Annunciato tramite un aggiornamento su GitHub, un rapporto iniziale del progetto “Codici di sicurezza consegnati tramite SMS” è stato pubblicato il 2 aprile dal WICG. La bozza è stata co-curata da Theresa O’Connor di Apple e Sam Goto di Google.
Inizialmente proposta dagli ingegneri WebKit di Apple e supportata da Google a gennaio, l’iniziativa mira a semplificare il meccanismo SMS OTP comunemente usato da siti Web, aziende e altre entità per confermare le credenziali di accesso come parte di sistemi di autenticazione a due passaggi.
Anche se molti siti Web e servizi online utilizzano OTP su SMS, non esiste un metodo standardizzato per la formattazione del testo dei messaggi in arrivo.
Pertanto “l’estrazione programmatica di codici da messaggi SMS deve basarsi su euristiche, che sono spesso inaffidabili e soggette a errori. Inoltre, senza un meccanismo per associare tali codici a siti Web specifici, gli utenti potrebbero essere indotti a fornire il codice a siti dannosi “, osserva la pubblicazione WICG.
Attualmente, gli utenti devono inserire manualmente i codici di accesso forniti in un campo di testo su un sito Web host. Apple vuole fornire una soluzione più semplice che fornirebbe anche un livello più elevato di sicurezza.
Utilizzando un “formato di testo leggero“, il formato proposto incorpora un codice utilizzabile una sola volta in un messaggio SMS e collega tale codice ad un URL di origine. Il sistema del destinatario può quindi estrarre il codice e accedere automaticamente a un sito Web associato.
Un esempio di SMS OTP:
747723 è il tuo codice di autenticazione [sito Web].
@ website.com # 747723
La prima riga è destinata agli utenti a riconoscere da dove proviene il messaggio, mentre la seconda riga è per il sito Web o l’app per leggere e completare la verifica.
La pubblicazione come bozza di specifica WICG non significa necessariamente che il protocollo di Apple vedrà distribuito a tutti, ma mostra che il progetto sta andando avanti.
Leggi o Aggiungi Commenti