PplWare Mobile

Instagram quer ajudar os utilizadores a recuperar uma conta roubada


Fonte: Instagram

Desenvolveu desde cedo o gosto pela escrita e comunicação. Em leis formado, tem como hobbies a aquariofilia e a música. Mas é na tecnologia que encontrou o seu expoente máximo e no Pplware a plataforma ideal para a redação e produção de vídeo.

Destaques PPLWARE

  1. Tiago Santos says:

    Alguma data de lançamento destas novidades?

  2. Joao Ptt says:

    Opção 1:
    O Instagram pode adoptar o SQRL (Secure Quick Reliable Login) e isso por si só deve acabar com a maioria dos problemas de entradas não autorizadas nas contas em especial se eles suportarem as opções de não permitir entrada por métodos alternativos e não permitirem formas alternativas de recuperação de conta.

    Opção 2:
    Se eles não quiserem adoptar o SQRL podem ter uma solução robusta mas nada simples para os utilizadores porque implicaria:
    – a pessoa criar o seu próprio nome de utilizador para as pessoas encontrarem a sua conta (não pode ser igual ao identificador único);
    – o utilizador ter um identificador único atribuído pelo serviço para entrar na conta;
    – uma senha de acesso normal criada pela pessoa;
    – um código de recuperação de conta atribuído pelo serviço;
    – um código atribuído pelo serviço que muda a cada 30 segundos (como tem a google por exemplo)… para o caso de ser uma entrada através de um dispositivo desconhecido.

    Desenvolvendo…

    Para melhorar a segurança seria mais interessante atribuir ao utilizador um identificador de entrada na conta (que não dê para extrair do perfil) independente do nome de utilizador público, e atribuir ainda um código de resgate de conta, só a utilizar em caso de alguém conseguir entrar na conta e modificar a senha de acesso, e só introduzir por exemplo online numa página de recuperação do instagram onde é pedido o ID de entrada, uma password utilizada nos últimos 6 meses e o código de resgate da conta.
    Ex.: instagram-com/meunomedeperfilpublico (escolhido pelo utilizador)
    ID de entrada: 1H29KDAS (atribuída pelo serviço)
    PASSWORD: m3yd8skki09d (criada pelo utilizador)
    Código de resgate de conta: 1928-AMND-0930-MJJD-1092-ASGD (atribuída pelo serviço) (introduza somente em recovery-instagram-com, escreva sempre manualmente no seu browser! Lembre-se: se lhe furtaram a conta poderá ter o(s) seu(s) dispositivo(s) onde utiliza o Instagram comprometido(s) por programas malignos… confirme primeiro que não é o caso antes de o(s) utilizar para recuperar o acesso à conta.) (Para mudar o código de resgate a pessoa deve estar dentro da conta e ter o código de resgate de conta actual… e deve ter de colocar o código de acesso actual antes de conseguir alterar o código de resgate de conta.)

    O e-mail e número de telefone não deveriam ser utilizados para o acesso e recuperação de acesso, porque os utilizadores não conseguem controlar estes canais a 100% em primeiro lugar (que não foram desenhados com a segurança em mente desde o seu começo) e segundo porque qualquer parvalhão altera imediatamente estes caso entre na conta. Na pior das hipóteses podem utilizá-los para notificar da entrada na conta reportando de que dispositivo, hora, IP’s e tudo o mais que possa ser útil para identificar actividade na conta não autorizada… mas se o atacante já controlar estes canais tal não servirá de muito à pessoa porque o mesmo certamente não deixará que tal informação chegue ao legítimo proprietário.

    Assim: saber o e-mail/ número de telefone/ nome do perfil público associado à conta do instagram não permite sequer começar o processo de adivinhar qual é a senha/ código de resgate pelo que não podem contornar o facto de terem de saber qual é ID de entrada da pessoa.

    Mas o Instagram pode dificultar ainda mais a vida aos atacantes! Eles conseguem perfeitamente saber se é a primeira vez que a pessoa se está a autenticar daquele dispositivo específico… eles podem permitir à pessoa criar e colocar um daqueles códigos que muda a cada 30 segundos sempre que o dispositivo não é reconhecido. Assim mesmo que saibam o ID de entrada e a senha não conseguem entrar na mesma porque não sabem o código que está constantemente a mudar.
    Isto é útil porque muitas vezes são os conhecidos quem obtêm esses dados (podem ver o ID e a pessoa a meter a senha) e isto também evita tais ataques.

    Para dificultarem ainda mais poderão suportar (dois ou mais) dispositivos FIDO2 como segundo factor em todas as operações de maior risco (entrar na conta, mudar senha, desactivar a própria protecção FIDO2, apagar fotos, apagar a conta, mudar e-mail, mudar número de telefone, etc.).
    Poucas pessoas têm dispositivos FIDO2, não são assim tão baratos (têm de ser pelo menos dois, pagar envios, taxas) e existem demasiadas circunstâncias em que parece ser uma dor de cabeça colocá-los a funcionar, além de também o FIDO2 não ser infelizmente perfeito em especial se o serviço não ignorar o contador dos próprios dispositivos FIDO2.

    Este segunda opção é bastante mais complexa e mesmo assim não protegeria em todas as circunstâncias (embora o FIDO2 realmente se aproxime bastante da protecção mais forte possível).

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.