Apple vuole standardizzare l’autenticazione a due fattori (2FA) che si serve degli SMS per l’invio di password “usa e getta” (OTP, sigla dell’inglese One-Time Passcodes) e la proposta ora ha ottenuto lo status ufficiale di bozza nelle specifiche del Web Platform Incubator Community Group (WICG) che propone nuove funzionalità per le piattaforme web.
Come abbiamo già spiegato qui, la proposta arriva da ingegneri della Mela che lavorano sul WebKit – il “motore” del browser web Safari – e ha due scopi: introdurre un modo per associare i messaggi all’apertura di URL, aggiungendo l’URL che consente il login nel messaggio stesso, e anche standardizzare il formato dei messaggi 2FA/OTP affinché browser e altre app per i dispositivi mobile siano in grado di riconoscere facilmente l’SMS in arrivo, riconoscere il dominio web indicato nel messaggio, estrarre automaticamente il codice OTP e completare le operazioni di autenticazione senza interazione con l’utente.
L’explainer su GitHub della proposta di Apple è stato aggiornato e la proposta co-editata da Theresa O’Connor di Apple e Sam Goto di Google. Nella presentazione si spiega che molti siti web e servizi online usano le password OTP usando gli SMS ma non esiste un metodo standard per formattare i messaggi inviati e per questo programmare l’estrazione dei codici inviati automaticamente via SMS non è semplice e si fa affidamento a sistemi euristici che spesso si rivelano inaffidabili o soggetti ad errore. Inoltre, si spiega ancora nella proposta, senza un meccanismo che consenta di associare questi codici con specifici siti web, gli utenti possono essere ingannati fornendoli a siti malevoli.
Quanto proposto permetterebbe di ricevere e indicare il codice usa e getta automatizzando la procedura ed eliminare i rischi di cadere in trappole di scammer o indicare codici OTP proposti da siti di phishing, con URL che appaiono simili a quelli usate realmente dalle aziende.
La proposta consiste in un formato SMS per i codici OTP che si presenterebbero simili a questo:
747723 è il codice di autenticazione del sito NOMESITO @nomesito.com #747723
La prima linea è un riferimento per l’utente che consente di determinare da chi arriva il messaggio; la seconda linea è destinata sia all’utente, sia ad app e browser che in questo modo avrebbero un riferimento standard per estrarre i codici OTP e completare automaticamente le operazioni di login. In caso di mancata corrispondenza, l’operazione di auto-completamento non viene portata a termine e l’utente ha modo di vedere il sito di riferimento; se non vi è corrispondenza tra il sito che sta chiedendo il codice e quello indicato nel messaggio, l’utente viene messo in allerta su potenziali meccanismi di phishing e l’operazione di login annullata.
“La proposta tenta di ridurre alcuni rischi associati con l’invio di OTP via SMS”, si legge nella descrizione del progetto. “Non cerca di ridurre o risolvere tutte le problematiche, ad esempio non risolve il rischio dirottamento nella consegna degli SMS ma tenta di ridurre i rischi del phishing”. Il sito Appleinsider sottolinea che la presa in carico della proposta presso il Web Platform Incubator Community Group (WICG) non significa che il protocollo di Apple sarà implementato in massa ma è una buona indicazione che il progetto sta facendo passi avanti.
Gli ingegneri di Apple (quelli che lavorano al WebKit) e di Google (Chrome) sono già d’accordo sulle proposte; Mozilla (Firefox) non ha ancora ufficialmente indicato il suo supporto. Sistemi di questo tipo permetterebbero di innalzare la sicurezza; il concetto di autenticazione a due fattori è ormai noto a molti utenti ma non tutti sanno che questo meccanismo presenta delle vulnerabilità; è ad esempio facile sbirciare le password inviate via SMS (soprattutto se sono attive le notifiche su schermo).