The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

31.01.2017 09:06  Facebook предложил новый метод восстановления забытых паролей

Инженеры из компании Facebook разработали новый протокол DelegatedRecovery, предназначенный для восстановления забытых паролей. Протокол предоставляет сайтам возможность делегирования функций восстановления учётной записи через рабочую учётную запись, контролируемую тем же пользователем, но размещённую в другом сервисе. В качестве эксперимента в ограниченном виде данный протокол опробован в GitHub для организации восстановления доступа при наличии рабочей учётной записи в Facebook, и может пригодиться в случае утери телефона или носимого токена, применяемых в двухфакторной аутентификации на GitHub.

Протокол нацелен на устранение дополнительных угроз, возникающих при использовании традиционных схем восстановления паролей, манипулирующих известными для конкретного пользователя фактами из разряда "девичья фамилия матери" или использующими отправку кода восстановления через email/SMS (например, при захвате злоумышленником контроля над email или смартфоном, они могут быть использованы для получения контроля над учётными записями во всех привязанных к ним сервисах). DelegatedRecovery позволяет обойтись без привязки к email или номеру телефона, применяя в качестве фактора для восстановления контроля над учётными данными наличие доступа к другому доверительному сервису. Например, для восстановления входа в GitHub может использоваться учетная запись в Facebook.

Суть метода в предварительной генерации и сохранении на стороне другой системы специального токена, содержащего криптослепок параметров аутентификации (в рассмотренном примере GitHub по запросу пользователя может создать слепок учётных данных, после чего этот слепок необходимо сохранить в аккаунте этого же пользователя в Facebook). Все данные в токене зашифрованы и сторонний сервис (в примере Facebook) не может получить доступ к информации. На стороне сгенерировавшей токен системы (в примере GitHub) в привязке к пользователю сохраняется идентификатор токена и его состояние. В случае если пользователь потеряет контроль над учётной записью в GitHub он может воспользоваться ранее сгенерированным токеном для подтверждения своих прав на учётную запись.

При необходимости восстановления утерянного доступа, пользователь может войти в Facebook и отправить в GitHub проверочный токен, который имеет фиксированное небольшое время жизни и ограничен по числу возможных попыток восстановления. Кроме содержимого ранее сохранённого токента, ключ восстановления также снабжается цифровой подписью сервиса, подтверждающей, что данные отправлены тем же пользователем, который когда-то сохранил токен. Интенсивность применения операции восстановления ограничена - если в случае с получением контроля над email или смартфоном атакующий может сразу атаковать все другие учётные записи пользователя, то получив контроль за аккаунтом в Facebook, он сможет формировать запросы на восстановление, например, не чаще одного раза в день.

В настоящее время для изучения и обсуждения доступен черновой вариант спецификации протокола, который поставляется под лицензией Creative Commons Attribution 4.0. В ближайшее время планируется опубликовать код эталонной реализации протокола для различных языков программирования, которая позволит внедрить новый метод восстановления доступа на собственном сайте.

  1. Главная ссылка к новости (https://www.facebook.com/notes...)
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: password, crypt, facebook
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 09:46, 31/01/2017 [ответить] [смотреть все]
  • +16 +/
    А это разве не равносильно использованию одного пароля на нескольких сайтах? И вообще мордокниге не стоит доверять.
     
     
  • 2.6, Доктор Звездулькин, 10:21, 31/01/2017 [^] [ответить] [смотреть все] [показать ветку]
  • –3 +/
    Я так понимаю, нет, потому что если кто-нибудь восстановит твой пароль на Гитхаб... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, Аноним, 11:52, 31/01/2017 [^] [ответить] [смотреть все]  
  • +14 +/
    Это как бы уже поздно.
     
  • 1.2, Виталий, 09:54, 31/01/2017 [ответить] [смотреть все]  
  • +15 +/
    Да и метаданные собирать удобно
    Это проверка на тупость похоже
     
     
  • 2.14, Аноним, 11:50, 31/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    > проверка на тупость

    пользователям фб можно сразу внедрять

     
  • 1.3, SpiritOfStallman, 09:56, 31/01/2017 [ответить] [смотреть все]  
  • +5 +/
    Взломал один сервис - взломал все. Наверно еще будут и подсказки, для каких других сервисов тут есть токены. Удобно.

    Ну и даже стыдно упоминать, насколько это было бы удобно для рекламщиков и прочих датамайнеров.

     
     
  • 2.5, Аноним, 10:09, 31/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Скорее наоборот Сейчас взломав email пользователя например, устроив перехват ч... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, scorry, 11:32, 31/01/2017 [^] [ответить] [смотреть все]  
  • +6 +/
    > через _доверительный_ сервис

    Ну вот же, положила (с).

     
  • 3.46, cmp, 08:15, 01/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Это кому как, карманникам труда не составит, а потом продавать эти ключи на разв... весь текст скрыт [показать]
     
  • 1.4, Аноним, 10:04, 31/01/2017 [ответить] [смотреть все]  
  • +1 +/
    Запатентовали небось, а потом будут трясти бабло с тех, кто сдуру решил использо... весь текст скрыт [показать]
     
  • 1.7, Аноним, 10:23, 31/01/2017 [ответить] [смотреть все]  
  • +5 +/
    норм. технология. осталось только доверительный сервис найти
     
     
  • 2.72, ffirefox, 06:36, 10/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    У жентельменов принято верить на слово.


     
  • 1.8, pechen.treski, 10:31, 31/01/2017 [ответить] [смотреть все]  
  • +5 +/
    значит, традиционная схема с мылом уже тоталитарная, а то же самое, только вместо мыла пейсбук - уже православно и демократично. Ведь так же всё в один спасительный сервис упирается
     
     
  • 2.27, Аноним, 14:01, 31/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    плюсую нет ничего хуже для интернета, чем централизация не понимаю, почему бол... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.37, лор унитаз, 15:49, 31/01/2017 [^] [ответить] [смотреть все]  
  • +/
    В первую очередь на это ведутся обычные пользователи А админам просто некуда де... весь текст скрыт [показать]
     
  • 2.32, Анонян, 14:46, 31/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а что, фейсбук уже можно запустить локально на своем сервере поддиваном?
     
  • 1.9, Неиилюзорная Фтопка Локалхоста, 10:39, 31/01/2017 [ответить] [смотреть все]  
  • +3 +/
    Вообще, аутентификация всюду через гугл-гитхаб-фейсбук несколько напрягает. Недавно тестировали DC/OS, чтобы поставить на свой кластер - там вход в админку либо через гугл, либо через гитхаб, либо live.com [1]. На наш собственный кластер. Мы не можем войти без благословения гугла. Опции "использовать обычный логин с паролем" или "локальный LDAP" в community-верси просто нет. Можно только отключить аутентизацию вообще. И это свободный софт. Всем пох, никто не форкнет и не пропатчит. Мы тоже (просто выкинули ънтырпрайз в помойку и поставили обычный mesos + marathon).

    https://dcos.io/docs/1.7/administration/id-and-access-mgt/img/auth-login.gif

     
     
  • 2.10, Аноним, 10:44, 31/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Просто с точки зрения гугла собственные кластеры не нужны!
     
  • 2.11, Неиилюзорная Фтопка Локалхоста, 10:50, 31/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +8 +/
    Вдогонку: Apache Mesos использовал привычную терминологию master/slave. Потом в багтрекер прибежали Воины Социальной Справедливости и потребовали везде заменить слово slave на agent. Потому что слово slave вызывает ассоциации с притеснением и страданием и может отпугнуть пользователей. Теперь Apache Mesos использует терминологию master/agent. На работе все новички путаются, кто из них кто, старые скрипты сломались, бинарник mesos-slave тоже переименовали, зато Социальная Справедливость восстановлено. Желаю им персонального ада с чертями-феминистками.
     
     
  • 3.12, pkdr, 11:22, 31/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну сделай свой форк и там поиском замени везде master agent на white nigger и ра... весь текст скрыт [показать]
     
     
  • 4.18, Бог, 12:02, 31/01/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Я, пожалуй, на днях форкну мир и сделаю всё хорошо.
     
  • 3.16, Аноним, 11:56, 31/01/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Угу, комплексы англоговорящих влияют на весь мир - ... весь текст скрыт [показать]
     
     
  • 4.19, Аноним, 12:06, 31/01/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Терминология изначально имела глупое название Хозяин-Рабы с дальнейшим описанием... весь текст скрыт [показать]
     
     
  • 5.20, Бог, 12:13, 31/01/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Эта терминология старше, чем ты.
     
     
  • 6.24, Аноним, 13:10, 31/01/2017 [^] [ответить] [смотреть все]  
  • –4 +/
    Это не значит, что она хорошая Взять привычное Вырезать-Скопировать-Вставить П... весь текст скрыт [показать]
     
     
  • 7.29, asd, 14:05, 31/01/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Вырезать-скопировать-вставить термины совершенно прозрачные, это ваши личные з... весь текст скрыт [показать]
     
     
  • 8.33, Аноним, 14:46, 31/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Термин может быть интуитивно понятным или не быть таковым Вы придумали прозрач... весь текст скрыт [показать]
     
  • 7.35, angra, 15:41, 31/01/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Потому, что объект из этого места исчезнет Ваш КО В буффер обмена, можешь назв... весь текст скрыт [показать]
     
     
  • 8.43, Retrosharer, 18:19, 31/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Буфер.
    МО.
     
  • 7.64, XoRe, 23:08, 01/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Потому что когда из газеты вырезаешь ножницами какой-то кусок, у тебя он есть, а... весь текст скрыт [показать]
     
  • 7.71, krijich, 11:21, 06/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Для кого более удачная По чему мнению более удачная Почему кто-то считает, что... весь текст скрыт [показать]
     
  • 5.22, Анон671, 12:22, 31/01/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Да, вполне
     
  • 5.65, XoRe, 23:14, 01/02/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Рано или поздно нужно бы подучить английский master - это ещё и ведущий А slav... весь текст скрыт [показать]
     
  • 1.17, AlexAT, 12:01, 31/01/2017 [ответить] [смотреть все]  
  • +1 +/
    То есть в этом случае, получив утекший пароль от фейсбука, можно будет замечательно лишиться учёток от гитхаба и чего-то ещё.

    Это примерно как все сервисы зарегать на один ящик на хотмейле...

    Спасибо, НЕНУЖНО.

     
  • 1.21, manster, 12:14, 31/01/2017 [ответить] [смотреть все]  
  • +1 +/
    Что-то участились всякие инициативы по выуживанию учетных данных.

    Восстановление забытого пароля проще простого работает через почту. Все что нужно, так это возможность добавления альтернативных имейлов.

     
     
  • 2.28, Гуглик, 14:03, 31/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Каких таких альтернативных емейлов?
     
     
  • 3.40, нах, 16:49, 31/01/2017 [^] [ответить] [смотреть все]  
  • +/
    как это каких - email1 google com, email2 google com, email123 google com ой,... весь текст скрыт [показать]
     
  • 1.23, Аноним, 12:32, 31/01/2017 [ответить] [смотреть все]  
  • +2 +/
    для восстановления входа в GitHub может использоваться учетная запись в Faceboo... весь текст скрыт [показать]
     
  • 1.25, Аноним, 13:18, 31/01/2017 [ответить] [смотреть все]  
  • +/
    Ребята изобрели OpenID, чо.
     
     
  • 2.41, нах, 16:57, 31/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    если бы - Весь смысл openid при всей его неуклюжести и уродстве был в том, ч... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.47, Аноним, 10:05, 01/02/2017 [^] [ответить] [смотреть все]  
  • +/
    > угадай, сколько нашлось?

    ну и?
    заинтриговал

     
  • 3.59, scorry, 14:35, 01/02/2017 [^] [ответить] [смотреть все]  
  • +/
    А как же поиск по строке self hosted openid Или я не то ищу, о чём вы говорите ... весь текст скрыт [показать]
     
     
  • 4.67, нах, 14:39, 02/02/2017 [^] [ответить] [смотреть все]  
  • +/
    ищешь то, только не найдешь Лично у меня оно возвращает стопиццот ссылок на око... весь текст скрыт [показать]
     
     
  • 5.68, scorry, 14:54, 02/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Нет У меня возвращает три-четыре реализации и хауту по настройке ЧЯДНТ Разниц... весь текст скрыт [показать]
     
     
  • 6.69, нах, 00:50, 03/02/2017 [^] [ответить] [смотреть все]  
  • +/
    гугль у каждого свой Ты никогда не ДЕЛАЛ, вот что не так Я в свое время пыталс... весь текст скрыт [показать]
     
  • 1.26, J.L., 13:41, 31/01/2017 [ответить] [смотреть все]  
  • +/
    что за бред ??? а чем это отличается от "фейсбук, сгенери мне хеш32гигабайта, я его положу под подушку на флешке, а когда потеряю пароль - я по нему в тебя войду" ???
     
     
  • 2.70, нах, 00:59, 03/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    тем что не в тебю, а в ею То есть чтоб восстановить просраный гитхабовский логи... весь текст скрыт [показать] [показать ветку]
     
  • 1.30, Аноним, 14:17, 31/01/2017 [ответить] [смотреть все]  
  • +/
    Мда, идиоты. Это ничем не отличается от привязки к мылу или телефону.
     
  • 1.31, Аноним, 14:36, 31/01/2017 [ответить] [смотреть все]  
  • +/
    Так и не понял, в чём отличие восстановления пароля через привязанный эмейл или ... весь текст скрыт [показать]
     
     
  • 2.34, Аноним, 15:24, 31/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    В том, что facebook будет знать о тебе немного больше а если серьезно - Хыпстер... весь текст скрыт [показать] [показать ветку]
     
  • 1.36, Анонимум, 15:46, 31/01/2017 [ответить] [смотреть все]  
  • +1 +/
    Граждане! Храните пароли в KeePassX и делайте автоматические бэкапы!
     
     
  • 2.39, kpx2, 16:21, 31/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    keepassx2
     
     
  • 3.60, Vcoder, 14:55, 01/02/2017 [^] [ответить] [смотреть все]  
  • +/
    К сожалению, во второй версии он испортился Исчез генератор паролей с кнопкой ... весь текст скрыт [показать]
     
     
  • 4.61, scorry, 17:10, 01/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Можно KeePass2 поставить Начальный небольшой гемор с моно, и дальше всё работае... весь текст скрыт [показать]
     
     
  • 5.62, Vcoder, 19:16, 01/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Работает, да Но генератор паролей такой же ущербный Для меня он был одной из к... весь текст скрыт [показать]
     
  • 4.66, ызусефещк, 14:19, 02/02/2017 [^] [ответить] [смотреть все]  
  • +/
    в опциях нажимаешь любую вкл/выкл и пароли перегенерятся
     
  • 1.38, Аноним, 15:59, 31/01/2017 [ответить] [смотреть все]  
  • +/
    Вспоминая ICQ, увод шести пятизнаков, где доверительным сервисом была почта П... весь текст скрыт [показать]
     
     
  • 2.42, icq protocol, 17:08, 31/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Раньше протокол аськи не фишровался, и с помощью простого tcpdump можно было про... весь текст скрыт [показать] [показать ветку]
     
  • 1.44, Ilya Indigo, 01:18, 01/02/2017 [ответить] [смотреть все]  
  • +/
    Такой чуши от FB даже не ожидал... да ещё и github им содействует...
    Вместо мыла и телефона, которые являются самыми надёжными средствами восстановления доступа, они пытаются наврать хомячкам, что они, мол, ненадёжны и лучше делегируйте нам право войти на любую вашу учётку, начиная с github-а - это гораздо надёжнее и безопаснее.
     
  • 1.45, Аноним, 06:11, 01/02/2017 [ответить] [смотреть все]  
  • +/
    ну пусть кому-то удобнее использовать фесбук вместо емейла но если я вдруг потер... весь текст скрыт [показать]
     
  • 1.48, Гентушник, 10:52, 01/02/2017 [ответить] [смотреть все]  
  • +/
    Насколько я понимаю, можно будет делегировать восстановление пароля от одного сервиса другому сервису, а не только почте/телефону/девичьи фамилии материи.

    Было бы интересно, если бы можно было делегировать произвольному сервису, в т.ч. поднять свой сервис и делегировать восстановление ему.

    На практике же скорее всего будет ограниченный список кому можно делегировать, без ввода произвольного значения.

     
     
  • 2.50, scorry, 11:41, 01/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Насколько я понимаю, можно будет делегировать восстановление пароля от одного сервиса другому
    > сервису, а не только почте/телефону/девичьи фамилии материи.
    > Было бы интересно, если бы можно было делегировать произвольному сервису, в т.ч.
    > поднять свой сервис и делегировать восстановление ему.
    > На практике же скорее всего будет ограниченный список кому можно делегировать, без
    > ввода произвольного значения.

    На практике списка не будет, объявят — и жри, что дают.

     
  • 1.49, zanswer CCNA RS, 10:56, 01/02/2017 [ответить] [смотреть все]  
  • –1 +/
    Сама спецификация на протокол, написанна в стиле RFC, думаю, что её внесут, как RFC в последствии, не налагает ограничений на то, кто будет выступать в роли провайдера восстановления, что хранит токен.
     
     
  • 2.51, Аноним, 11:56, 01/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    вы наверное с api перепутали rfc нужен был когда сеть была децентрализована, дл... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.52, SysA, 12:10, 01/02/2017 [^] [ответить] [смотреть все]  
  • +/
    > вы наверное с api перепутали. rfc нужен был когда сеть была децентрализована,
    > для чтобы все участники работали согласовано. а сейчас когда сетью рулят
    > несколько корпораций и все завязывается под их нужды и сервисы, на
    > rfc будут класть большой и толстый прибор.

    RFC никогда и не был обязательным к исполнению, это не стандарт, это РЕКОМЕНДАЦИЯ по определению!

     
     
  • 4.57, zanswer CCNA RS, 14:26, 01/02/2017 [^] [ответить] [смотреть все]  
  • +/
    RFC может при определённых условиях стать Internet Standard (STD), если оно изначально было опубликовано в статусе "Standards Track".
     
  • 4.58, zanswer CCNA RS, 14:30, 01/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Тут можно посмотреть список RFC, которым присвоен статус Internet Standards (STD): http://www.rfc-editor.org/standards
     
  • 3.56, zanswer CCNA RS, 14:20, 01/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Я нечего не перепутал, я прочитал спецификацию, что указана в теме, указал, что она оформлена в стиле RFC, указал, что в нём нет указание на то, что вы не можете выступать для себя провайдером восстановления.

    А будут или не будут разночтения этого RFC среди тех, кто будет реализовывать данный протокол, я не знаю. В идеале их быть не должно, но, как показывает практика других RFC, они бывают и достаточно часто.

     
  • 1.63, СМЕВРАП, 20:34, 01/02/2017 [ответить] [смотреть все]  
  • +/
    Это имело бы хоть-какой-то смысл, если бы восстановление шло по авторизации только от нескольких сервисов одновременно, ну или по схеме 3 из 4 итп
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList