In che modo il nuovo recupero delegato di Facebook è più sicuro rispetto a un sistema di recupero tradizionale

1

Stavo leggendo il recupero della password delegato processo introdotto da Facebook.

Sto cercando di mettere in relazione l'intero processo con i tradizionali meccanismi di recupero della password (ad esempio, inviando una email di reimpostazione della password alla posta connessa e l'utente ha la possibilità di fare clic sul link e reimpostare la password da lì o può copiare incollare un token una tantum per verificare l'e-mail e quindi reimpostare la password).

Stavo pensando che il recupero delegato di Facebook sia quasi lo stesso. Invece di e-mail, l'utente dovrebbe autenticarsi con Facebook. Invece di inviare l'URL di reimpostazione della password / token a tempo pieno, qui, Facebook invierà il token associato a tale account. Quindi dalla mia comprensione, l'intero processo di verifica della posta elettronica è automatizzato da Facebook al recupero delegato.

In questo caso, quale sicurezza aggiunta fornisce il recupero delegato? Accetto gli attacchi MiTM contro la parte email. Oltre a questo, come è questo più sicuro dei metodi convenzionali?

    
posta Anonymous Platypus 02.02.2017 - 12:09
fonte

1 risposta

3

Pro:

  • Il provider di ripristino potrebbe disporre dell'autenticazione a due / più fattori.
    • - > potrebbe essere più sicuro del tuo provider di posta elettronica
  • Quando il tuo account e-mail viene violato e un utente malintenzionato acquisisce il tuo account presso un fornitore di account, puoi recuperarlo.

Contro

  • Devi fidarti del tuo provider di recupero
  • Se qualcuno accede al tuo account presso il provider di recupero, la persona è anche in grado di accedere agli altri account

Sommario

Dovresti utilizzare il recupero con delega solo se sono soddisfatte le seguenti condizioni:

  • ti fidi del provider di recupero
  • il provider di recupero fornisce un'autenticazione più sicura, ad es. autenticazione a due fattori

Possibile soluzione per una maggiore sicurezza

Un fornitore di account può fornire un sistema di recupero in cui devi accedere a più provider di recupero per provare la tua identità, ad es. facebook e stackoverflow.

    
risposta data 02.02.2017 - 12:55
fonte

Leggi altre domande sui tag