31.01.2017
Technology

Facebook wil de veiligheid van je hele online identiteit beheren

By: Patrick Smeets

BlogTechnology

Onze online identiteit hangt aan elkaar van allerlei verschillende accounts, vaker wel dan niet met allemaal hetzelfde wachtwoord. Ben je wel voorzichtig en probeer je de wachtwoorden in elk geval te variëren, zit je vermoedelijk eens in de zoveel tijd ‘ik ben mijn wachtwoord vergeten’ aan te klikken zodat je een mailtje krijgt met je nieuwe tijdelijke wachtwoord. Het is precies die connectie, tussen al je wachtwoorden en je e-mailadres, die Facebook wil gaan vervangen.

Delegated Recovery

Het is ook logisch: als iemand je e-mail binnen weet te dringen is de rest van je online aanwezigheid binnen een paar minuten ook binnen gehengeld via datzelfde systeem. In security-termen wordt dat een single point of failure genoemd: de zwakste schakel in je hele online veiligheid. Dat wil Facebook oplossen met iets dat ze Delegated Recovery noemen. Dat gaat voorbij aan veiligheidsvragen, recovery e-mails en sms’jes, dingen die allemaal werken maar eigenlijk niet meer veilig genoeg zijn voor de huidige stand van technologie. We kunnen ook niet allemaal met fysieke sleutels gaan rondrennen om onze accounts te beschermen.

Eerste test

Facebook pakt het serieus aan en heeft ook al een versie van deze techniek aan de praat. Een andere site maakt daarin een recovery token aan, een sleutel die veilig (via HTTPS natuurlijk) opgeslagen wordt binnen Facebook maar die niet door Facebook zelf bekeken kan worden. Het zit in een soort digitale kluis daar en alleen als een andere site bevestiging nodig heeft van iemands identiteit wordt er in de kluis gecheckt of de sleutel daar ligt. Is dat zo, dan kun je als gebruiker de controle over de account op de andere site terug krijgen.

Het systeem gaat nu in test bij Github, niet toevallig. Github is een site die wordt gebruikt door veel mensen in de security-sector en omdat het systeem open source is kunnen die er meteen mee aan de slag. Het is een systeem dat veel mogelijkheden biedt. Het systeem met de recovery tokens zou ook andersom moeten gaan werken en uiteindelijk kan dit tot een systeem leiden waarin je verschillende accounts elkaar kunnen helpen om terug in de andere komen. Dat zou theoretisch een situatie kunnen opleveren waarin een hacker je online identiteit niet kan overnemen zolang niet ál je accounts tegelijkertijd gehackt worden.

Share this post