Инженеры Apple WebKit представили предложение по повышению безопасности одноразовых паролей SMS

Chance Miller | Четверг, 30 января, 2020, 08:15.

Avatar for Chance Miller
 | 30 января 2020 г. — 16:30 PT

Команда WebKit компании Apple предлагает изменить формат одноразовых паролей SMS. Команда WebKit надеется сделать процесс двухфакторной аутентификации более безопасным, и предложение излагает две цели для достижения этого.

ZDNet подробно описывает предложение, которое инженеры Apple представили на GitHub на этой неделе. Первая цель — сделать возможным привязывать одноразовые пароли SMS к URL. Для этого инженеры Apple предлагают добавить URL входа в само SMS-сообщение.

Вторая часть предложения посвящена стандартизации формата SMS-паролей для двухфакторной аутентификации. Это позволит браузерам и мобильным приложениям обнаруживать одноразовые пароли и распознавать домен. После этого браузер или приложение сможет «автоматически извлекать OTP-код и завершать операцию входа без дальнейшего взаимодействия с пользователем».

На данный момент предложение поддержали инженеры Google и Apple. Mozilla пока не комментировала предложение.

Ниже приведен формат одноразовых паролей SMS, который предлагают инженеры Apple WebKit. Первая строка предназначена для распознавания пользователем источника сообщения, а вторая строка — для считывания и завершения проверки веб-сайтом или приложением:

747723 — это ваш код аутентификации WEBSITE.

@website․com #747723

ZDNet предоставляет дополнительные разъяснения о том, как это может работать, особенно в отношении предотвращения фишинговых атак:

Приложения и браузеры будут автоматически извлекать OTP-код и завершать операцию входа с помощью 2FA. Если произойдет несоответствие и операция автозаполнения завершится неудачно, люди-читатели смогут увидеть фактический URL веб-сайта и сравнить его с сайтом, на который они пытаются войти. Если они не совпадают, пользователям будет сообщено, что они находятся на фишинговом сайте, и они отменят операцию входа.

Начиная с iOS 12, Apple добавила новую функцию автоматического заполнения кодов безопасности, которая автоматически считывает одноразовые пароли SMS и вводит их на исходном сайте. Это новое предложение выводит все на новый уровень, уделяя особое внимание повышению безопасности и добавляя пользователям еще один уровень защиты от потенциальных фишинговых атак.