- Apple предложила ввести единый стандарт SMS-сообщений с одноразовыми паролями для двухфакторной аутентификации.
- Это позволит избежать ввода данных на фишинговых сайтах и упростит авторизацию пользователя.
- Google уже работает над этим предложением.
Инженеры Apple предложили стандартизировать формат SMS-сообщений, содержащих одноразовые пароли (OTP), которые пользователи получают в процессе входа с использованием двухфакторной аутентификации (2FA).
Предложение исходит от инженеров Apple, работающих над движком WebKit, который является основой Safari.
Приложение преследует две цели:
- Чтобы связать текстовое сообщение с адресом веб-сайта. Это делается путем добавления URL-адреса для входа в SMS.
- Стандартизируйте формат сообщения, чтобы браузеры и другие приложения могли распознавать домен в SMS, а затем автоматически извлекать код OTP и выполнять операцию входа в систему без ввода данных пользователем.
ZDNet сообщает, что процесс OTP можно автоматизировать, что устраняет риск мошенничества, если ссылка в SMS-сообщении ведет на фишинговую страницу с поддельным URL-адресом.
Новый формат SMS для OTP-кодов будет выглядеть так:
7777777 Ваш код аутентификации для страницы.
@ macnoob.ru # 777777
Первая строка предназначена для пользователей и позволяет идентифицировать страницу, с которой приходит OTP-код. Вторая строка также предназначена для браузерных приложений.
Приложения и браузеры автоматически загрузят код OTP и завершат операцию входа в систему 2FA. Если адрес веб-сайта не совпадает, отобразится ошибка, и пользователь будет предупрежден о том, что он находится на фишинговом сайте.
Инженеры Apple (WebKit) и Google (Chromium) уже работают над этим предложением. Mozilla (Firefox) еще не представила официального мнения по этому стандарту.
Парадоксально, что это предложение было выпущено в те дни, когда Европарламент поручил Apple использовать унифицированный стандарт UCS-C в своих устройствах.