Apple предлагает разработать единый стандарт SMS для двухфакторной аутентификации



    Инженеры компании Apple, работавшие над браузером Safari, предложили создать стандартизированные SMS-сообщения для двухфакторной аутентификации на сайтах. Как утверждают в компании, стандартизация позволит связать OTP (one-time-password) SMS-сообщения с URL-адресом.

    «Многие веб-сайты используют одноразовые коды для аутентификации. SMS — популярный механизм доставки таких кодов пользователям, но такой механизм может быть рискованным. Наше предложение может уменьшить риски, связанные с доставкой SMS одноразовых кодов», — указано в описании проекта на GitHub.

    Планируется, что URL для прохождения авторизации будет добавлен в само SMS-сообщение. Это поможет пользователю убедиться в том, что авторизация проходит не на поддельном сайте. Если адреса не совпадут, пользователь получит предупреждение о том, что сайт фишинговый. Кроме того, по планам, нововведения позволят мобильным приложениям и браузерам самостоятельно открывать SMS-сообщение, распознавать домен, извлекать пароль и авторизоваться на сайте без участия пользователя.

    «В идеале конечным пользователям не нужно вручную копировать и вставлять одноразовые коды из SMS-сообщений в свой браузер», — сообщают авторы разработки.

    Стандартное SMS-сообщение для двухфакторной аутентификации будет выглядеть следующим образом:
    747723 — ваш код аутентификации для [адрес сайта].
    website.com #747723

    Код предназначен для пользователя, информация из второй строки — для браузера. Приложение распознает URL и код и автоматически авторизуется на сайте. Как указывают в компании, стандартизированные SMS для двухфакторной аутентификации будут передаваться по защищённому каналу, чтобы не допустить их перехвата.

    В iOS 12 Apple добавила новую функцию автозаполнения кода безопасности, которая автоматически считывает одноразовые пароли SMS и вводит их на исходном сайте. Как указывает портал 9to5mac, стандартизация SMS усилит защиту пользователей от потенциальных фишинговых атак.
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 28

      +12
      Apple… единый стандарт


      Какое прекрасное сочетание взаимоисключающих параграфов…
        +3
        Компания которая всю свою историю существования плевала на все стандарты, вдруг захотела разработать стандарт. Хмм… чуствую я что это будет повторение истории с micro usb и в последствии с type-c.
          0
          Ну, сама идея стандарта довольно здравая.
          Не реализуют они, так кто-нибудь другой перехватит
            0

            Эээ… вы сейчас серьезно? На счет плевать и стандарты?

              +3

              Тише, пусть человек живет в своём маленьком мире. Не будем ему мешать.

                0
                А вы поищите информацию, насколько «хорошо» были реализованы веб стандарты в сафари. Или например когда эпл вместе с остальными производителями договорились сделать универсальную зарядку, все перешли на micro usb, а эпл плевать хотела и сделала лайтинг. Причем запатентовала способ вставки лайтинга и из-за этого постарадал type-c, а теперь сама же переходит на этот type-c. Ирония судьбы однако.
                  0
                  Apple перешла на lightning потому, что он лучше, а micro-USB хуже. И я как пользователь благодарен им за это.
                    +1
                    Мы тут не кабели сравниваем, я вам наглядный пример привел. Ты уже либо гни свою линию выдумывай кабели и мучай пользователя, либо договаривайся и делай как все, но не надо договариваться, а потом забивать и делать свое. И так у эпл во всем. Особенно порадовали ссд с проприетарным разьемом в последних макбуках…
              +7
              Нет бы предлагать отказатсья от этого порочного и потенциально опасного фактора авторизации, но нет — давайте стандартизируем!
                +5

                Ну всё правильно.
                Чтобы ваш айфон не беспокоил вас разными смс из Сбербанк.Онлайн типа "Вы тут захотели кино в Apple TV купить за 100500 денег. Вы уверены?" — а сам и оплатил.
                Сам придумал (Siri) — сам выбрал — сам купил — и сам оплатил.
                Оллинклюзив.

                  +2

                  А можно не отказываться и не навязывать мне смартфон? Меня сейчас весьма и весьма устраивает старый добрый 5110 для СМСок с кодами, а все эти пуши и весь остальной хлам работающий только там где есть интернет — пусть будут для фанатов.

                    +1

                    А OTP работает и вовсе без связи, но нужен смартфон. Хотя может и под J2ME можно использовать.

                      0

                      *TOTP


                      SMS является одним из OPT. Теоретически для генерации TOTP подойдёт любое электронное устройство с часами и небольшой перезаписываемой памятью.

                      0
                      А я где-то говорил про пуши? Только TOTP, только хардкор.
                    0
                    То есть это предполагается, что я буду из телефона в комп перепечатывать не только циферки, но и еще кучу всякой ерунды?
                      0

                      В данном случае предполагается, что на мобильном устройстве пришедшая SMS с одноразовым паролем будет сама заполнять поле ввода этого пароля, распознав формат SMS-ки.
                      А на десктопе — как обычно.

                        +1

                        Если мак и телефон под одной учеткой то уже сейчас код автоматически вставляется и на десктопе. Функция называется handoff, там много что поддерживается (единый буфер обмена, перекидывание из мобильной программы в десктопную через alt-tab, возможность отвечать на телефонные звонки с компьютера и так далее).

                          0
                          на макоси оно тоже само заполняет
                          0

                          iOS форвардит СМС-сообщения на macOS, поэтому на (яблочном) компьютере это работает так же легко, как на айфоне.

                            0
                            Для того, чтобы мой телефон мог что-то отфорвардить на компьютер, мне сначала надо на телефоне включить интернет. А я этого обычно не делаю.
                          +2

                          Насколько я помню, два фактора безопаснее всего работают, когда используются два устройства — по одному для каждого фактора.
                          А с учётом плановых отказов от смс вообще как-то печально смотрится.

                            +2
                            Как указывают в компании, стандартизированные SMS для двухфакторной аутентификации будут передаваться по защищённому каналу, чтобы не допустить их перехвата.

                            СМС
                            @
                            Защищённый канал


                            Я догадываюсь, что они имеют в виду передачу сообщения от телефона в браузер, но звучит совсем неочевидно.


                            Такие тренды меня немного пугают: вместо того, чтобы мотивировать пользователей разделять устройства для честной двухфакторной авторизации и следить за тем, что и где вводишь и оплачиваешь, компании хотят проводить авторизацию самостоятельно. Ведь телефоны настолько надёжны, что им всегда можно верить.

                              +2
                              Проблема не столько телефонов, сколько безопасности самих сотовых сетей. известны случаи перехвата СМС.
                                0
                                они просто хотят автоматизировать процесс «пришла смс — открыть ее — скопировать код — вернуться в браузер — вставить код» до того, что уже работает на всех их девайсах в большинстве случаев, просто чтоб это работало теперь в 100% случаев, а заодно и другие вендоры чтоб подключились. Плюс они туда хотят добавить сайт, к которому относится эта СМС, для того, чтоб избежать фишинга

                                А то, как у них это реализовано — реально удобно, мне просто приходит смс и оно мне предлагает воткнуть код оттуда сразу в поле, без «альт-табов» и прочего.
                                +1
                                Почему именно через СМС, если существуют программы-аутентификаторы?
                                Какая-то странная инициатива. Ещё более странно это от эппл слышать
                                  +1

                                  Я так понимаю что сейчас есть проблема — вы можете зайти на фишинговый сайт, ввести там свой пароль от банка, вам придёт смс от реального банка вы ведёте код на поддельном сайте и тем самым успешно сольёте свою учётку мошенникам. От смс в ближайшее время многие сервисы не откажутся (из-за универсальности способа), почему бы его немного не усилить?

                                  0
                                  В ответ на единый формат кабелей))
                                    +1

                                    Бред какой то, представьте ситуацию. Хакер заходит на сайт, жмёт кнопку двух факторная идентификация, тут же происходит авторизация без участия владельца аккаунта. Злоумышленник без особых усилий получает доступ к данным пользователя.


                                    Звучит конечно тупо, но после того как я как то захотел воспользоваться своим старым ай фоном и не смог из за того что нужно было принять обновленын условия конфедициальности, страница с которыми не хотела загружатся, то я готов поверить что люди которые там работают способны на все в плохом смысле этого слова.

                                    Only users with full accounts can post comments. Log in, please.