Stavo leggendo il recupero della password delegato processo introdotto da Facebook.
Sto cercando di mettere in relazione l'intero processo con i tradizionali meccanismi di recupero della password (ad esempio, inviando una email di reimpostazione della password alla posta connessa e l'utente ha la possibilità di fare clic sul link e reimpostare la password da lì o può copiare incollare un token una tantum per verificare l'e-mail e quindi reimpostare la password).
Stavo pensando che il recupero delegato di Facebook sia quasi lo stesso. Invece di e-mail, l'utente dovrebbe autenticarsi con Facebook. Invece di inviare l'URL di reimpostazione della password / token a tempo pieno, qui, Facebook invierà il token associato a tale account. Quindi dalla mia comprensione, l'intero processo di verifica della posta elettronica è automatizzato da Facebook al recupero delegato.
In questo caso, quale sicurezza aggiunta fornisce il recupero delegato? Accetto gli attacchi MiTM contro la parte email. Oltre a questo, come è questo più sicuro dei metodi convenzionali?