2017/01/31

Facebook quer acabar com as perguntas de recuperação de password


Os sistemas de recuperação de password com perguntas são, em muitos casos, autênticas portas abertas que facilitam o trabalho dos hackers para se apoderarem de uma conta; e o Facebook quer que resolver o problema com um novo sistema de recuperação que começará por ser testado com contas do GitHub.

Hoje em dia não há serviço que se use que não utilize uma password, e há sempre a possibilidade de que, por algum qualquer motivo, se possa perder uma dessas passwords. Quando isso acontece somos obrigados a recorrer ao sistema de recuperação da password - e é aqui que muitos serviços, mesmo de grandes empresas, contêm falhas graves.

Por exemplo, é frequente que o processo de recuperação da password faça perguntas que o utilizador respondeu previamente, e que sejam sobre coisas banais que possam ser adivinhadas em poucas tentativas (ou com uma simples pesquisa nas redes sociais), como "cor favorita", "clube desportivo", etc. etc. Por algum motivo é recomendado que, a existirem estas perguntas, respondam sempre coisas impossíveis de adivinhar, do estilo "alskdjal823u4l2kj52l52ojkjqawiwepscmv1" - isto no caso em que o sistema limita as opções a meia dúzia de respostas pré-definidas em que se pode apenas seleccionar uma!


O novo sistema de recuperação do Facebook recorre a um token de autenticação que permite validar a identidade do utilizador no caso deste se esquecer da password noutro serviço. O único senão é que este sistema terá que ser activado e completado previamente (antes de se perder a password), sendo que a partir daí o Facebook poderá ser utilizador para recuperar uma conta num serviço externo - sem que exista qualquer partilha efectiva de dados do utilizador.

A ideia é boa, e contempla a possibilidade de recuperação de uma conta mesmo sem acesso a uma conta de email ou número de telefone, mas há também que considerar os riscos adicionais, como a possibilidade de alguém que se apodere de uma conta do Facebook poder usar estes tokens para se apoderar das contas dos serviços externos - coisa que o Facebook diz que poderá ser minimizado utilizando sistemas que apliquem atrasos forçados entre recuperações de conta...


A mim, parece-me que, depois de ter falhado em se tornar o principal serviço de email usado pelos utilizadores, o Facebook quer pelo menos ficar com a parte (importante) de servir como serviço central que possa agregar o acesso a serviços de terceiros (isto para não falar naqueles que já permitem fazer a autenticação com as credenciais do Facebook.) Pelo lado positivo, será um protocolo aberto, o que significa que não se terá obrigatoriamente que ficar dependente do Facebook...

3 comentários:

  1. A pergunta de recuperação é de facto uma grave falha de recuperação, muitas vezes implementada sem número de tentativas. E se colocamos uma autêntica password como resposta, em cada um dos serviços que utilizamos, acabamos por ter que nos lembrar de duas passwords em vez de uma. Muita gente cria uma resposta complexa e difícil de adivinhar, mas depois usa essa mesma resposta em todos os serviços.

    ResponderEliminar
  2. As perguntas de recuperação são uma dor de cabeça. Por exemplo: qual o se clube preferido. Nunca me lembro se escrevi Benfica, Benfica, BENFICA, SLB, Sport Lisboa e Benfica ou Glorioso!

    ResponderEliminar
    Respostas
    1. Eh pá, trazer futebolices para o AADM parece-me desnecessário visto o ex PENTA CAMPEÃO estar apenas a 1 ponto da liderança :P

      Eliminar

[pub]