Усилия Apple по разработке стандартизированного формата для одноразовых паролей, отправляемых посредством SMS-сообщений, продвигаются вперед с помощью инженеров Google, поскольку предложение в этом месяце получило официальный статус черновика спецификации группы сообщества веб-платформы (WICG).
Ранее Apple полагался на двухэтапную проверку Apple ID, прежде чем перейти к двухфакторному протоколу.
Объявленный в обновленном объяснителе GitHub, 2 апреля WICG опубликовал первоначальный отчет Apple о проекте «Одноразовые коды с привязкой к источнику». Проект был отредактирован Терезой О’Коннор из Apple и Сэмом Гото. от гугла.
Впервые предложенная инженерами Apple WebKit и поддержанная Google в январе, инициатива направлена на упрощение механизма OTP SMS, обычно используемого веб-сайтами, предприятиями и другими организациями для подтверждения учетных данных для входа в систему двухэтапных систем аутентификации.
Хотя многие веб-сайты и онлайн-сервисы используют OTP поверх SMS, стандартного метода форматирования текста входящих сообщений не существует. Таким образом, «программное извлечение кодов из [SMS messages] приходится полагаться на эвристику, которая часто ненадежна и подвержена ошибкам. Кроме того, без механизма связывания таких кодов с конкретными веб-сайтами пользователи могут быть обмануты, предоставив код вредоносным сайтам », — отмечает издание WICG.
В настоящее время пользователи должны вручную вводить предоставленные пароли в текстовое поле на веб-сайте хоста. Apple хочет продвинуть статус-кво с помощью более совершенного решения, которое также обеспечит более высокий уровень безопасности.
Используя «облегченный текстовый формат», предлагаемый формат внедряет одноразовый код, который можно активировать, в SMS-сообщение и связывает этот код с исходным URL-адресом. Затем система получателей может извлечь код и автоматически войти на соответствующий веб-сайт.
Пример ОТП СМС:
747723 твой [website] Код аутентификации.
@ website.com # 747723
ZDNet сообщила о разработке WICG во вторник.
«Это предложение направлено на снижение некоторых рисков, связанных с доставкой одноразовых кодов через SMS», — поясняет объяснитель. «Он не пытается уменьшить или решить все из них. Например, он не решает риск угона доставки SMS, но он пытается уменьшить риск фишинга».
Публикация в виде проекта спецификации WICG не обязательно означает, что протокол Apple будет массово развернут, но показывает, что проект движется вперед.