Инженеры компании Apple, работавшие над браузером Safari, предложили создать стандартизированные SMS-сообщения для двухфакторной аутентификации на сайтах. Как утверждают в компании, стандартизация позволит связать OTP (one-time-password) SMS-сообщения с URL-адресом.
«Многие веб-сайты используют одноразовые коды для аутентификации. SMS — популярный механизм доставки таких кодов пользователям, но такой механизм может быть рискованным. Наше предложение может уменьшить риски, связанные с доставкой SMS одноразовых кодов», — указано в описании проекта на GitHub.
Планируется, что URL для прохождения авторизации будет добавлен в само SMS-сообщение. Это поможет пользователю убедиться в том, что авторизация проходит не на поддельном сайте. Если адреса не совпадут, пользователь получит предупреждение о том, что сайт фишинговый. Кроме того, по планам, нововведения позволят мобильным приложениям и браузерам самостоятельно открывать SMS-сообщение, распознавать домен, извлекать пароль и авторизоваться на сайте без участия пользователя.
«В идеале конечным пользователям не нужно вручную копировать и вставлять одноразовые коды из SMS-сообщений в свой браузер», — сообщают авторы разработки.
Стандартное SMS-сообщение для двухфакторной аутентификации будет выглядеть следующим образом:
747723 — ваш код аутентификации для [адрес сайта].
website.com #747723
Код предназначен для пользователя, информация из второй строки — для браузера. Приложение распознает URL и код и автоматически авторизуется на сайте. Как указывают в компании, стандартизированные SMS для двухфакторной аутентификации будут передаваться по защищённому каналу, чтобы не допустить их перехвата.
В iOS 12 Apple добавила новую функцию автозаполнения кода безопасности, которая автоматически считывает одноразовые пароли SMS и вводит их на исходном сайте. Как указывает портал 9to5mac, стандартизация SMS усилит защиту пользователей от потенциальных фишинговых атак.
