Инженеры Apple WebKit выдвинули предложение по повышению безопасности SMS-сообщений с одноразовыми паролями путем разработки стандартизированного формата для двухфакторной аутентификации, сообщает ZDNet.
При двухфакторной аутентификации для входа в онлайн-аккаунт требуется пароль пользователя и другой элемент, который известен только пользователю — в данном случае, одноразовый код, отправленный в текстовом сообщении.
На данный момент эти SMS-сообщения могут поступать в различных форматах, что затрудняет или делает невозможным для приложений и веб-сайтов их обнаружение и автоматическое извлечение информации.
Предложение Apple имеет две цели. Первая — ввести способ привязки SMS-сообщений с одноразовыми паролями к веб-сайту, добавляя URL для входа в само сообщение.
Вторая цель — стандартизировать формат SMS-сообщений, чтобы браузеры и другие приложения могли идентифицировать входящее сообщение, распознавать URL и затем извлекать код OTP для автоматического ввода в соответствующее поле входа на веб-сайте.
Идея автоматизации ввода OTP заключается в устранении риска того, что пользователи могут попасться на уловку и ввести код OTP на фишинговом сайте с другим URL.
Разработчики Apple предоставили следующий пример SMS-сообщения нового формата для кодов OTP:
747723 — ваш код аутентификации WEBSITE.
@website.com #747723
Первая строка предназначена для пользователя, позволяя ему определить веб-сайт, с которого пришел код SMS OTP, в то время как вторая строка обрабатывается браузерами и приложениями, чтобы они могли автоматически извлечь код OTP и завершить операцию входа с помощью 2FA.
Если автозаполнение не сработает, пользователи смогут проверить URL веб-сайта, отправившего текст, с сайтом, на который они пытаются войти.
Согласно отчету, инженеры Google Chrome уже поддержали предложение Apple, однако команда Mozilla Firefox пока не предоставила официальных отзывов о стандарте.
Новые предложения добавят еще один уровень безопасности к существующей функции автозаполнения кодов безопасности Apple, представленной в iOS 12, которая может обнаруживать одноразовые пароли в сообщениях и удобно отображать их над клавиатурой пользователя.
