Google respalda la propuesta estándar de SMS OTP de Apple


SMS OTP 2FA

Google ahora respalda un estándar propuesto por los ingenieros de Apple en enero para crear un formato predeterminado para códigos de acceso únicos (OTP) enviados por SMS a los usuarios durante el proceso de autenticación de dos factores (2FA).

El estándar, propuesto por los ingenieros de Apple que trabajan en el proyecto Safari WebKit, ahora ha alcanzado el estado de Grupo de Comunidad de Incubadora de Plataforma Internet (WICG) oficial borrador de especificación.

La propuesta tiene como objetivo solucionar algunos problemas con el estado genuine de los códigos SMS 2FA / OTP, todos los cuales tienen diferentes formatos, únicos para los sitios world-wide-web que envían los códigos.

En enero, a los ingenieros de Apple se les ocurrió la strategy de estructurar estos mensajes y tener el mismo formato idéntico para todas las operaciones SMS 2FA en el futuro.

La contribución principal que hace el nuevo estándar es exigir que todos los mensajes SMS OTP contengan la URL del sitio web que tiene el código.

Según la nueva propuesta, el nuevo formato de SMS para los códigos OTP se vería a continuación:

747723 es tuyo SITIO World-wide-web Código de autenticación.
@ @sitio web.com # #747723

La primera línea está destinada a usuarios humanos, lo que les permite determinar de qué sitio internet proviene el código SMS OTP.

La segunda línea es para aplicaciones móviles y navegadores, que podrán extraer el código OTP y finalizar la operación 2FA. Si hay una falta de coincidencia y la operación de autocompletar falla, se le pedirá al usuario que revise el SMS e ingrese el código a mano.

Los expertos creen que los errores de coincidencia probablemente ocurrirán durante los ataques con kits de phishing modernos que pueden omitir los códigos 2FA.

«Esta propuesta intenta reducir algunos de los riesgos asociados con la entrega por SMS de códigos únicos», escribieron los ingenieros de Apple y Google en un explicador revisado.

«No intenta reducirlos ni resolverlos todos. Por ejemplo, no resuelve el riesgo de secuestro de la entrega de SMS, pero intenta reducir el riesgo de phishing».

Sin embargo, a pesar de los beneficios de seguridad palpables, por el momento, Mozilla no ha expresado ningún interés público para apoyar el nuevo estándar. Las propuestas estándar se han atascado en el WICG antes Sin embargo, la propuesta de Apple ha recibido críticas abrumadoramente positivas desde que se presentó en enero.



Enlace a la noticia primary