La autenticación en dos pasos es una de las formas más efectivas y relativamente simples de añadir una capa de protección adicional a tus cuentas en linea. A un tercero malintencionado no le bastaría solo con tener tu usuario y contraseña, sino que tendría que tener ese otro factor externo para poder hacerse con tu información. Ese otro factor suele ser algo que tenemos o que somos. Puede ser una aplicación en el móvil, un SMS, nuestra huella digital, un token especial, etc.
Lo más común es que usemos el smartphone para esto, y además de los riesgos que implica usar la autenticación en dos pasos a través de SMS siempre existe la posibilidad de que perdamos el dispositivo y nos quedemos sin acceso a nuestras cuentas. Ese es el problema que quieren solucionar en Facebook con su nueva herramienta llamada Delegated Recovery.
Facebook propone que en lugar de usar tu móvil como segundo factor de autenticación, uses Facebook. Por ejemplo, si pierdes los datos de inicio de sesión de tu cuenta en GitHub, puedes iniciar sesión en Facebook y enviarle al sitio un token de recuperación almacenado en la red social. Este token estará cifrado y podrá comprobar tu identidad a GitHub para que inicies sesión.
Delegated Recovery fue anunciado por el ingeniero de seguridad de Facebook Brad Hill, quien dijo que están construyendo esto porque la recuperación de cuentas es un problema que comparten todos los servicios en linea, y que el acceso seguro es la base sobre la que construyen todos sus productos.
Facebook como el centro de tu identidad
En lugar de usar un email, o un SMS en tu móvil, estarías usando Facebook como el centro de tu identidad en linea, como el sitio al que sen envían las opciones de recuperación y como el lugar donde se puede comprobar tu identidad. Estarías dando incluso más información y control sobre tu vida en la web a la red social de Mark Zuckerberg, que no duda en capitalizar en la mala reputación que ha ganado la seguridad del email, especialmente teniendo en cuenta casos como el de Yahoo.
La inseguridad del email, de los SMS, o el riesgo inminente que tenemos todos de perder el móvil, son razones para pensar en que los métodos actuales de autenticación en dos pasos necesitan mejorar. Facebook está construyendo este Delegated Recovery como una opción, también está liberando su código y haciéndolo parte del programa de recompensas de la empresa, para que los investigadores puedan probarlo y apuntar sus vulnerabilidades.
De momento esta herramienta está disponible de forma limitada para usarse solo con GitHub. Facebook asegura que que los tokens siempre estarán cifrados y que la empresa no puede acceder a la información almacenada en ellos. También prometen no compartirlos con sitios de terceros, pero de promesas de Facebook los usuarios de WhatsApp saben algunas cosas. Además, ¿qué pasa si perdemos acceso a nuestra cuenta de Facebook?
Vía | The Next Web
En Genbeta | Por qué no debes confiar en la autenticación en dos pasos a través de SMS
