Facebook si sta impegnando per migliorare la sicurezza in fase di autenticazione al suo servizio (e anche a quello degli altri): in molti casi infatti il social network rappresenta già una porta d’accesso a servizi che contemplano il “login with Facebook”, e ora il social di Mark Zuckerberg vorrebbe anche collaborare in modo attivo a recuperare le credenziali di accesso di account collocati altrove offrendo una chiave di sicurezza da spendere alla bisogna.
Sfruttando la piattaforma di programmazione collaborativa GitHub , Facebook ha rilasciato un protocollo open source che funziona su HTTPS che può essere implementato da parte di qualsiasi sito esterno: uno strumento in grado di verificare l’identità di chi si connette mediante l’account Facebook . Si tratta di un passo in avanti rispetto all’attuale protocollo OAuth , considerato troppo complesso da utilizzare per raggiungere un grado soddisfacente di sicurezza. Rispetto al controllo su due fattori, Brad Hill, ingegnere sulla sicurezza di Facebook che ha di recente presentato il protocollo all’Enigma cybersecurity conference di Oakland, ha affermato : “abbiamo bisogna di qualcosa di meglio, un modo per recuperare l’accesso, usando identità e servizi affidabili, indipendentemente dal fatto che sono associati ad un indirizzo email o un numero di telefono”.
Il tentativo, migliorando lo standard di sicurezza, è di estendere questa opportunità e renderla fruibili a quanti più servizi online possibile. Solo pochi giorni fa è stata annunciata la possibilità di autenticarsi grazie all’ ausilio di chiavi USB e già in precedenza erano stati implementati i contatti fidati .
Il sistema è sofisticato e funziona in questo modo: gli utenti Facebook creano un token di ripristino attraverso il sito/servizio che offre il nuovo metodo di ri-autenticazione e lo salvano attraverso il proprio account social. Nel caso in cui venissero perse le credenziali di accesso al sito/servizio è possibile autenticarsi nuovamente richiedendo il token crittografato che viene accompagnato dalla firma, data e ora . Facebook non è in grado di leggere nessuna delle informazioni personali che memorizza. A questo punto l’ account viene ripristinato a patto che chi richiede il token sia la stessa persona che lo ha generato e salvato .
Grazie a questo nuovo metodo diventano superflui altri metodi di recupero dell’account come l’invio di SMS o link via email (poco sicuri perché carenti della cifratura end-to-end), o il ricorso a domande di sicurezza facilmente superabili con un minimo di ingegneria sociale. Inoltre gioca a vantaggio del nuovo metodo di accesso anche la possibilità di limitare l’utilizzo da parte di malintenzionati: grazie ad un meccanismo di controllo sarà impossibile utilizzare il protocollo per accreditarsi in maniera illegittima a decine di servizi di terze parti . Ad oggi il nuovo sistema è già in utilizzo solo su GitHub, ma Facebook è certa che i partner che vorranno approfittare della soluzione cresceranno a dismisura. È solo questione di tempo.
Mirko Zago
Ti potrebbe interessare
1 feb 2017