Estaba leyendo el recuperación de contraseña delegada proceso introducido por Facebook.
Estoy tratando de relacionar todo el proceso con los mecanismos tradicionales de recuperación de contraseña (es decir, enviar un correo electrónico para restablecer la contraseña al correo conectado y el usuario tiene la opción de hacer clic en el enlace y restablecer la contraseña desde allí o puede copiarlo). pegue un token de una sola vez para verificar el correo electrónico y luego restablezca la contraseña).
Estaba pensando que la recuperación delegada de Facebook hace casi lo mismo. En lugar de correo electrónico, se supone que el usuario se autentique con Facebook. En lugar de enviar la contraseña de restablecimiento url / token único, aquí Facebook enviará de vuelta el token asociado con esa cuenta. Así que, según tengo entendido, todo el proceso de verificación de correo electrónico está automatizado por Facebook para la recuperación delegada.
En ese caso, ¿qué seguridad adicional proporciona la recuperación delegada? Estoy de acuerdo con los ataques de MiTM contra la parte de correo electrónico. Aparte de eso, ¿cómo es esto más seguro que los métodos convencionales?