Apple придумала, як зробити SMS-паролі безпечнішими
Одноразові SMS-паролі – популярний спосіб авторизації на різних ресурсах. Проте, цей спосіб пов’язаний з ризиком підміни сайту при введенні коду підтвердження.
Розробники Apple запропонували рішення, здатне захистити користувачів від фішингу в процесі двофакторної аутентифікації.
Компанія пропонує прив’язати разові SMS-коди до URL відвідуваного сайту. Для цього в повідомлення буде додаватися асоційована з кодом веб-адреса. Інженери також мають намір стандартизувати формат призначених для авторизації SMS. Це дозволить браузерам та мобільним додаткам автоматично розпізнавати разовий код та пов’язаний з ним домен. Після цього браузер або додаток зможуть «автоматично отримувати код і завершувати авторизацію без подальшого залучення користувача».
Якщо заявлений та реальний домени не збігаються, операція автозаповнення скасовується, а користувач зможе побачити реальний URL сайту і порівняти його з адресою ресурсу, на якому він намагається авторизуватися. Також користувач отримає попередження про відвідування фішингових сайтів і зможе скасувати авторизацію.
Функція вилучення разового коду з SMS присутня в iOS 12 та новіших версіях мобільної операційки. Реалізація пропозиції на інших платформах дозволить зробити процес двофакторної аутентифікації більш безпечним. Ідею вже підтримали основні розробники двигунів для браузерів – Apple та Google. Компанія Mozilla, розробник браузера Firefox, поки не прокоментувала можливість участі в цій ініціативі.