¿Es más segura la nueva recuperación delegada de Facebook que un sistema de recuperación tradicional?

1

Estaba leyendo el recuperación de contraseña delegada proceso introducido por Facebook.

Estoy tratando de relacionar todo el proceso con los mecanismos tradicionales de recuperación de contraseña (es decir, enviar un correo electrónico para restablecer la contraseña al correo conectado y el usuario tiene la opción de hacer clic en el enlace y restablecer la contraseña desde allí o puede copiarlo). pegue un token de una sola vez para verificar el correo electrónico y luego restablezca la contraseña).

Estaba pensando que la recuperación delegada de Facebook hace casi lo mismo. En lugar de correo electrónico, se supone que el usuario se autentique con Facebook. En lugar de enviar la contraseña de restablecimiento url / token único, aquí Facebook enviará de vuelta el token asociado con esa cuenta. Así que, según tengo entendido, todo el proceso de verificación de correo electrónico está automatizado por Facebook para la recuperación delegada.

En ese caso, ¿qué seguridad adicional proporciona la recuperación delegada? Estoy de acuerdo con los ataques de MiTM contra la parte de correo electrónico. Aparte de eso, ¿cómo es esto más seguro que los métodos convencionales?

    
pregunta Anonymous Platypus 02.02.2017 - 12:09
fuente

1 respuesta

3

Ventajas:

  • El proveedor de recuperación puede tener autenticación de dos / múltiples factores.
    • - > podría ser más seguro que su proveedor de correo electrónico
  • Cuando su cuenta de correo electrónico es hackeada y un atacante se hace cargo de su cuenta en un proveedor de cuentas, puede recuperarla.

Contras

  • Tienes que confiar en tu proveedor de recuperación
  • Si alguien obtiene acceso a su cuenta en el proveedor de recuperación, la persona también puede obtener acceso a sus otras cuentas

Resumen

Solo debe usar la recuperación delegada cuando se cumplen las siguientes condiciones:

  • confía en el proveedor de recuperación
  • el proveedor de recuperación proporciona una autenticación más segura, por ejemplo, autenticación de dos factores

Posible solución para una mejor seguridad

Un proveedor de cuenta puede proporcionar un sistema de recuperación en el que tenga que acceder a varios proveedores de recuperación para probar su identidad, por ejemplo. Facebook y stackoverflow.

    
respondido por el nebulak 02.02.2017 - 12:55
fuente

Lea otras preguntas en las etiquetas