Google 現在支持 Apple 工程師在一月份提出的標準,該標準為在兩要素身份驗證(2FA)過程中通過SMS發送給用戶的一次性密碼(OTP)創建默認格式。
該標準是由從事 Safari WebKit 項目的 Apple 工程師提出的,現已達到正式的 Web 平台社區小組(WICG)規範草案的地位。
We’ve moved “Origin-bound one-time codes delivered via SMS” to @wicg_, where we’re working on a shared spec with our collaborators at Google. Please take a look!
Updated explainer: https://t.co/2D6rMI3l5E
Specification: https://t.co/fY1A6VgAn5— Ricky Mondello (@rmondello) April 3, 2020
該提案旨在解決 SMS 2FA / OTP 代碼當前狀態的一些問題,這些問題的格式各不相同,對於發送代碼的網站來說是唯一的。
1 月,Apple 工程師提出了構想這些消息的構想,並為以後的所有SMS 2FA 操作採用了相同的格式。
新標準的主要貢獻是要求所有 SMS OTP 消息都包含具有代碼的網站的 URL。
根據新建議,用於 OTP 代碼的新 SMS 格式如下所示:
747723是您的 WEBSITE 身份驗證代碼。
@ website.com#747723
第一行適用於普通用戶,使他們可以確定 SMS OTP 代碼來自哪個網站。
第二行是針對移動應用程序和瀏覽器的,它們將能夠提取 OTP 代碼並完成 2FA 操作。如果不匹配並且自動完成操作失敗,則將提示用戶查看 SMS 並手動輸入代碼。
專家認為,不匹配錯誤很可能會在使用可繞過 2FA 代碼的現代網絡釣魚工具進行攻擊的過程中發生。
蘋果和谷歌工程師在經修訂的解釋器中寫道:“該提議試圖降低與通過短信發送一次性代碼相關的一些風險。”
“它並沒有試圖減少或解決所有這些問題。例如,它沒有解決短信傳遞劫持的風險,但是它確實試圖降低了網絡釣魚的風險。”
但是,儘管有明顯的安全性優勢,但 Mozilla 暫時尚未對支持新標準表示任何公共利益。WICG 之前已經制定了標準提案。但是,自 1 月份提出以來,蘋果的提議獲得了壓倒性的好評。
The post Google 與 Apple 合作 SMS 短信單次驗證方式 appeared first on BeginNews.
0 Comments