Il team WebKit di Apple sta proponendo una modifica al formato dei passcode monouso SMS. La speranza del team WebKit è di rendere più sicuro il processo di autenticazione a due fattori e la proposta delinea due obiettivi per raggiungere questo obiettivo.
ZDNet espone in dettaglio la proposta, che è stata condivisa dagli ingegneri Apple su GitHub questa settimana. Il primo obiettivo è rendere possibile l’associazione di codici di accesso singoli SMS a un URL. Per fare ciò, gli ingegneri Apple propongono di aggiungere l’URL di accesso all’SMS stesso.
La seconda parte della proposta è incentrata sulla standardizzazione del formato dei passcode SMS di autenticazione a due fattori. Ciò consentirebbe ai browser e alle applicazioni mobili di rilevare i codici di accesso singoli e riconoscere il dominio. Da lì, il browser o l’app potrebbe “estrarre automaticamente il codice OTP e completare l’operazione di accesso senza ulteriore interazione da parte dell’utente“.
Finora, entrambi gli ingegneri di Google e Apple hanno appoggiato la proposta. Mozilla non ha ancora commentato la proposta.
Di seguito è riportato il formato dei codici di accesso una tantum SMS proposti dagli ingegneri WebKit di Apple. La prima riga è destinata agli utenti a riconoscere da dove proviene il messaggio, mentre la seconda riga è per il sito Web o l’app per leggere e completare la verifica:
747723 è il codice di autenticazione del SITO.
@ website․com # 747723
ZDNet ha maggiori spiegazioni su come ciò potrebbe funzionare, in particolare per quanto riguarda la prevenzione degli attacchi di phishing:
App e browser estrarranno automaticamente il codice OTP e completeranno l’operazione di accesso 2FA. Se si verifica una mancata corrispondenza e l’operazione di completamento automatico non riesce, i lettori umani saranno in grado di vedere l’URL effettivo del sito Web e confrontarlo con il sito a cui stanno tentando di accedere. Se i due non sono gli stessi, gli utenti verranno avvisati che si trovano effettivamente su un sito di phishing e abbandonano le loro operazioni di accesso.
Con iOS 12, Apple ha aggiunto una nuova funzione di riempimento automatico del codice di sicurezza, che legge automaticamente i codici di accesso degli SMS e li inserisce nel sito di origine. Questa nuova proposta porta le cose al livello successivo, con particolare attenzione al miglioramento della sicurezza e all’aggiunta di un ulteriore livello di protezione per gli utenti contro potenziali attacchi di phishing.