Apple chce standaryzować SMS'y dla jednorazowych kodów uwierzytelniania

Według Apple One-Time Passcode (jednorazowy kod) do uwierzytelniania dwuskładnikowego powinien być wysyłany SMS'ami.

Ostatnimi czasy coraz więcej i coraz głośniej mówimy o bezpieczeństwie. Wiele usług oraz firm, które je rozwijają zachęca użytkowników do uruchomienia uwierzytelniania dwuskładnikowego. Rozwiązanie to pozwala w znaczny sposób podnieść bezpieczeństwo naszych kont oraz danych w sieci. Niestety nie ma róży bez kolców. W zamian za większy poziom zabezpieczeń logowanie staje się nieco bardziej uciążliwe. Po włączeniu uwierzytelniania dwuskładnikowego samo hasło już nie wystarczy.

Źródło: macworld.com

Źródło: macworld.com

Najbezpieczniejszą formą drugiego zabezpieczenia jest fizyczny klucz sprzętowy wpinany w celu potwierdzenia poświadczeń. Niestety tego typu rozwiązania są mało wygodne i nie zawsze możliwe do wykorzystania. Dużo łatwiej potwierdzić swoją tożsamość za pomocą telefonu komórkowego. W tym przypadku użytkownik może potwierdzić swoją tożsamość za pomocą specjalnej aplikacji, generatora kodów lub kodu One-Time Passcode (jednorazowego kodu dostępu) otrzymanego w wiadomości SMS.

Sposób obsługi wiadomości typu OTP znacząco różni się w zależności od nadawcy. Wszystko wskazuje na to, że Apple zamierza znormalizować ten proces. Inżynierowie Apple zajmujący się rozwojem WebKit w swoich notatkach zasugerowani, że w przyszłości wiadomości One-Time Passcode wysyłane za pomocą SMS'ów mogłyby być kojarzone z adresem URL, który może być zawarty w samej wiadomości tekstowej.

Stworzenie znormalizowanego formatu pozwoliłoby aplikacjom mobilnym na wykrywanie przychodzących wiadomości SMS i rozpoznawanie adresu URL, co przełożyło by się na automatyczne odłączenie kodu OTP z wiadomości SMS i przesłanie go bezpośrednio do aplikacji, która wymaga uwierzytelniania dwuskładnikowego. Taki standard umożliwiłby na znacznie szybszy i wydajniejszy proces logowania bez negatywnego wpływu na bezpieczeństwo. Rozwiązanie to miałoby pomóc użytkownikom uniknięcia wpadnięcia w pułapkę, która wykorzystywała by kod OTP do phishingu.

Obecnie iOS posiada już funkcję, która potrafi wyodrębniać niektóre kody UTP i automatycznie uzupełniać formularze logowania.

Źródło: ubergizmo.com