Facebook boosts up its security systems with Delegated Recovery feature

Delegated Recovery: Facebook veröffentlicht neue Sicherheitsfunktion

Die traditionelle Zwei-Faktor-Authentifizierung (2FA) läuft im Normalfall über Ihr Telefon oder einen physischen Token (Schlüssel/Code). Was passiert aber, wenn Sie Ihr Mobiltelefon oder diesen physischen Token verlieren? Dann müssen Sie den Kundenservice des Anbieters kontaktieren und Sie werden Schwierigkeiten haben, wieder Zugriff auf Ihren Account zu erhalten. Facebook hat einen eleganten Weg gefunden, den Aufwand, den Sie mit der Wiederherstellung des Zugriffs mittels Zwei-Faktor-Authentifizierung auf den Account haben würden, zu reduzieren: Die Delegated Recovery.

Was ist also der Unterschied? Was macht diese Delegated Recovery-Funktion so besonders?

Die Grundprinzipien von Facebooks Delegated Recovery-Funktion sind die gleichen wie bei einer normalen Zwei-Faktor- bzw. Multi-Faktor-Authentifizierung. Sie müssen Ihre Identität durch die Verwendung von zwei oder mehreren Komponenten bestätigen. Es gibt jedoch einen Unterschied! Während die klassische Zwei-Faktor-Authentifizierung meist auf den Zugriff auf Ihr Mobiletelefon oder einen physischen Token basiert, soll die Delegated Recovery-Funktion die digitalen Schlüssel Ihrer Dritt-Accounts speichern. Ok, aktuell funktioniert das nur auf GitHub, da es sich um eine Art Beta-Phase handelt. Damit soll im ersten Schritt das Feedback der Sicherheits-Community von GitHub gesammelt werden. Deren Teilnehmer werden dann auch im Bug Bounty-Programm von Facebook aufgenommen.

Facebook boosts up its security systems with Delegated Recovery feature - GitHub login

Moment mal! Dritt-Accounts? Wo gehen denn da meine Daten hin?

Keine Bange, die gehen nirgendwo hin. Im ersten Schritt müssen Sie Ihren über GitHub erstellten Wiederherstellungsschlüssel auf Facebook speichern. Dieser Token ist verschlüsselt, sodass Facebook keinen Zugriff auf Ihre persönlichen GitHub-Informationen erhält. Facebook teilt GitHub auch keine persönlichen Daten mit. Um den Zugang zu einem GitHub-Account wiederherzustellen muss GitHub nur wissen: „Hey, diese Person ist diejenige, die Zugriff auf diesen GitHub-Account haben sollte.“ Da Sie den verschlüsselten Token in Ihrem Facebook-Account gespeichert haben, gibt es also keinen Grund, warum Ihre persönliche Facebook-Identität mit GitHub geteilt werden sollte.

Facebook boosts up its security systems with Delegated Recovery feature - Facebook security settings

War ja klar – als nächstes folgt dann Murphys Gesetz: Sie verlieren den Zugang zu Ihrem GitHub Account.

Natürlich, jetzt haben Sie den Zugriff auf Ihren GitHub-Account verloren und müssen diesen wieder herstellen. Bestätigen Sie nun über Facebook erneut Ihre Identität. Im Nachgang übersendet Facebook einen Schlüssel mit einem Zeitstempel und einer Counter-Signatur et voiá: Sie können sich wieder bei GitHub einloggen.

Die Methode interessiert Sie? Es ist Open Source! Also… bald…

Facebook hat die Spezifikationen zur Delegated Recovery-Funktion – überraschenderweise – auf GitHub veröffentlicht. Sie planen sogar, Beispielumsetzungen in verschiedenen Programmiersprachen zu veröffentlichen, sodass die Einbindung dieses Services vereinfacht wird. Ist doch cool, oder?

Würden Sie diese Funktion auf Ihrer Webseite verwenden? Oder besser: Würden Sie die Funktion überhaupt verwenden? Teilen Sie uns Ihre Gedanken dazu in den Kommentaren mit.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

Hallo, mein Name ist István und ich bin der Social Media Manager bei Avira. Ihr findet meine Blogartikel hier und ich hoffe, dass sie euch gefallen und ihr sie mit euren Freunden und Bekannten teilt. Die letzten News von und rund um Avira findet ihr u.a. auf Twitter, Facebook, Instagram und YouTube. Ihr könnt dem Blog auch über Bloglovin folgen.