с).

     
  • 3.46, cmp (ok), 08:15, 01/02/2017 [^] [ответить]     [к модератору]  
  • +/
    Это кому как, карманникам труда не составит, а потом продавать эти ключи на разв... весь текст скрыт [показать]
     
  • 1.4, Аноним (-), 10:04, 31/01/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Запатентовали небось, а потом будут трясти бабло с тех, кто сдуру решил использовать эту хипстерскую фигню.
     
  • 1.7, Аноним (-), 10:23, 31/01/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    норм. технология. осталось только доверительный сервис найти
     
     
  • 2.72, ffirefox (?), 06:36, 10/02/2017 [^] [ответить]    [к модератору]  
  • +/
    У жентельменов принято верить на слово.


     
  • 1.8, pechen.treski (?), 10:31, 31/01/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    значит, традиционная схема с мылом уже тоталитарная, а то же самое, только вместо мыла пейсбук - уже православно и демократично. Ведь так же всё в один спасительный сервис упирается
     
     
  • 2.27, Аноним (-), 14:01, 31/01/2017 [^] [ответить]     [к модератору]  
  • +/
    плюсую нет ничего хуже для интернета, чем централизация не понимаю, почему бол... весь текст скрыт [показать]
     
     
  • 3.37, лор унитаз (?), 15:49, 31/01/2017 [^] [ответить]    [к модератору]  
  • +/
    В первую очередь на это ведутся обычные пользователи. А админам просто некуда деваться с подводной лодки. Идти против пользователей - терять бабло.
     
  • 2.32, Анонян (?), 14:46, 31/01/2017 [^] [ответить]    [к модератору]  
  • +/
    а что, фейсбук уже можно запустить локально на своем сервере поддиваном?
     
  • 1.9, Неиилюзорная Фтопка Локалхоста (?), 10:39, 31/01/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Вообще, аутентификация всюду через гугл-гитхаб-фейсбук несколько напрягает. Недавно тестировали DC/OS, чтобы поставить на свой кластер - там вход в админку либо через гугл, либо через гитхаб, либо live.com [1]. На наш собственный кластер. Мы не можем войти без благословения гугла. Опции "использовать обычный логин с паролем" или "локальный LDAP" в community-верси просто нет. Можно только отключить аутентизацию вообще. И это свободный софт. Всем пох, никто не форкнет и не пропатчит. Мы тоже (просто выкинули ънтырпрайз в помойку и поставили обычный mesos + marathon).

    https://dcos.io/docs/1.7/administration/id-and-access-mgt/img/auth-login.gif

     
     
  • 2.10, Аноним (-), 10:44, 31/01/2017 [^] [ответить]    [к модератору]  
  • +/
    Просто с точки зрения гугла собственные кластеры не нужны!
     
  • 2.11, Неиилюзорная Фтопка Локалхоста (?), 10:50, 31/01/2017 [^] [ответить]    [к модератору]  
  • +8 +/
    Вдогонку: Apache Mesos использовал привычную терминологию master/slave. Потом в багтрекер прибежали Воины Социальной Справедливости и потребовали везде заменить слово slave на agent. Потому что слово slave вызывает ассоциации с притеснением и страданием и может отпугнуть пользователей. Теперь Apache Mesos использует терминологию master/agent. На работе все новички путаются, кто из них кто, старые скрипты сломались, бинарник mesos-slave тоже переименовали, зато Социальная Справедливость восстановлено. Желаю им персонального ада с чертями-феминистками.
     
     
  • 3.12, pkdr (ok), 11:22, 31/01/2017 [^] [ответить]    [к модератору]  
  • +/
    Ну сделай свой форк и там поиском замени везде master/agent на white/nigger и радуйся себе.
     
     
  • 4.18, Бог (?), 12:02, 31/01/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Я, пожалуй, на днях форкну мир и сделаю всё хорошо.
     
  • 3.16, Аноним (-), 11:56, 31/01/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Угу, комплексы англоговорящих влияют на весь мир - ... весь текст скрыт [показать]
     
     
  • 4.19, Аноним (-), 12:06, 31/01/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    Терминология изначально имела глупое название Хозяин-Рабы с дальнейшим описанием... весь текст скрыт [показать]
     
     
  • 5.20, Бог (?), 12:13, 31/01/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    Эта терминология старше, чем ты.
     
     
  • 6.24, Аноним (-), 13:10, 31/01/2017 [^] [ответить]     [к модератору]  
  • –4 +/
    Это не значит, что она хорошая Взять привычное Вырезать-Скопировать-Вставить П... весь текст скрыт [показать]
     
     
  • 7.29, asd (??), 14:05, 31/01/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    "Вырезать-скопировать-вставить" термины совершенно прозрачные, это ваши личные закидоны.
     
     
  • 8.33, Аноним (-), 14:46, 31/01/2017 [^] [ответить]    [к модератору]  
  • +/
    Термин может быть интуитивно понятным или не быть таковым. Вы придумали "прозрачный термин" - что это? Как определить "прозрачность" термина и в чём она измеряется?
     
  • 7.35, angra (ok), 15:41, 31/01/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    Потому, что объект из этого места исчезнет Ваш КО В буффер обмена, можешь назв... весь текст скрыт [показать]
     
     
  • 8.43, Retrosharer (?), 18:19, 31/01/2017 [^] [ответить]    [к модератору]  
  • +/
    Буфер.
    МО.
     
  • 7.64, XoRe (ok), 23:08, 01/02/2017 [^] [ответить]    [к модератору]  
  • +/
    > Почему "вырезать"?

    Потому что когда из газеты вырезаешь ножницами какой-то кусок, у тебя он есть, а в газете его больше нет. Собственно, отсюда и значок ножниц.


     
  • 7.71, krijich (ok), 11:21, 06/02/2017 [^] [ответить]     [к модератору]  
  • +/
    Для кого более удачная По чему мнению более удачная Почему кто-то считает, что... весь текст скрыт [показать]
     
  • 5.22, Анон671 (?), 12:22, 31/01/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Да, вполне
     
  • 5.65, XoRe (ok), 23:14, 01/02/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Рано или поздно нужно бы подучить английский master - это ещё и ведущий А slav... весь текст скрыт [показать]
     
  • 1.17, AlexAT (ok), 12:01, 31/01/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    То есть в этом случае, получив утекший пароль от фейсбука, можно будет замечательно лишиться учёток от гитхаба и чего-то ещё.

    Это примерно как все сервисы зарегать на один ящик на хотмейле...

    Спасибо, НЕНУЖНО.

     
  • 1.21, manster (ok), 12:14, 31/01/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Что-то участились всякие инициативы по выуживанию учетных данных.

    Восстановление забытого пароля проще простого работает через почту. Все что нужно, так это возможность добавления альтернативных имейлов.

     
     
  • 2.28, Гуглик (?), 14:03, 31/01/2017 [^] [ответить]    [к модератору]  
  • +/
    Каких таких альтернативных емейлов?
     
     
  • 3.40, нах (?), 16:49, 31/01/2017 [^] [ответить]    [к модератору]  
  • +/
    как это каких - email1@google.com, email2@google.com, email123@google.com... ой, пароль забыл...


     
  • 1.23, Аноним (-), 12:32, 31/01/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    "для восстановления входа в GitHub может использоваться учетная запись в Facebook." - Спасибо.  
     
  • 1.25, Аноним (-), 13:18, 31/01/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ребята изобрели OpenID, чо.
     
     
  • 2.41, нах (?), 16:57, 31/01/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    если бы - Весь смысл openid при всей его неуклюжести и уродстве был в том, ч... весь текст скрыт [показать]
     
     
  • 3.47, Аноним (-), 10:05, 01/02/2017 [^] [ответить]    [к модератору]  
  • +/
    > угадай, сколько нашлось?

    ну и?
    заинтриговал

     
  • 3.59, scorry (ok), 14:35, 01/02/2017 [^] [ответить]     [к модератору]  
  • +/
    А как же поиск по строке self hosted openid Или я не то ищу, о чём вы говорите ... весь текст скрыт [показать]
     
     
  • 4.67, нах (?), 14:39, 02/02/2017 [^] [ответить]     [к модератору]  
  • +/
    ищешь то, только не найдешь Лично у меня оно возвращает стопиццот ссылок на око... весь текст скрыт [показать]
     
     
  • 5.68, scorry (ok), 14:54, 02/02/2017 [^] [ответить]     [к модератору]  
  • +/
    Нет У меня возвращает три-четыре реализации и хауту по настройке ЧЯДНТ Разниц... весь текст скрыт [показать]
     
     
  • 6.69, нах (?), 00:50, 03/02/2017 [^] [ответить]     [к модератору]  
  • +/
    гугль у каждого свой Ты никогда не ДЕЛАЛ, вот что не так Я в свое время пыталс... весь текст скрыт [показать]
     
  • 1.26, J.L. (?), 13:41, 31/01/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    что за бред ??? а чем это отличается от "фейсбук, сгенери мне хеш32гигабайта, я его положу под подушку на флешке, а когда потеряю пароль - я по нему в тебя войду" ???
     
     
  • 2.70, нах (?), 00:59, 03/02/2017 [^] [ответить]     [к модератору]  
  • +/
    тем что не в тебю, а в ею То есть чтоб восстановить просраный гитхабовский логи... весь текст скрыт [показать]
     
  • 1.30, Аноним (-), 14:17, 31/01/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Мда, идиоты. Это ничем не отличается от привязки к мылу или телефону.
     
  • 1.31, Аноним (-), 14:36, 31/01/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Так и не понял, в чём отличие восстановления пароля через привязанный эмейл или телефон. В чём новизна метода-то?
     
     
  • 2.34, Аноним (-), 15:24, 31/01/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    В том, что facebook будет знать о тебе немного больше а если серьезно - Хыпстер... весь текст скрыт [показать]
     
  • 1.36, Анонимум (?), 15:46, 31/01/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Граждане! Храните пароли в KeePassX и делайте автоматические бэкапы!
     
     
  • 2.39, kpx2 (?), 16:21, 31/01/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    keepassx2
     
     
  • 3.60, Vcoder (ok), 14:55, 01/02/2017 [^] [ответить]    [к модератору]  
  • +/
    К сожалению, во второй версии он испортился.

    Исчез генератор паролей с кнопкой "генерировать", вместо него теперь список из одиннадцати паролей, которые при повторном открытии списка остаются те же.

    Исчезла возможность генерации удобно произносимых паролей.


    Я не знаю, что заставило авторов сделать эти "улучшения". Была очень хорошая программа, и они её испортили.

     
     
  • 4.61, scorry (ok), 17:10, 01/02/2017 [^] [ответить]    [к модератору]  
  • +/
    > К сожалению, во второй версии он испортился.
    > Исчез генератор паролей с кнопкой "генерировать", вместо него теперь список из одиннадцати
    > паролей, которые при повторном открытии списка остаются те же.
    > Исчезла возможность генерации удобно произносимых паролей.
    > Я не знаю, что заставило авторов сделать эти "улучшения". Была очень хорошая
    > программа, и они её испортили.

    Можно KeePass2 поставить. Начальный небольшой гемор с моно, и дальше всё работает.

     
     
  • 5.62, Vcoder (ok), 19:16, 01/02/2017 [^] [ответить]    [к модератору]  
  • +/
    > Можно KeePass2 поставить. Начальный небольшой гемор с моно, и дальше всё работает.

    Работает, да. Но генератор паролей такой же ущербный. Для меня он был одной из ключевых фишек KeePassX.
    Вышел из положения, скачав из репозитория убунты .deb пакет с прошлой версией и заблокировав его обновление в синаптике.

    Также скачал с офсайта виндовый бинарник KeePassX (ввиду отсутствия линуксового), но он в wine не запускается.

     
  • 4.66, ызусефещк (?), 14:19, 02/02/2017 [^] [ответить]    [к модератору]  
  • +/
    в опциях нажимаешь любую вкл/выкл и пароли перегенерятся
     
  • 1.38, Аноним (-), 15:59, 31/01/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Вспоминая ICQ, увод шести/пятизнаков, где доверительным сервисом была почта... Понанимали школоту, они теперь думают, что самые умные!
     
     
  • 2.42, icq protocol (?), 17:08, 31/01/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Раньше протокол аськи не фишровался, и с помощью простого tcpdump можно было прослушать логин и пароль по сети - это раз.
    А во вторых, они хранились в открытом виде локально - это два.
    Было два варика украсть акк, ставить хаб в сети и слушать траффик icq или закинуть торяна.
     
  • 1.44, Ilya Indigo (ok), 01:18, 01/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Такой чуши от FB даже не ожидал... да ещё и github им содействует...
    Вместо мыла и телефона, которые являются самыми надёжными средствами восстановления доступа, они пытаются наврать хомячкам, что они, мол, ненадёжны и лучше делегируйте нам право войти на любую вашу учётку, начиная с github-а - это гораздо надёжнее и безопаснее.
     
  • 1.45, Аноним (-), 06:11, 01/02/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    ну пусть кому-то удобнее использовать фесбук вместо емейла но если я вдруг потер... весь текст скрыт [показать]
     
  • 1.48, Гентушник (ok), 10:52, 01/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Насколько я понимаю, можно будет делегировать восстановление пароля от одного сервиса другому сервису, а не только почте/телефону/девичьи фамилии материи.

    Было бы интересно, если бы можно было делегировать произвольному сервису, в т.ч. поднять свой сервис и делегировать восстановление ему.

    На практике же скорее всего будет ограниченный список кому можно делегировать, без ввода произвольного значения.

     
     
  • 2.50, scorry (ok), 11:41, 01/02/2017 [^] [ответить]    [к модератору]  
  • +/
    > Насколько я понимаю, можно будет делегировать восстановление пароля от одного сервиса другому
    > сервису, а не только почте/телефону/девичьи фамилии материи.
    > Было бы интересно, если бы можно было делегировать произвольному сервису, в т.ч.
    > поднять свой сервис и делегировать восстановление ему.
    > На практике же скорее всего будет ограниченный список кому можно делегировать, без
    > ввода произвольного значения.

    На практике списка не будет, объявят — и жри, что дают.

     
  • 1.49, zanswer CCNA RS (?), 10:56, 01/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Сама спецификация на протокол, написанна в стиле RFC, думаю, что её внесут, как RFC в последствии, не налагает ограничений на то, кто будет выступать в роли провайдера восстановления, что хранит токен.
     
     
  • 2.51, Аноним (-), 11:56, 01/02/2017 [^] [ответить]     [к модератору]  
  • +/
    вы наверное с api перепутали rfc нужен был когда сеть была децентрализована, дл... весь текст скрыт [показать]
     
     
  • 3.52, SysA (?), 12:10, 01/02/2017 [^] [ответить]    [к модератору]  
  • +/
    > вы наверное с api перепутали. rfc нужен был когда сеть была децентрализована,
    > для чтобы все участники работали согласовано. а сейчас когда сетью рулят
    > несколько корпораций и все завязывается под их нужды и сервисы, на
    > rfc будут класть большой и толстый прибор.

    RFC никогда и не был обязательным к исполнению, это не стандарт, это РЕКОМЕНДАЦИЯ по определению!

     
     
  • 4.57, zanswer CCNA RS (?), 14:26, 01/02/2017 [^] [ответить]    [к модератору]  
  • +/
    RFC может при определённых условиях стать Internet Standard (STD), если оно изначально было опубликовано в статусе "Standards Track".
     
  • 4.58, zanswer CCNA RS (?), 14:30, 01/02/2017 [^] [ответить]    [к модератору]  
  • +/
    Тут можно посмотреть список RFC, которым присвоен статус Internet Standards (STD): http://www.rfc-editor.org/standards
     
  • 3.56, zanswer CCNA RS (?), 14:20, 01/02/2017 [^] [ответить]    [к модератору]  
  • +/
    Я нечего не перепутал, я прочитал спецификацию, что указана в теме, указал, что она оформлена в стиле RFC, указал, что в нём нет указание на то, что вы не можете выступать для себя провайдером восстановления.

    А будут или не будут разночтения этого RFC среди тех, кто будет реализовывать данный протокол, я не знаю. В идеале их быть не должно, но, как показывает практика других RFC, они бывают и достаточно часто.

     
  • 1.63, СМЕВРАП (?), 20:34, 01/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Это имело бы хоть-какой-то смысл, если бы восстановление шло по авторизации только от нескольких сервисов одновременно, ну или по схеме 3 из 4 итп
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor