Apple vuole standardizzare il formato degli SMS di autenticazione a due fattori
Gli ingegneri WebKit di Apple stanno lavorando a un formato standardizzato per i messaggi SMS contenenti passcode monouso, un'iniziativa che un giorno potrebbe proteggere meglio gli utenti ottimizzando gli accessi in due passaggi.
Il team WebKit di Apple sta proponendo una modifica al formato dei passcode monouso SMS. La speranza del team WebKit è di rendere più sicuro il processo di autenticazione a due fattori e la proposta delinea due obiettivi per raggiungere questo obiettivo.
ZDNet espone in dettaglio la proposta, che è stata condivisa dagli ingegneri Apple su GitHub questa settimana. Il primo obiettivo è rendere possibile l’associazione di codici di accesso singoli SMS a un URL. Per fare ciò, gli ingegneri Apple propongono di aggiungere l’URL di accesso all’SMS stesso.
La seconda parte della proposta è incentrata sulla standardizzazione del formato dei passcode SMS di autenticazione a due fattori. Ciò consentirebbe ai browser e alle applicazioni mobili di rilevare i codici di accesso singoli e riconoscere il dominio. Da lì, il browser o l’app potrebbe “estrarre automaticamente il codice OTP e completare l’operazione di accesso senza ulteriore interazione da parte dell’utente“.
Finora, entrambi gli ingegneri di Google e Apple hanno appoggiato la proposta. Mozilla non ha ancora commentato la proposta.
Di seguito è riportato il formato dei codici di accesso una tantum SMS proposti dagli ingegneri WebKit di Apple. La prima riga è destinata agli utenti a riconoscere da dove proviene il messaggio, mentre la seconda riga è per il sito Web o l’app per leggere e completare la verifica:
747723 è il codice di autenticazione del SITO.
@ website․com # 747723
ZDNet ha maggiori spiegazioni su come ciò potrebbe funzionare, in particolare per quanto riguarda la prevenzione degli attacchi di phishing:
App e browser estrarranno automaticamente il codice OTP e completeranno l’operazione di accesso 2FA. Se si verifica una mancata corrispondenza e l’operazione di completamento automatico non riesce, i lettori umani saranno in grado di vedere l’URL effettivo del sito Web e confrontarlo con il sito a cui stanno tentando di accedere. Se i due non sono gli stessi, gli utenti verranno avvisati che si trovano effettivamente su un sito di phishing e abbandonano le loro operazioni di accesso.
Con iOS 12, Apple ha aggiunto una nuova funzione di riempimento automatico del codice di sicurezza, che legge automaticamente i codici di accesso degli SMS e li inserisce nel sito di origine. Questa nuova proposta porta le cose al livello successivo, con particolare attenzione al miglioramento della sicurezza e all’aggiunta di un ulteriore livello di protezione per gli utenti contro potenziali attacchi di phishing.
Se hai trovato interessante questo articolo, condividilo e fallo leggere anche ai tuoi amici: