Facebook, les équipes GitHub en place pour faire un mot de passe réinitialisé plus sûr

Marc 1 février 2017 Commentaires fermés sur Facebook, les équipes GitHub en place pour faire un mot de passe réinitialisé plus sûr

GitHub adopte Delegate Recovery, protocole de Facebook pour identifier et élaborer des comptes de sécurité dans la nouvelle façon dont les utilisateurs retrouvent  l’accès à leurs comptes. Les chercheurs en sécurité sont encouragés à prendre part au programme de primes et de découvrir les failles de sécurité potentielles avant que le système devienne largement utiliser à travers l’Internet.

Delegate Recovery : limité à la connexion avec Facebook

Facebook, les équipes GitHub en place pour faire un mot de passe réinitialisé plus sûr

Facebook, les équipes GitHub en place pour faire un mot de passe réinitialisé plus sûr

Avec GitHub supportant le protocole, les utilisateurs peuvent lier de manière proactive leurs comptes Facebook avec leurs comptes GitHub. La seule chose que GitHub sait est que l’utilisateur dispose également d’un compte sur Facebook. Facebook sait que l’utilisateur possède un compte sur GitHub, mais rien d’autre est partagé. Si un utilisateur perd le contrôle du compte GitHub, l’utilisateur peut se connecter à Facebook pour envoyer un jeton de récupération horodatée à GitHub pour déverrouiller leur compte. À l’heure actuelle, Delegate Recovery est limitée à la connexion avec Facebook, mais le protocole est destiné à être ouvert à relier tous les sites supportant le protocole. Facebook n’a pas besoin de faire partie de l’équation, il prévoit de publier une mise en œuvre du protocole de référence open source en plusieurs langues. La page GitHub a actuellement un peu la spécification.

Delegate Recovery déplace le travail derrière la récupération de compte

Étant donné que les jetons étant échangés sont horodatés et le contenu sont cryptographiquement signés, le protocole peut être utilisé à des fins autres que la récupération de compte. La spécification décrit comment Delegate Recovery peut être utilisé pour récupérer e-mail ou des fichiers cryptés. Par exemple, le fournisseur d’un service de chiffrement peut utiliser un crypto-système de seuil pour casser une clé en plusieurs parties, et demander à l’utilisateur de stocker les pièces (codées dans le champ de données opaque) que des jetons de récupération de compte à plusieurs fournisseurs. Si l’utilisateur perd son propre copie de la clé, ils peuvent encore récupérer, mais la sauvegarde n’est pas soumise à un compromis côté serveur par une seule entité. Delegate Recovery déplace le travail derrière la récupération de compte loin de propriétaires et développeurs de sites individuels et sur les prestataires établis. Ceci est similaire à la façon dont les sites Web et les développeurs d’applications peuvent décider de transférer les tâches de connexion et de sécurité du mot de passe à Google et fournisseurs similaires ( « Connexion avec Google ») au lieu de gérer les informations de compte eux-mêmes.

Le déploiement de GitHub est limité pour obtenir des rapports de bugs de chercheurs en sécurité. La disponibilité générale pour d’autres sites est prévue pour plus tard cette année.

Il n'est plus possible de faire de commentaire.