Firma Apple dąży do uproszczenia i znormalizowania weryfikacji dwuetapowej za pomocą standardowego formatu SMS.
Inżynierowie Apple WebKit pracują nad znormalizowanym formatem wiadomości SMS zawierających jednorazowe kody dostępu. Inicjatywa ma usprawnić logowanie z wykorzystaniem weryfikacji dwuetapowego 2FA (ang. Two-Factor Authentication), która ma być wygodniejsza i bezpieczniejsza.
Opublikowana w czwartek na GitHub propozycja firmy Apple ma na celu uproszczenie mechanizmu SMS OTP (z ang. One Time Password – hasło jednorazowe) powszechnie używanego przez strony internetowe, firmy i inne podmioty do potwierdzania danych logowania w ramach dwuetapowych systemów uwierzytelniania.
Rozwiązania dwustopniowe wymagają hasła użytkownika i innego elementu, w tym przypadku jednorazowego kodu wysyłanego SMS-em, aby uzyskać dostęp do konta docelowego. Obecnie oprogramowanie nie może automatycznie wyodrębnić niezbędnych informacji z wiadomości SMS OTP, ponieważ mogą one dotrzeć w różnych formatach tekstowych. Oznacza to, że użytkownicy muszą ręcznie wprowadzić dostarczony kod w polu wprowadzania.
Propozycja Apple’a eliminuje udział użytkownika w procesie SMS OTP, a mianowicie kopiowanie i wklejanie kodów jednorazowych z wiadomości do przeglądarki. Miałoby to być bardziej wyrafinowane rozwiązanie, które zapewniłoby, że kody jednorazowe wysyłane SMS-em będą wykorzystywane tylko na docelowych stronach internetowych.
Korzystając z „lekkiego formatu tekstowego”, proponowany format osadza jednorazowy kod weryfikacyjny w wiadomości SMS i łączy go z określonym URL-em (domeną). W ten sposób systemy odbiorców mogłyby automatycznie wyodrębnić kod i zalogować się na powiązanej stronie internetowej.
Przykładowy format automatycznej wiadomości SMS:
747723 to kod uwierzytelniający [witryny].
@website.com #747723
Pierwszy wiersz powyższego komunikatu jest opcjonalnym tekstem, wyjaśniającym użytkownikowi, czego dotyczy wiadomość. W drugim wierszu znajdują się informacje w odpowiednim formacie do automatyzacji logowania z użyciem weryfikacji dwuetapowej. Znaki specjalne są używane do oznaczenia jednorazowego kodu i źródłowego adresu URL, którym w tym przypadku są odpowiednio „747723” i „website.com”.
Apple i Google podobno zatwierdziły propozycję takiego formatu i mechanizmu, podczas gdy Mozilla nie wydała oficjalnego oświadczenia w sprawie standardu.
Niezależnie, Apple wprowadziło w weryfikacji dwuetapowej bardziej bezpieczne metody uwierzytelniania dwupoziomowego, które opierają się na kodach wysyłanych do zarejestrowanych urządzeń zaufanych. W systemie iOS 12 firma Apple dodała nową funkcję automatycznego uzupełniania kodu bezpieczeństwa, która automatycznie odczytuje jednorazowe kody SMS i wypełnia je w witrynie źródłowej.
Nowa propozycja przenosi sprawy na wyższy poziom, ze szczególnym naciskiem na poprawę bezpieczeństwa i dodanie jeszcze jednej warstwy ochrony użytkowników przed potencjalnymi atakami phishingowymi.
źródło: AppleInsider