Cambias de ‘smartphone’ o de ordenador, tecleas tu usuario y tratas de recordar sin éxito la última contraseña que pusiste en tus redes sociales esforzándote porque fuera difícil. Todos hemos vivido alguna vez una situación similar. Los menos preocupados por su seguridad recuperarán su contraseña gracias al correo electrónico que les mandará la compañía.
Sin embargo, casos como el reciente robo de datos de Yahoo, que afectó a 1.000 millones de cuentas, demuestran que son necesarias medidas adicionales: los atacantes podrían utilizar las claves y respuestas de seguridad que consiguieron para introducirlas en otros servicios. De hecho, el propio enlace de recuperación podría estar comprometido.
La alternativa habitual en estos casos es la verificación en dos pasos: asociar un número de teléfono a nuestra cuenta para que ningún atacante pueda acceder a ella. Una opción que está disponible en múltiples servicios, entre ellos Gmail, Facebook, Twitter o Instagram. Sin embargo, la red social de Mark Zuckerberg acaba de anunciar una nueva forma de recuperar las contraseñas de manera segura sin que sea necesario tener el ‘smartphone’ a mano.
Un desafío al correo electrónico
Dentro de poco, la red social por excelencia permitirá a los usuarios de terceras webs recuperar sus contraseñas a través de su propio servicio. Los internautas podrán guardar una clave identificadora o tóken cifrado en Facebook que les permita recuperar su clave en páginas como el repositorio de código GitHub. De esta forma, si pierden su contraseña de Github, puede enviar el tóken desde su cuenta Facebook, demostrando así su identidad y consiguiendo de nuevo el acceso a su perfil en el servicio.
La compañía ha destacado que el cifrado del tóken garantiza la privacidad del usuario: Facebook no puede leer la información que ha sido almacenada en él y tampoco la compartirá con el tercer servicio sin el permiso expreso del usuario.
Por el momento, el servicio, al que ha denominado Recuperación Delegada, solo está disponible en GitHub. La herramienta ha sido puesta además a disposición de los investigadores en código abierto para que puedan estudiar si hay alguna vulnerabilidad antes de que se implemente en otras webs y plataformas.
Así, Facebook pretende acabar con los quebraderos de cabeza de los usuarios que sufren el robo o la pérdida de sus ‘smartphones’ y no pueden recuperar sus cuentas inmediatamente. Y ya de paso, aprovecha para presentarse como una alternativa más segura que el correo electrónico a la hora de recuperar contraseñas. “Hay un montón de razones técnicas por las que los correos de recuperación no son seguros. La seguridad de los correos no tiene la mejor reputación ahora mismo”, ha asegurado Brad Hill, ingeniero de seguridad en Facebook. ¿Conseguirá la red social por excelencia que nos decantemos por asociarla con todos nuestros servicios?
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
2 comments
Espero que me den mi facebook
Esta bn espero recuperarlo mi facebook