パスワードを忘れましたか?Facebookがあなたのインターネットアカウントの回復をお手伝いします。
同社は、サードパーティのサイトがFacebookを通じてユーザーアカウントを回復できるようにするオープンソースプロトコルをリリースしている。
通常、サイトのパスワードを忘れた場合、セキュリティに関する質問に答えるか、メールアドレスにパスワードリセットのリクエストを送信することが求められます。しかし、Facebookのセキュリティエンジニアであるブラッド・ヒル氏は、こうしたアカウント復旧方法はハッキングの危険性があると述べています。
彼は、オンライン銀行口座への侵入を許可された時のことを思い出した。侵入にあたり、彼はパスワードリセットの質問を利用した。
「好きな色は何色かと聞いてきて、何度でも推測させてくれました」と、同氏は月曜日、USENIX Enigma 2017セキュリティカンファレンスでのプレゼンテーション中に語った。
他のアカウント復旧方法の多くは、ユーザーのメールアドレスにメッセージを送信するものです。しかし、多くの人が強力なパスワードや二要素認証でメールアカウントを適切に保護できていないため、万が一侵入された場合、ハッカーはユーザーの他のサードパーティアカウントのパスワードをリセットできるとヒル氏は指摘します。
Facebook はこれをアカウント回復のもう一つの選択肢として提案している。
マイケル・カン Facebook のセキュリティ エンジニア、ブラッド ヒル氏。
ヒル氏は、基本的にユーザーはFacebookアカウントをサードパーティのサイトにリンクすることができ、パスワードの回復が必要になった場合には、そのソーシャルネットワーキングサイトを通じて回復できると述べた。
FacebookのプロトコルはHTTPS経由でウェブブラウザで動作し、プラグインは不要です。オープンソースプロジェクトのオンラインリポジトリであるGitHubが、このプロトコルを最初に採用しました。GitHubは火曜日から、Facebookを二要素認証方式の一部として利用し、サイト上のアカウントを復旧する予定です。
すべてのパスワード回復をFacebookに一元化するという考えは、一部の人々を不安にさせるかもしれない。しかしヒル氏は、このプロトコルはFacebookに限定されたものではないと強調した。
「Facebookを信頼していただければ幸いですが、まずはこのプロトコルを公開します」とヒル氏は述べた。「Facebookだけでなく、信頼できるアカウントを選択して、安全に復元できるようになります。」
ヒル氏は、あらゆるサイトがアカウント回復のために複数の信頼できるソースに頼ることができる「多様なエコシステム」を構築することが目的だと述べた。
同氏はこのプロトコルを、機密性の高いパスワード情報を扱うリスクなしにサードパーティのアプリケーションがユーザーのアカウントなどのサービスにアクセスできるようにするオープン スタンダードである OAuth と比較しました。
Facebookは他のアーリーアダプターの獲得を目指しており、GitHubでプロトコルを公開している。
