米Facebookは現地時間2017年1月30日、パスワードリカバリーの新たな認証手法「Delegated Recovery」を発表した。ソースコード共有サービス「GitHub」と協力し、1月31日よりGitHubユーザーを対象に限定提供する。

 パスワードを忘れてしまった場合、アクセス復旧の一般的な手段として、秘密の質問への回答、パスワードリセット要求の電子メール送信やSMS送信などが使われる。しかしいずれもセキュリティが十分とは言えないと、FacebookのBrad Hillセキュリティエンジニアは述べている。

 Delegated Recoveryを用いたパスワードリカバリーでは、あらかじめFacebookアカウントでリカバリートークンを登録する。GitHubアカウントへのアクセスを復旧しなければならない状況に陥った場合に、Facebookにログインして同トークンをGitHubに送信する。これにより、GitHubへのアクセス復旧を図っている人物とリカバリートークンの登録者が同一人物であることが証明される。

 一連の手順は、ブラウザー上で数回クリックするだけで実行され、すべてHTTPS経由で処理される。リカバリートークンは暗号化されているため、Facebookでも個人情報を見ることはできない。また、FacebookとGitHubがユーザーの個人情報を共有することはないと、Hill氏は強調している。

 FacebookはDelegated RecoveryのプロトコルをGitHub上のオープンソースサイトで公開している。

[発表資料へ]