Facebook propose un nouveau modèle pour la récupération de vos comptes

By | February 1, 2017

Facebook propose un nouveau modèle pour la récupération de vos comptes

Hier, à la conférence Usenix, les ingénieurs de Facebook ont proposé un nouveau méchanisme de récupération de compte reposant sur une coopération entre les services Web.

Delegated Recovery est un protocole capable de permettre à un site d’authentifier un utilisateur sur un autre site. Ce système d’authentification est basé sur un jeton de récupération (Recovery Token).

Ce nouveau méchanisme proposé par Facebook est en phase de test sur Facebook et GitHub. Concrètement, voici son fonctionnement :
Supposons qu’un utilisateur possède un compte sur Facebook et un autre sur GitHub. Ccet utilisateur génère un jeton de récupération avec GitHub puis enregistre ce jeton dans son compte Facebook. S’il arrivait que l’utilisateur perde l’accès à son compte GitHub,  il lui suffira de récupérer ce compte via le jeton de récupération stocké sur son compte Facebook.
La procédure se passe via le protocole HTTPS juste en quelques secondes.

Selon Facebook, le jeton de récupération est chiffré et aucun service online, ni même Facebook ne pourra les lire.
De plus, ce token comprend une contre-signature horodatée permettant à un site émetteur de vérifier son authenticité.

Les ingénieurs de Facebook assurent que ce système serait une solution beaucoup plus appropriée pour la récupération de comptes contrairement aux méthodes traditionnelles c’est à dire les questions secrètes, les adresses emails, ou les numéros de téléphone.

Le réseau social a également publié le protocole à la base de ce nouveau méchanisme sur sa page GitHub. Facebook et GitHub planifient de publier une série de bibliothèques Open Source dans d’autres langages de programmation pour assister les autres services Web dans l’implémentation de Delegated Recovery.

Déjà la semaine passée, le réseau social annonçait le support des clés USB chiffrées. Ces clés permettront aux utilisateurs d’associer leurs comptes Facebook à un token matériel. Celui-ci interviendra pour confirmer l’identité de l’internaute, qui n’aura ainsi plus l’obligation de passer par l’envoi d’un code PIN sur son smartphone.

Authentification via la clé chiffrée

Source : TheHackerNews.com

Leave a Reply

Your email address will not be published. Required fields are marked *