מהנדסי ה-WebKit של אפל עובדים על פורמט סטנדרטי להודעות SMS המכילות קוד סיסמה חד-פעמי, יוזמה שיכולה יום אחד להגן טוב יותר על המשתמשים על ידי ייעול התחברות לאימות דו-שלבית.
פורסם ב-GitHub ביום חמישי, ההצעה מאפלמבקש לפשטמנגנון ה-OTP SMS הנפוץ בשימוש על ידי אתרים, עסקים וגופים אחרים לאישור אישורי כניסה כחלק ממערכות אימות דו-שלבי, דוחותZDNet.
פתרונות דו-שלביים דורשים סיסמת משתמש ואלמנט נוסף, במקרה זה קוד חד פעמי שנשלח ב-SMS, כדי לקבל גישה לחשבון יעד. נכון לעכשיו, קשה עד בלתי אפשרי לתוכנה לחלץ אוטומטית את המידע הדרוש מהודעת OTP SMS, מכיוון שהם יכולים להגיע במגוון פורמטים של טקסט. המשמעות היא שמשתמשים חייבים להזין ידנית את הקוד שסופק לתיבת קלט.
של אפלהַצָעָהמבקשת לבטל את התערבות המשתמש בתהליך ה-OTP SMS, כלומר העתקה והדבקה של קודים חד-פעמיים מהודעות לדפדפן. הוא גם קובע כי פתרון מעודן יותר יבטיח שקודים חד-פעמיים שנשלחים באמצעות SMS ישמשו רק באתרים מקוריים.
באמצעות "פורמט טקסט קל", הפורמט המוצע מטמיע קוד חד פעמי שניתן לפעול בהודעת SMS ומקשר את הקוד לכתובת מקור מסוימת. פעולה זו מאפשרת למערכות הנמענות לחלץ אוטומטית את הקוד ולהיכנס לאתר משויך.
אפל מספקת SMS לדוגמה:
747723 הוא קוד האימות של [אתר] שלך.@website.com #747723
השורה הראשונה בהודעה למעלה היא טקסט אופציונלי הניתן לקריאה על ידי אדם כדי להסביר את ההודעה הנכנסת, בעוד השורה השנייה מכילה מידע לשימוש פרוגרמטי. תווים מיוחדים משמשים לציון הקוד החד-פעמי וכתובת האתר המקורית, שבמקרה זה היא "747723" ו-"website.com", בהתאמה.
אפל וגוגל חתמו על ההצעה, בעוד מוזילה לא הצהירה רשמית על התקן, נכתב בדו"ח.
אפל מצדה העבירה את מוצריה מאימות דו-שלבי לשיטות אימות דו-גורמי מאובטחות יותר המסתמכות על קוד סיסמה שנשלח למכשירים מהימנים שנרשמו מראש.
-xl.jpg)