Tietoturva

Facebookin ohjelmoijat ovat kehittäneet uuden menetelmän korvata unohtunut salasana, kertoo muun muassa Bleeping Computer https://www.bleepingcomputer.com/news/security/facebook-designs-new-account-recovery-system-thats-actually-pretty-clever/ -sivusto https://www.bleepingcomputer.com/news/security/facebook-designs-new-account-recovery-system-thats-actually-pretty-clever/ . Facebookin edustajat kertoivat keksinnöstä eilen Enigma-tietoturvakonferenssissa Yhdysvalloissa.Yleensä jonkin verkkopalvelun salasanan voi palauttaa esimerkiksi vastaamalla turvakysymyksiin, joiden vastauksen toivon mukaan tietää vain käyttäjä itse. Ongelmana on, että käyttäjät usein unohtavat itse asettamansa vastaukset, tai ne ovat olleet niin helppoja arvata, että hakkerit ovat pystyneet murtautumaan käyttäjien tileille niiden avulla ilman salasanaa.Uusi menetelmä on palautustunniste (recovery token), eli koodinpätkä, jonka käyttäjä voi tallentaa toiseen verkkopalveluun. Ensimmäisenä ratkaisun ottavat käyttöön Facebook ja ohjelmistokoodin jakamiseen erikoistunut GitHub-verkkopalvelu, mutta Facebookin mukaan menetelmä on mahdollista ottaa käyttöön kaikissa tunnistautumista vaativissa verkkopalveluissa.Jatkossa esimerkiksi GitHubin käyttäjä voi luoda palvelussa oman palautustunnisteen Facebookin kehittämän ratkaisun avulla. Tämän jälkeen hän voi tallentaa palautustunnisteen Facebookiin. Jos hän myöhemmin unohtaa GitHub-salasanansa, hän voi mennä Facebookiin ja lähettää sieltä palautustunnisteen GitHubille.Palautustunniste on salattu, joten Facebookin mukaan Facebook tai mikään muukaan ulkopuolinen ei voi sen avulla murtautua käyttäjän verkkopalveluun. Tunnisteessa on myös aikaleimaan perustuva salasana, jonka tehtävänä on paljastaa, jos joku on muokannut alkuperäistä tunnistetta.Tunnistetta ei välttämättä tarvitse tallentaa vain Facebookiin, vaan myös muihinkin verkkopalveluihin, jotka ovat ottaneet menetelmän käyttöön. Käyttäjä voisi siis vaikka tallentaa eri verkkopalvelujensa palautustunnisteita hajautetusti eri palveluihin tai vaikka vain luotettavimpana pitämäänsä palveluun.Facebook on pannut ratkaisunsa koodin avoimeen jakoon GitHub-palvelussa https://github.com/facebookincubator/DelegatedRecovery/