Apple WebKitのエンジニアは、2段階の検証プロセス用の標準化された形式を開発することにより、ワンタイムパスコードSMSメッセージをより安全にする提案を提出しました。 ZDNet 。
2段階認証ログインでは、オンラインアカウントにアクセスするために、ユーザーのパスワードと、ユーザーだけが知っている別の要素(この場合は、テキストメッセージで送信される1回限りのコード)が必要です。
現状では、これらのSMSメッセージはさまざまな形式で届く可能性があるため、アプリやWebサイトがそれらを検出して自動的に情報を抽出することは困難または不可能です。
りんご 提案 2つの目標があります。 1つ目は、メッセージ自体の中にログインURLを追加することにより、ワンタイムパスコードSMSメッセージをWebサイトに関連付ける方法を紹介することです。
2番目の目標は、SMSメッセージの形式を標準化することです。これにより、ブラウザーや他のアプリが着信メッセージを識別し、URLを認識し、OTPコードを抽出して、Webサイトの適切なログインフィールドに自動的に挿入できるようになります。
OTPエントリの自動化の背後にある考え方は、ユーザーが詐欺に遭い、別のURLのフィッシングサイトにOTPコードを入力するリスクを排除することです。
Apple開発者は、OTPコード用の新しい形式のSMSメッセージの次の例を提供しました。
747723はWEBSITE認証コードです。
@ website.com#747723
最初の行はユーザーを対象としており、SMS OTPコードの送信元のWebサイトを特定できます。また、2行目はブラウザーとアプリによって処理されるため、OTPコードを自動的に抽出して2FAログイン操作を完了することができます。
オートコンプリートが失敗した場合、ユーザーは、ログインしようとしているサイトに対して、テキストを送信したWebサイトのURLを確認できます。
レポートによると、Google ChromeのエンジニアはすでにAppleの提案に賛同していますが、MozillaのFirefoxチームはまだ標準に関する公式のフィードバックを提供していません。
新しい提案は、iOS 12で導入されたAppleの既存のセキュリティコード自動入力機能にセキュリティの別の層を追加します。これは、メッセージ内の1回限りのパスコードを検出し、ユーザーのキーボードの上に便利に表示できます。
人気の投稿