Hesabınıza erişememek sıkıcı bir durum. Hemen hemen herkes şifre unutma, çift-yönlü doğrulama kodlarının gönderildiği telefonu ya da sim kartını kaybetmiş olma, ya da bir güvenlik sorusunun cevabını verme zorunluluğuna muhatap olma gibi durumlarla karşı karşıya kalmıştır. Dolayısı ile hesap kurtarma önem arz eden bir konu haline gelmektedir.
Fakat hesaba erişimi kaybetmek kadar öfke verici bir diğer şey hesap kurtarmaya yönelik mevcut önlemlerin hiç birinin çok güvenilir olmadığı. Yakın zamanda ortaya çıkan Yahoo hack’lerinde olduğu gibi temel ihlaller yalnızca şifrelerin değil, aynı zamanda güvenlik sorularının cevaplarının da çalınmasını içeriyor. Bir çok site kayıp şifre bildirimine, kendisi de ele geçirilebilecek olan bir şifre yenileme bağlantısı göndererek yanıt verir.
Hesap kurtarmada e-posta seçenek olmaktan çıkıyor
Facebook hesap kurtarma işlemini düzeltmek ve e-posta’yı online kimlik doğrulama merkezi olmaktan çıkarmak istiyor.
Facebook güvenlik mühendisi Brad Hill USENIX Enigma konferansında bugün, firmasının diğer websiteleri için ‘Delegated Recovery (Temsilen Kurtarma)’ adını verdikleri bir hesap kurtarma özelliğini başlatacağını duyurdu. Facebook, kullanıcılarının Github gibi siteler için şifrelenmiş kurtarma markaları (token) oluşturmalarına imkan verecek, böylece Github hesaplarına erişimi kaybettiklerinde facebook profillerinde sakladıkları markaları Github’a göndererek kimliklerini doğrulamak ve hesap engelini kaldırmak için kullanabilecekler. Markaların şifrelenmesi gizliliği sağlıyor. Facebook depolanan markalarda bulunan bilgiyi okuyamamakla birlikte kimliğinizi üçüncü parti websiteleri ile de paylaşmıyor.
Hill “Ne tip bir site olursanız olun, birilerinin şifrelerini ya da markalarını kaybetmeleri sorunu ile uğraşmak zorundasınız” diyerek çift-yönlü SMS doğrulama ve şifre yenileme e-postalarında bulunan bazı eksikliklere işaret ediyor. “Telefonunuzu tekneden suya düşürseniz bile hesabınızı geri getirebiliriz”.
‘Delegated Recovery’ sadece bir güvenlik özelliği değil. Aynı zamanda Facebook iin kullanıcılarının online bilgilerini e-postaları yerine Facebook profillerinde tutmaya ikna etmek için kullanılan bir yöntem. Hesap kurtarma işlemleri genel olarak online hesaplarınızın kilitlenmesi durumunda, kayıt esnasında şifre yenilemek için kullanmış olduğunuz ‘hesap kurtarma e-posta adres’i etrafında döner.
Hill “Kurtarma e-postalarının neden pek güvenilir olmadıkları ile ilgili bir çok teknik neden var. E-posta güvenliği şu an itibariyle çok üzerinde durulan bir konu değil. Online olarak yaptığınız her şeyin başarısızlığa uğramasının tekil anahtarı e-posta” şeklinde açıklama yaptı.
Hesap kurtarma işlemini Facebook’taki şifrelenmiş bir marka sistemine taşıyarak firma gelişmiş güvenlik sağlayabilir ve e-postayı hesap kurtarma işlemindeki güzergahtan alıkoyarak devre dışı bırakabilir.
Facebook’un hesap kurtarma özelliği yarından başlayarak kısıtlı bir deneme süresi için Github hesaplarına yönelik olarak kullanılabilir olacak. Özellik, güvenlik araştırmacılarının test yaparak sistemdeki zayıflıkları ortaya çıkarmalarına imkan vermek maksadına matuf olarak Facebook’un ‘Sistem açığı ödellendirme programı (bug bounty program)’nın bir parçası olacak. Araç ‘açık-kaynaklı’ olarak yayınlanıyor. Böylece diğer siteler de bu aracı sitelerine implante edebilecekler.
Hill, Enigma dinleyicilerine “Bu aracı yapıyor ve dağıtıyoruz çünkü hesap kurtarma her online servisin paylaştığı bir sorun. Hesap kurtarma bir ürün değil, bilakis bir kurum. Güvenli erişim, üzerine diğer bütün ürünlerimizi inşa ettiğimiz bir yapı” dedi.