Ingegneri di Apple hanno presentato una proposta per standardizzare l’autenticazione a due fattori (2FA) che si serve degli SMS per l’invio di password “usa e getta” (OTP, sigla dell’inglese one-time passcodes).
La proposta arriva da ingegneri della Mela che lavorano sul WebKit – il “motore” del browser web Safari – e ha due scopi: introdurre un modo per associare i messaggi all’apertura di URL, aggiungendo l’URL che consente il login nel messaggio stesso, e anche standardizzare il formato dei messaggi 2FA/OTP affinché browser e altre app per i dispositivi mobile siano in grado di riconoscere facilmente l’SMS in arrivo, riconoscere il dominio web indicato nel messaggio, estrarre automaticamente il codice OTP e completare le operazioni di autenticazione senza interazione con l’utente.
Quanto proposto permetterebbe di ricevere e indicare il codice usa e getta automatizzando la procedura ed eliminare i rischi di cadere in trappole di scammer o indicare codici OTP proposti da siti di phishing, con URL che appaiono simili a quelli usate realmente dalle aziende.
La proposta, spiega ZDnet, consiste in un formato SMS per i codici OTP che si presenterebbero simili a questo:
747723 è il codice di autenticazione del sito NOMESITO @nomesito.com #747723
La prima linea è un riferimento per l’utente che consente di determinare da chi arriva il messaggio; la seconda linea è destinata sia all’utente, sia ad app e browser che in questo modo avrebbero un riferimento standard per estrarre i codici OTP e completare automaticamente le operazioni di login. In caso di mancata corrispondenza, l’operazione di auto-completamento non viene portata a termine e l’utente ha modo di vedere il sito di riferimento; se non vi è corrispondenza tra il sito che sta chiedendo il codice e quello indicato nel messaggio, l’utente viene messo in allerta su potenziali meccanismi di phishing e l’operazione di login annullata.
Gli ingegneri di Apple (quelli che lavorano al WebKit) e di Google (Chrome) sono già d’accordo sulle proposte; Mozilla (Firefox) non ha ancora ufficialmente indicato il suo supporto. Sistemi di questo tipo permetterebbero di innalzare la sicurezza; il concetto di autenticazione a due fattori è ormai noto a molti utenti ma non tutti sanno che questo meccanismo presenta delle vulnerabilità; è ad esempio facile sbirciare le password inviate via SMS (soprattutto se sono attive le notifiche su schermo).