Los ingenieros de Apple han presentado hoy una propuesta para estandarizar el formato de los mensajes SMS que contienen códigos de acceso únicos (OTP) que los usuarios reciben durante el proceso de inicio de sesión de autenticación de dos factores (2FA).
La propuesta proviene de ingenieros de Apple que trabajan en WebKit, el componente principal del navegador web Safari.
La propuesta tiene dos objetivos. El primero es introducir una forma en que los mensajes SMS OTP pueden asociarse con una URL. Esto se hace agregando la URL de inicio de sesión dentro del propio SMS.
El segundo objetivo es estandarizar el formato de los mensajes SMS 2FA / OTP, para que los navegadores y otras aplicaciones móviles puedan detectar fácilmente los SMS entrantes, reconocer el dominio net dentro del mensaje y luego extraer automáticamente el código OTP y completar la operación de inicio de sesión sin más usuarios Interacción.
Al hacer esto, el proceso de recibir e ingresar un código de acceso único podría automatizarse, eliminando el riesgo de que un usuario caiga en una estafa e ingrese un código OTP en un sitio de phishing, con la URL incorrecta.
Según la nueva propuesta, el nuevo formato de SMS para los códigos OTP se vería a continuación:
747723 es tuyo SITIO Net Código de autenticación.
@ @sitio world-wide-web.com # #747723
La primera línea está destinada a usuarios humanos, lo que les permite determinar de qué sitio internet proviene el código SMS OTP.
La segunda línea es tanto para usuarios humanos como para aplicaciones y navegadores.
Las aplicaciones y los navegadores extraerán automáticamente el código OTP y completarán la operación de inicio de sesión 2FA. Si hay una falta de coincidencia y la operación de autocompletar falla, los lectores humanos podrán ver la URL serious del sitio world-wide-web y compararlo con el sitio en el que intentan iniciar sesión. Si los dos no son iguales, los usuarios recibirán una alerta de que realmente están en un sitio de phishing y abandonarán su operación de inicio de sesión.
Actualmente, los ingenieros de Apple (WebKit) y Google (Chromium) ya están de acuerdo con la propuesta. Mozilla (Firefox) aún no ha proporcionado un comentario oficial sobre el estándar.
Una vez que los navegadores envíen componentes para leer códigos OTP de SMS en este nuevo formato, se espera que los principales proveedores de códigos OTP de SMS cambien a usarlo. A partir de ahora, Twilio ya ha expresado interés en implementar el nuevo formato para sus servicios SMS OTP.
