Самый частый вариант двухфакторной аутентификации – ввод пароля и кода из SMS. Компания Apple предложила разработать единый стандарт для таких сообщений.
Зачем это нужно
Ввести единый стандарт предложила команда разработчиков Apple, которая создает код WebKit, основного компонента браузера Safari. По словам специалистов, одноразовые пароли в SMS-сообщениях стоит связать с веб-доменом сайта, который их отправил, путем добавления его URL-адреса непосредственно в SMS.
Единый стандарт позволит браузерам и другим мобильным приложениям не полагаться на эвристические алгоритмы, выискивая коды в сообщениях. Благодаря автоматизации процесса получения и ввода одноразового пароля из SMS пользователь может безопасно авторизоваться на сайте без дополнительных действий. Такая схема автоматизирует процесс аутентификации, исключая ручной ввод пароля на фишинговом сайте с неправильным URL-адресом. Это защитит от мошенников, которые создают ресурсы, копирующие дизайн реальных порталов (онлайн-банкинга, почты, мессенджеров) с целью кражи личных данных.
Проект уже на GitHub
Описание предложения разработчики представили на крупнейшем хостинге репозиториев. В проекте говорится, что формат SMS для одноразового пароля будет выглядеть следующим образом:
747723 – ваш код аутентификации для сайта FooBar
@foobar.com #747723
Первая строка предназначена для пользователя, вторая – для автоматического извлечения одноразового пароля браузером (или мобильным приложением), чтобы завершить вход в систему. Теоретически в будущем можно будет расширить формат, добавив в SMS и другую информацию.
Передавать сообщения предполагается по защищенному каналу. Это еще один слой безопасности, который защитит от перехвата.
Пробный вариант
Прообраз новой системы появился в iOS 12, куда разработчики внедрили функцию автоматического заполнения одноразовых паролей из SMS для их ввода на исходных сайтах, чтобы защитить владельцев iPhone и iPad от фишинговых атак.
Инициативу Apple уже поддержали Сэм Гото и Стивен Сонефф – разработчики браузера Chrome для Google. Инженеры Mozilla Firefox тоже получили предложение, но пока не поделились своим мнением на этот счет.