Facebook wil de veiligheid van je hele online identiteit beheren

Facebook wil de veiligheid van je hele online identiteit beheren

Vorig artikel Volgend artikel

Onze online identiteit hangt aan elkaar van allerlei verschillende accounts, vaker wel dan niet met allemaal hetzelfde wachtwoord. Ben je wel voorzichtig en probeer je de wachtwoorden in elk geval te variëren, zit je vermoedelijk eens in de zoveel tijd 'ik ben mijn wachtwoord vergeten' aan te klikken zodat je een mailtje krijgt met je nieuwe tijdelijke wachtwoord. Het is precies die connectie, tussen al je wachtwoorden en je e-mailadres, die Facebook wil gaan vervangen.

Delegated Recovery

Het is ook logisch: als iemand je e-mail binnen weet te dringen is de rest van je online aanwezigheid binnen een paar minuten ook binnen gehengeld via datzelfde systeem. In security-termen wordt dat een single point of failure genoemd: de zwakste schakel in je hele online veiligheid. Dat wil Facebook oplossen met iets dat ze Delegated Recovery noemen. Dat gaat voorbij aan veiligheidsvragen, recovery e-mails en sms'jes, dingen die allemaal werken maar eigenlijk niet meer veilig genoeg zijn voor de huidige stand van technologie. We kunnen ook niet allemaal met fysieke sleutels gaan rondrennen om onze accounts te beschermen.

We hebben iets beters nodig - een manier om toegang terug te krijgen met identiteiten en services die je vertrouwt, los van of ze een associatie hebben met een email adres of telefoonnummer. Dat proces moet makkelijk en veilig zijn én je privacy respecteren.
- Brad Hill, Facebook

Eerste test

Facebook pakt het serieus aan en heeft ook al een versie van deze techniek aan de praat. Een andere site maakt daarin een recovery token aan, een sleutel die veilig (via HTTPS natuurlijk) opgeslagen wordt binnen Facebook maar die niet door Facebook zelf bekeken kan worden. Het zit in een soort digitale kluis daar en alleen als een andere site bevestiging nodig heeft van iemands identiteit wordt er in de kluis gecheckt of de sleutel daar ligt. Is dat zo, dan kun je als gebruiker de controle over de account op de andere site terug krijgen.

Het systeem gaat nu in test bij Github, niet toevallig. Github is een site die wordt gebruikt door veel mensen in de security-sector en omdat het systeem open source is kunnen die er meteen mee aan de slag. Het is een systeem dat veel mogelijkheden biedt. Het systeem met de recovery tokens zou ook andersom moeten gaan werken en uiteindelijk kan dit tot een systeem leiden waarin je verschillende accounts elkaar kunnen helpen om terug in de andere komen. Dat zou theoretisch een situatie kunnen opleveren waarin een hacker je online identiteit niet kan overnemen zolang niet ál je accounts tegelijkertijd gehackt worden.

Patrick Smeets

Game-enthousiast, tech blogger en presentator. Was ooit rockster. Local celebrity in Limburg maar ziet graag veel van de wereld. Er zijn niet genoeg kattenGIFjes...

Reageren is uitgeschakeld omdat er geen cookies opgeslagen worden.

Cookies toestaan Meer informatie over cookies