Apple chce wprowadzić standard SMS-a dla weryfikacji dwuetapowej

Firma Apple dąży do uproszczenia i znormalizowania weryfikacji dwuetapowej za pomocą standardowego formatu SMS.

Uwierytelnienie dwupoziomowe Apple

Inżynierowie Apple WebKit pracują nad znormalizowanym formatem wiadomości SMS zawierających jednorazowe kody dostępu. Inicjatywa ma usprawnić logowanie z wykorzystaniem weryfikacji dwuetapowego 2FA (ang. Two-Factor Authentication), która ma być wygodniejsza i bezpieczniejsza.

Opublikowana w czwartek na GitHub propozycja firmy Apple ma na celu uproszczenie mechanizmu SMS OTP (z ang. One Time Password – hasło jednorazowe) powszechnie używanego przez strony internetowe, firmy i inne podmioty do potwierdzania danych logowania w ramach dwuetapowych systemów uwierzytelniania.

Rozwiązania dwustopniowe wymagają hasła użytkownika i innego elementu, w tym przypadku jednorazowego kodu wysyłanego SMS-em, aby uzyskać dostęp do konta docelowego. Obecnie oprogramowanie nie może automatycznie wyodrębnić niezbędnych informacji z wiadomości SMS OTP, ponieważ mogą one dotrzeć w różnych formatach tekstowych. Oznacza to, że użytkownicy muszą ręcznie wprowadzić dostarczony kod w polu wprowadzania.

Propozycja Apple’a eliminuje udział użytkownika w procesie SMS OTP, a mianowicie kopiowanie i wklejanie kodów jednorazowych z wiadomości do przeglądarki. Miałoby to być bardziej wyrafinowane rozwiązanie, które zapewniłoby, że kody jednorazowe wysyłane SMS-em będą wykorzystywane tylko na docelowych stronach internetowych.

Korzystając z „lekkiego formatu tekstowego”, proponowany format osadza jednorazowy kod weryfikacyjny w wiadomości SMS i łączy go z określonym URL-em (domeną). W ten sposób systemy odbiorców mogłyby automatycznie wyodrębnić kod i zalogować się na powiązanej stronie internetowej.

Przykładowy format automatycznej wiadomości SMS:

  747723 to kod uwierzytelniający [witryny].
@website.com #747723

Pierwszy wiersz powyższego komunikatu jest opcjonalnym tekstem, wyjaśniającym użytkownikowi, czego dotyczy wiadomość. W drugim wierszu znajdują się informacje w odpowiednim formacie do automatyzacji logowania z użyciem weryfikacji dwuetapowej. Znaki specjalne są używane do oznaczenia jednorazowego kodu i źródłowego adresu URL, którym w tym przypadku są odpowiednio „747723” i „website.com”.

iPhone jako fizyczny klucz bezpieczeństwa do konta Google

Apple i Google podobno zatwierdziły propozycję takiego formatu i mechanizmu, podczas gdy Mozilla nie wydała oficjalnego oświadczenia w sprawie standardu.

Niezależnie, Apple wprowadziło w weryfikacji dwuetapowej bardziej bezpieczne metody uwierzytelniania dwupoziomowego, które opierają się na kodach wysyłanych do zarejestrowanych urządzeń zaufanych. W systemie iOS 12 firma Apple dodała nową funkcję automatycznego uzupełniania kodu bezpieczeństwa, która automatycznie odczytuje jednorazowe kody SMS i wypełnia je w witrynie źródłowej.

Dwustopniowa weryfikacja Apple

Nowa propozycja przenosi sprawy na wyższy poziom, ze szczególnym naciskiem na poprawę bezpieczeństwa i dodanie jeszcze jednej warstwy ochrony użytkowników przed potencjalnymi atakami phishingowymi.

źródło: AppleInsider